Neem contact op
Anti-DDoS

Top 6 DDoS protection solutions die je in het vizier moet hebben

9 min. leestijd
Placeholder for Cloud architect developerCloud architect developer

Share

Nu DDoS-aanvallen (Distributed Denial of Service) steeds vaker voorkomen en potentieel verwoestende gevolgen hebben, blijven cybercriminelen op zoek naar nieuwe methoden om ze uit te voeren - bijvoorbeeld door middel van versterkingsvarianten. DDoS-aanvallen worden ook steeds vaker gebruikt, niet alleen voor financieel gewin maar ook als middel om concurrenten in diskrediet te brengen en uit te schakelen of gewoon om de krantenkoppen te halen.

Verdediging tegen DDoS-aanvallen is niet langer alleen een kwestie van het gebruik van de beste beveiligingsoplossing. In de afgelopen twaalf maanden hebben we, door de op COVID-19 gebaseerde sociale beperkingen, de opkomst gezien van ransomware-gedreven aanvallen en andere Advanced Persistent Threats (APT) die verband houden met DDoS. Daarom hebben veel DDoS-leveranciers nieuwe en bijgewerkte anti-DDoS- en netwerkbeveiligingsoplossingen ontwikkeld om ondernemingen te beschermen tegen deze grotere, slimmere en meer diverse DDoS-aanvallen en de verspreiding van botnets. Onze cybersecurity-experts selecteerden de vijf beste anti-DDoS-oplossingen.

1. Anti-DDoS / Netwerkbeveiliging-assessment

Natuurlijk is het simpelweg inzetten van een 'magische' black-box of anti-DDoS-node en verwachten dat alle problemen zijn opgelost niet de manier of niet genoeg om alle uitdagingen rond DDoS en APT's op te lossen. Daarom is een cruciaal - maar regelmatig over het hoofd gezien - onderdeel van DDoS-beveiliging dat een ervaren technicus eerst jouw setup beoordeelt. Een DDoS-specialist kan eventuele bestaande problemen of kwetsbaarheden aan het licht brengen en uitgebreid advies geven over de beste oplossing voor jouw specifieke situatie.

Of het nu om hardware of software gaat, meestal spelen tal van factoren een belangrijke rol bij het harden van het netwerk en het optimaliseren van de omgeving waarin de aangevallen host en/of applicatie zich bevindt. Daarom kan het opvoeren van de verdediging tegen DDoS en het verminderen van kwetsbaarheden soms betekenen dat kleine en relatief eenvoudige wijzigingen in het ontwerp nodig zijn.

Wijzigingen in bestaande omgevingen of configuraties kunnen bijvoorbeeld al de juiste DDoS-oplossing voor jou zijn. Een anti-DDoS beveiligingsbeoordeling betekent vaak dat er quick wins kunnen worden geboekt die weinig of geen investeringen vergen. Daarom staat het regelmatig beoordelen van je hardware, setup en omgeving bovenaan deze lijst, ook al is het geen oplossing van een leverancier.

2. Combinatie: Arbor Networks Sightline (voorheen SP) en Threat Mitigation System (TMS), Sightline Insight

Arbor Networks is op weg om haar tweede decennium van de anti-DDoS-levensduur te voltooien. De klassieke combinatie van Arbor Networks Sightline en Arbor's TMS blijft zijn toegevoegde waarde bewijzen in tal van sectoren.

Arbor Sightline is een anomaly detection system. Het is gebaseerd op sampled netflow die geavanceerde rapportage-mogelijkheden aanbiedt, een alerting-functie bevat, geautomatiseerde mitigatie in meerdere fasen uit kan voeren en die zelfs geactiveerd kan worden door het Availability Protection System (APS). Een extra krachtige functie is dat scripts van derden of applicaties voor mitigation geactiveerd kan worden door externe en bestaande logica. Bekend om zijn peering en routing analyse mogelijkheden, voegt Arbor Networks Sightline snellere netwerk inzichten toe, waardoor uw business security posture verbetert.

Daarnaast is de Arbor Insight optie nu beschikbaar. Het opslaan van 100% van alle netflow data in een krachtige, big-data setup, terwijl het naadloos geïntegreerd is met Sightline, zorgt voor een nieuw niveau van rapportage, alarmering en zichtbaarheid voor zowel peering-analyse, threat-visibility en mitigatie. RTBH en Flowspec zijn mitigatiemethoden die beide zijn inbegrepen bij Sightline. Optioneel kan het worden uitgebreid met Threat Mitigation System (TMS)-apparaten, zoals een extern scrubbing-centrum, dat APT-bewustzijn en filtering biedt.

Dit is zonder twijfel een vitaal onderdeel van de DDoS-protection-solution van Arbor Networks. Klanten hebben de keuze om zowel Arbor Networks Sightline als TMS gevirtualiseerd, op de hypervisor of bare metal in te zetten, waardoor de Total Cost of Ownership (TCO) vanaf dag één wordt verlaagd.

Voordelen van Arbor en de ATLAS Intelligence Feed

Belangrijk om weten is dat de detectieservice van TMS ook gebruik maakt van (en heeft geholpen bij het opzetten van) de ATLAS Intelligence Feed (AIF). Deze biedt inzicht en deskundige analyse biedt voor DDoS-beveiliging. Met het Arbor Security Engineering & Response Team (ASERT), dat zich bezighoudt met het ontdekken en analyseren van opkomende bedreigingen en het ontwikkelen van gerichte verdedigingsmechanismen, heeft Arbor zowel zichtbaarheid als herstelmogelijkheden op bijna elke tier-1 operator en een meerderheid van de service provider netwerken wereldwijd. ASERT deelt deze operationeel bruikbare informatie met honderden internationale Computer Emergency Response Teams (CERT's) en met duizenden netwerkoperatoren via inband security content feeds. ASERT maakt deel uit van ATLAS, monitort continu actief internetbedreigingen over de hele wereld en geeft je zo nog een goede reden om Arbor's anti-DDoS oplossingen te overwegen.

3. Flowspec

Er bestaan maar weinig technologieën waar zoveel misverstanden, slechte marketing en politiek tot trage ontwikkeling en acceptatie hebben geleid, ondanks dat het een geweldige oplossing is voor 1 of meerdere problemen. In het geval van A-DDoS, kan men daar zeker Flowspec noemen. De eerste implementatie ervan dateert al van 2007 op Junos en de RFC5575, gecreëerd door Cisco, Juniper, Arbor en NTT in 2009. Het is nu dus al meer dan een decennium uit. En nog steeds hebben velen er niet eens van gehoord, ondanks dat het volgens velen het beste is sinds gesneden brood.

Zonder al te veel in detail te treden, kan Flowspec gezien worden als een soort ACL, bron en/of bestemming-gebaseerd, gebruik makend van zowel layer-3 als -4 kenmerken die centraal kunnen worden aangemaakt en via BGP tussen routers kunnen worden gedistribueerd. Het BGP-deel omvat BGP-attributen, -filtering/policies en -validatie. Dit kan dan als een soort dynamische ACL op de ontvangende router worden geïnstalleerd, onder eventuele bestaande filtering, op alle of een deel van de interfaces op een router. Het kan on-net worden gebruikt, binnen het bestaande netwerk, maar kan ook worden gebruikt met EBGP als een off-net oplossing. In feite was het oorspronkelijke doel van Flowspec om (betaalde) transitklanten te beschermen tegen aanvallen op hun IP-subnetten, die via hun transit-ISP binnenkomen.

Dit zou ervoor zorgen dat ondanks dat de uplink verzadigd is, de klant nog steeds mitigatie kan doorgeven aan de ISP die, na automatische filtering/validatie door de ISP, de vereiste ACL-entries kan installeren op de routers van de upstream ISP. Dit zou dan de aanval binnen enkele seconden na signalering afzwakken, waardoor de upstream link(s) vrijkomen en vaak zelfs zonder impact op de maandelijkse 95-percentiel bandbreedteberekeningen. Deze exacte use-case die meer dan tien jaar geleden werd bedacht, is nog steeds actueel en meer dan ooit gevraagd.

En het beste ... vanuit een router feature-perspectief, is Flowspec een feature die meestal wordt ondersteund zonder extra licentie-kosten! Door zijn werkwijze kan Flowspec een geweldige tegenmaatregel zijn voor volumetrische aanvallen en aanvallen op sessie/status-niveau. Met een groeiend aantal ISP's die Flowspec adopteren als standaard of premium service voor hun klanten, kan dit een geweldige optie of toevoeging zijn voor partijen die anders cloud-gebaseerde of andere smaken van A-DDoS oplossingen nodig hebben, tegen lage of minimale kosten.

4. Juniper Networks & Corero

Specifiek voor gebruikers van MX-routers op grotere schaal en specifieke grootschalige aanvallen is deze oplossing een optie. Corero heeft in de afgelopen jaren een Anti-DDoS oplossing ontwikkeld met een extra truc. Naast het gebruik van RTBH en Flowspec als mitigatie-opties, ondersteunen zij ook de 'Firewall Filter Flexible Match Conditions' van Juniper. Dit is een uitbreiding op de bestaande Layer-2/3/4 filtering. Hier kunnen bijkomende offset criteria gespecificeerd worden waardoor patroon overeenkomsten mogelijk worden op aangepaste, door de gebruiker gedefinieerde plaatsen binnen een pakket. Er kan dus een soort dynamische ACL met offset-gebaseerde matching worden geïnstalleerd. Vereist zijn MPC gebaseerde lijnkaarten (of geïntegreerde) en met specifieke MIC's.

Dit kan worden gezien als een alternatief voor specifieke aanvallen op in-line- of scrubbing-centre-apparatuur, waarbij de router in feite deze rol zou overnemen. Licenties zijn gebaseerd op volume. Voor omgevingen met bestaande data-plane filtering of waar grote hoeveelheden filters worden verwacht, als gevolg van bijvoorbeeld grote hoeveelheden aanvallen, wordt geadviseerd Juniper experts te raadplegen met bestaande HW-specs voor schaalbaarheid. Wij zijn een Elite Partner van Juniper Networks en helpen je graag hierbij.

5. Arbor APS/AED

Arbor APS/AED staat bekend als de alles-in-één in-line Anti-DDoS-appliance en biedt een mitigatiecapaciteit tot 200Gbps in een 2U-chassis. Het wordt ook geleverd als een virtueel aanbod, dat ook cloudomgevingen zoals Amazon Web Services ondersteunt. Arbor APS en Arbor DDoS Protection leveren detectie- en mitigatietechnologie, bieden een holistisch overzicht van netwerkactiviteiten en maken snelle, geautomatiseerde blokkering van aanvallen mogelijk voordat ze je kritieke toepassingen en services beïnvloeden. Arbor APS wordt nu ook geleverd met een nieuwe licentieregeling. Traditioneel werd verkeer dat gedropt werd ook meegerekend in de licentiekosten. Met de nieuwe licentie hoeft alleen 'goed' of 'doorgestuurd' verkeer gelicenseerd te worden. Dit maakt voor veel omgevingen een sterke verlaging van de licentiekosten mogelijk, wat de TCO aanzienlijk verlaagt. Slechts enkele concurrerende producten hebben zich op deze methode afgestemd.

In combinatie met Arbor Sightline en zijn 'cloud signalling', wanneer specifieke delen van de omgeving het hoogste niveau van beveiliging vereisen, vormt het een win-win situatie. Op die manier worden de voordelen van zowel een in-line als een on-/off ramped oplossing effectief gecombineerd. In combinatie met andere best practices, zoals Flowspec, is dit waarschijnlijk de meest effectieve DDoS protection solution die momenteel op de markt verkrijgbaar is, en spreekt het met name financiële dienstverleners aan. Een geweldige nieuwe toevoeging is de ondersteuning voor STIX/TAXII, voor bijvoorbeeld IOC-ondersteuning en aangepaste, dynamische IP-reputatiecommunicatie.

6. F5 Silverline Web Application Firewall (WAF)

Met Silverline Web Application Firewall introduceerde F5 Networks een van de meest geavanceerde (en cloud-gebaseerde) WAF's op de markt. Met de mogelijkheden en feature set, gecombineerd met wereldwijde redundantie en uitstekende 24x7x365 ondersteuning, hebben ze de lat zeer hoog gelegd als het gaat om Web Application beveiliging. Als je zich geen fouten kunt veroorloven, de hoogste beschikbaarheid nodig hebt en maatwerkfunctionaliteit nodig hebt, moet Silverline zeker op jouw lijst staan van Cloud Web Application Firewalls om te overwegen.

F5 Networks werkt de Silver WAF regelmatig bij met nieuwe uitgebreide features die het F5 platform echt verrijken. Daarnaast heeft het meerdere NOC's die 24/7 support leveren en proactief je setup aanpassen wanneer dat gewenst is bij gedetecteerde issues. De Silverline Web Application Firewall-service beschermt webapplicaties, ongeacht waar de app wordt gehost - in de private of publieke cloud, of in een fysiek datacenter.

Anti-DDoS-oplossingen: Het advies van experts

Voorkomen dat het groeiende aantal aanvallen en bedreigingen je treft, begint met het opleiden van werknemers, het gebruik van schaalbare next-generation oplossingen en het verkrijgen van inzicht in de bedreigingen die gericht zijn op je bedrijf of branche.

Dit kan in hoge mate worden begeleid en versterkt met oplossingen voor end-point protection zoals bijvoorbeeld Crowdstrike. Deze prioriteiten vormen een grote uitdaging voor cybersecurity-managers. De afgelopen paar jaar hebben we een aantal van de meest frequente en ernstigste cybersecurity-aanvallen ooit gezien (bekijk live DDoS-attack world map).

Nu security-professionals zich voorbereiden op een mogelijk nieuw recordjaar van netwerkinbreuken en gegevensbeveiligingsrisico's, is het van het grootste belang dat je je bewust bent van de laatste ontwikkelingen. Goede voorbeelden zijn IOC-handling en STIX/TAXII-ondersteuning voor bijvoorbeeld integratie binnen SIEM-oplossingen. De nieuwste generatie DDoS protection solutions en -technologieën kan je helpen de daders voor te blijven en jouw meest kritieke bedrijfsmiddelen en toepassingen met succes te beschermen.

Nomios DDoS Protection

Voor ondernemingen die worden geconfronteerd met DDoS-aanvallen is het vinden van oplossingen die DDoS-protection bieden van cruciaal belang voor het beschermen van inkomsten, productiviteit, reputatie en loyaliteit van gebruikers. Nomios heeft een reeks oplossingen en diensten ontwikkeld om ondernemingen, service providers en cloud service providers te helpen bij het ontwerpen, implementeren, exploiteren en geheel of gedeeltelijk beheren van hun anti-DDoS-oplossing.

Wil je weten wat Nomios voor jouw DDoS-beveiliging kan betekenen? Neem dan vandaag nog contact met ons op!

Bericht sturen Ontdek hoe dit in de praktijk werkt

Meld je aan voor onze nieuwsbrief

Ontvang het laatste security nieuws, inzichten en markttrends in jouw inbox.

Meer updates

Placeholder for Coastal protection concrete blocksCoastal protection concrete blocks

NAC Mist AI

NAC is terug en beter dan ooit

Juniper kondigt de uitbreiding aan van hun AI-gedreven ondernemingsportfolio van Juniper Mist, met Juniper Mist Access Assurance. Een NAC-service in de cloud waarmee bedrijven eenvoudig een Zero-trustbeveiligingsmodel kunnen afdwingen zonder de uitdagingen die samengaan met on-premise NAC.

Jeff Aaron
Placeholder for Male4Male4

Jeff Aaron

6 min. leestijd
Placeholder for Cyber security engineers smilingCyber security engineers smiling

Microsoft M365 Vectra

Beveiliging van Microsoft M365 en Azure Active Directory

Vectra Detect voor Office 365 en Azure AD oplossingen verbeteren drastisch het zicht op M365 en Azure AD om aanvallers op te sporen en te handelen voordat het een groot security incident wordt.

9 min. leestijd
Placeholder for Hetportretbureau LR T1 A6181Hetportretbureau LR T1 A6181

Cybersecurity E-mail security

Hoe voorkom je dat jouw organisatie slachtoffer wordt van phishing?

Om phishing bij jouw bedrijf te voorkomen is het belangrijk om op drie zaken te focussen: educatie, processen en technologie.

Erik Biemans
Placeholder for Erik biemansErik biemans

Erik Biemans

11 min. leestijd