Het Financieel Dagblad publiceerde vandaag een artikel over de afhankelijkheid van de drie grote banken in Nederland op het gebied van DDoS beveiliging. ING, ABN AMRO en Rabobank zijn grotendeels afhankelijk van één oplossing tegen DDoS-aanvallen. Dat brengt risico’s met zich mee, zo schrijft het FD.
CPB: Banken afhankelijk van enkele DDoS-oplossing is ‘twijfelachtige ontwikkeling’
Het CPB deed onderzoek naar Cyberveiligheid in Nederland en concludeert onder meer dat de sterke positie van één aanbieder een ‘twijfelachtige ontwikkeling’ is. ‘Vanuit maatschappelijk perspectief kun je de vraag stellen of grote markt- concentratie gewenst is’, schrijft het CPB.
Één van de risico’s die benoemd wordt is wanneer de diensten van de aanbieder uitvallen, bijvoorbeeld door een hack. Dit kan in potentie leiden tot grootschalige uitval in de bankensector. De ING, ABN AMRO en Rabobank maken alledrie gebruik van de DDoS-oplossing van Akamai. Niet alleen de banken maar ook overheidsdiensten als de Belastingdienst en DigID kampten met grote problemen of zelfs uitval van applicaties en websites, doordat zij in januari 2018 het doelwit waren van grote DDoS-aanvallen.
Genoeg keuze voor andere DDoS-oplossingen banken
Voor banken zijn er meer dan voldoende alternatieve DDoS-oplossingen beschikbaar, zo blijkt ook uit het onderzoek van het Centraal Planbureau. Er worden meerdere DDoS-oplossingen van hoge kwaliteit aangeboden die bescherming bieden tegen geavanceerde DDoS-aanvallen.
Het overstappen of kiezen voor een aanvullende oplossing blijkt daarentegen vaak een uitdaging en vertrouwenskwestie te zijn. Daarnaast is het verdienmodel van de aanbieder Akamai afhankelijk van de hoeveelheid DDoS-aanvallen. Des te meer aanvallen uitgevoerd worden, des te meer de aanbieder verdient. Arbor Solutions, eveneens aanbieder van DDoS-oplossingen, biedt daarentegen nieuwe vormen van bijvoorbeeld licensing aan voor inline applicances, om licentiekosten te beperken. Inmiddels is het zo dat er niet meer op basis van de hoeveelheid inkomend verkeer, maar enkel op basis van de hoeveelheid doorgaand verkeer (verkeer over na mitigatie of detectie) gelicenseerd wordt. Dit kan een groot verschil in licentiekosten betekenen. Wellicht betekenen dit soort licentievormen dan ook een nieuwe trend, namelijk veranderend type verdienmodellen van DDoS-oplossing aanbieders.
Verschillende typen DDoS-aanvallen
Als enige land ter wereld is in Nederland een non-profit systeem ontwikkeld tegen DDoS-aanvallen. De Nationale Wasstraat (NaWas) biedt als shared service Cyber Security bescherming tegen twee type DDoS-aanvallen. Voor DDoS-aanvallen gelden drie soorten aanvallen: Volumetric DDoS-attacks, TCP State-Exhaustion attacks en Application Layer attacks.
Volumetric DDoS-aanvallen sturen zoveel mogelijk veel verkeer naar het doelwit, om zodoende uitval te veroorzaken. TCP State-Exhaustion aanvallen versturen veelal syn packets naar webservers, firewalls en load balancers om connecties te onderbreken. Hierdoor wordt het maximale aantal connecties bereikt en vallen de doelwitten uit, of werken deze niet meer optimaal.
NaWas biedt enige bescherming tegen DDoS-aanvallen
NaWas biedt daarentegen niet altijd goede bescherming tegen Application Layer Attacks. Application DDoS-aanvallen, ook wel bekend als Layer 7 attacks, zijn specifiek gericht op zwakheden binnen een applicatie of server. Doel van deze aanval is om een applicatie of server uit te putten en om vervolgens processen en transacties over te nemen. Deze geavanceerde bedreigingen zijn niet goed te detecteren voor NaWas. De complexiteit van Application Layer Attacks wordt namelijk met name gevormd doordat er niet veel machines nodig zijn om aan te vallen, waardoor een lage traffic rate gegenereerd wordt. Deze lage traffic rate kan als legitiem gezien worden door detectie-systemen als NaWas.
Daarnaast kan een aanval ook een combinatie zijn van de drie genoemde typen DDoS-aanvallen. Hierdoor wordt het nóg uitdagender voor organisaties en detectie-systemen om deze te bestrijden.
Hoeveelheid DDoS-aanvallen blijft groeien in 2019
In 2016 had een half miljoen Nederlanders financiële schade door een online cyber-incident, zo meldt het CPB. Onder andere door de toename van IoT-devices worden DDoS-aanvallen grootschaliger en steeds moeilijk om te mitigeren. Verwacht wordt door De Stichting Nederlandse Beheersorganisatie Internet Providers dat er in 2018 een record-aantal DDoS-aanvallen plaats zal vinden.