Blog

DDoS bescherming voor banken die wel werkt!

Op regelmatige basis worden we als consument geconfronteerd met het uitvallen van onze bankdiensten. Websites en betaalapps van banken zijn dan tijdelijk niet beschikbaar vanwege de zoveelste DDOS-aanval. De reguliere nieuwsmedia meldt ons dan meestal dat het een geavanceerde aanval was die erg lastig was af te slaan, of dat het volume van de aanval extreem groot was. Er wordt nu zelfs gepleit voor een nationale firewall tegen DDOS-aanvallen.

Om het voor de niet-technici inzichtelijk te maken vanuit het perspectief van een aanvaller een analogie: Stel je voor dat ik een loket met een vast aantal medewerkers wil stilleggen. Ik kan dan zorgen voor een stormloop aan personen die zich bij het loket melden, wat vanzelf leidt tot opstoppingen. Men kan de rij wachtenden dan gewoon niet snel genoeg wegwerken. Ik kan ook een beperkte groep personen instrueren om allemaal hele lastige vragen te stellen die elk veel tijd vergen. In beide gevallen bereik ik hetzelfde: overload en destabilisering van het betreffende loket. Dat is de essentie van een DDOS-aanval.

Tot zover de analogie. De vraag die helaas niet in de media gesteld wordt:

waarom lukt het Nederlandse banken tot op heden niet om zich effectief te beschermen tegen dit soort aanvallen?

Het antwoord is waarschijnlijk een redelijke eyeopener:

we hebben hier niet zozeer te maken met overmacht voor de bancaire sector, maar het te lang gebruiken van verouderde technologie, traditionele architecturen en beperkte expertise.

5 Nederlands ‘experts’ hebben recentelijk gepleit voor een Nederlandse firewall om dit groeiende probleem het hoofd te bieden. Hierbij onderschatten ze mijns inziens de benodigde schaalgrootte, globale spreiding en enorme voorsprong van Cloud DDOS-providers die er nu reeds zijn. Hun voorstel is te vergelijken met het nu gaan bedenken van een Nederlands Cloud mail platform terwijl de markt reeds zijn weg naar Office 365 en Google mail heeft gevonden.

Bij effectieve DDOS-mitigatie draait het primair om 2 zaken: 1) Wie heeft de dikste internetpijp en 2) Wie kan geavanceerde applicatie DDOS-aanvallen, vaak met slechts relatief weinig bandbreedte gebruik, herkennen en filteren voordat ze het betreffende systeem bereiken.

Mijn visie is de volgende:

effectieve DDOS-bescherming moet gebaseerd zijn op een globale Cloud, zodat aanvallen bij de bron gestopt kunnen worden, ongeacht het land van origine. De zogenoemde scrubbing-capaciteit moet nagenoeg oneindig schalen en geavanceerde aanvallen moeten met geavanceerde zelflerende technologie worden afgeslagen. De knapste koppen van deze wereld op het gebied van cybercrime moeten deze systemen 24x7 voorzien van nieuwe kennis.

Onze partner Incapsula helpt organisaties dankzij een globaal netwerk van Web Application Firewall en DDOS-services zich effectief te beschermen tegen aanvallen op hun kritische web services.

De capaciteit van dit netwerk is op dit moment al vele malen groter dan de grootste DDOS-aanval tot nu toe, een aanval van 1.35 terabits per seconde op het platform GitHub. In dit specifieke geval koste het GitHub en haar DDOS-mitigatie partij Akamai een kleine 20 minuten voordat de aanval was afgeslagen.

[ Bescherming websites door Incapsula ]

Incapsula Infographic CSN Groep
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
De unieke 10-seconden DDOS-mitigatie SLA van Incapsula maakt het mogelijk om de grootste en meest geavanceerde aanvallen in enkele seconden af te slaan in plaats van minuten of traditioneel zelfs uren. Dankzij de onderliggende anti DDOS-technologie van moederbedrijf Imperva met hun nieuwe Behemoth 2 platform, redundant geplaatst in 38 wereldwijd verspreide datacenters, zijn we in staat om onze klanten effectief te beschermen, en dat volledig als managed service.
 
Benieuwd hoe Incapsula uw kritische web services kan beschermen? Neem dan contact met mij op:
 

Incapsula David Schaap CSN Groep

 

 

Bel 088 999 09 68 of mail naar d.schaap@csngroep.nl

David Schaap, CTO van CSN Groep