Binnen enkele weken komt het DDoS Clearing House beschikbaar in de Nederlandse anti-DDoS-coalitie. Dit platform gaat potentiële DDoS-doelwitten helpen zich proactief te wapenen tegen aanvallen en helpt bij de opsporing van daders.
Elke DDoS-aanval heeft specifieke karakteristieken. Denk aan het type aanvalsmethode, ingezette hulpmiddelen, de oorsprong van de aanval en andere technische aspecten. Uit een aanval valt zo een digitale vingerafdruk (fingerprint) af te leiden.
- Van DDoS-aanvallen kun je ‘fingerprints’ maken
- Door die te delen, kunnen bedrijven zich beter voorbereiden op een potentiële aanval
- Doel is het Nederlandse initiatief uit te laten groeien tot Europees samenwerkingsverband
Door fingerprints van aanvallen met elkaar te delen, kunnen organisaties zich beter voorbereiden op een mogelijke aanval. Ook geven de fingerprints extra informatie over de daders en helpers achter de aanval, zoals IP-adressen van de aanvalsbron. Dat kan weer interessante informatie opleveren voor opsporingsdiensten die dergelijke actoren willen opsporen en onschadelijk maken.
Europees project
Het DDoS Clearing House gaat deze fingerprints verzamelen bij aangesloten partijen en de kennis met hen delen. Het platform is een initiatief van de Universiteit Twente, SURF – de ICT coöperatie van onderwijs en onderzoek – , de stichting NBIP en SIDN, de beheerder van het .nl-domein met een taak dit domein zo veilig mogelijk te maken. Het project startte ruim vier jaar geleden onder de vlag van een Europees CONCORDIA-project waar ook vertegenwoordigers uit onder meer Italië en Griekenland aan meededen. Het uiteindelijk doel is een clearing house-infrastructuur Europabreed op te zetten.
Zo ver is het nog niet, zegt Thijs van den Hout, machine learning research engineer bij SIDN Labs. De prioriteit ligt bij het in bedrijf krijgen van het Nederlandse DDoS Clearing House en laten zien dat het concept in productie ook goed werkt.
Samenwerking met NaWaS DDoS-wasstraat
Het project is omarmd door de Nederlandse Anti-DDoS Coalitie en de infrastructuur wordt op dit moment geïnstalleerd bij de NBIP. Dit is de Stichting Nationale Beheersorganisatie Internet Providers die bijvoorbeeld ook verantwoordelijk is voor de NaWas. Deze ‘wasstraat’ scheidt voor de deelnemende organisaties in geval van een DDoS-aanval, het malafide van het legitieme verkeer, waardoor websites en -diensten kunnen blijven functioneren.
Zo ver is het nog niet, zegt Thijs van den Hout, machine learning research engineer bij SIDN Labs. De prioriteit ligt bij het in bedrijf krijgen van het Nederlandse DDoS Clearing House en laten zien dat het concept in productie ook goed werkt.
Met het DDoS-clearinghouse wordt het voor leden van de Nederlandse Anti-DDoS-coalitie ook mogelijk proactief te handelen waardoor een aanval eerder kan worden herkend en afgewend. De anti-DDoS-coalitie bestaat uit 18 organisaties die kritieke internetinfrastructuur in Nederland beheren: overheden, bedrijven, not-for-profits en onderzoeksinstellingen.
Het achterliggende systeem is de afgelopen jaren ontwikkeld en uitgebreid getest bij SIDN Labs, in samenwerking met SURF, de Universiteit Twente en de Anti-DDoS Coalitie. Daarnaast is een simulator opgezet die werd gehost bij het security operations center (SOC) van de Belastingdienst. “We hebben daar echt goede resultaten mee bereikt”, concludeert Van den Hout.
Ook aan de juridische kant van het project waar het gaat om data delen, zijn inmiddels de obstakels uit de weg geruimd.
Afgezien van de signaleringsfunctie die het Clearing House gaat krijgen, wil de Anti-DDoS Coalitie ook oefeningen gaan organiseren met behulp van de simulator, naast de reguliere halfjaarlijkse grootschalige oefeningen met echte DDoS-aanvallen.
Kick-off nodig
Het Clearing House is straks afhankelijk van de fingerprints die de leden van de anti-DDoS coalitie gaan delen, wanneer ze te maken hebben gehad met een aanval. Tot nog toe is de animo daarvoor nog niet heel groot geweest, constateert Van den Hout.
“Ik vermoed dat het gewoon nog niet in hun processen zit. Het maken van de fingerprints is niet veel werk. Je haalt je netwerkverkeer door een scriptje en de fingerprint die daar uitkomt, kun je ook nog automatisch laten versturen naar de centrale database. Ik verwacht dat het meer gaat leven als straks de eerste fingerprints beschikbaar zijn. Als er niks in de database staat, heeft het weinig zin om er te gaan kijken en er zelf iets aan toe te voegen. Die kip-ei-situatie moet worden doorbroken en dan gaat het wel leven. Er moet even een kickstart komen.” Dat zal waarschijnlijk na de jaarwisseling worden, is zijn inschatting.
Europese aandacht
Daarna komt het punt om internationaal aandacht te vragen voor de opzet van een Europese infrastructuur. DDoS-aanvallen zijn geen probleem dat ophoudt bij de grens. Dus is het belangrijk een internationale uitwisseling op te zetten. SIDN Labs-directeur en UT-hoogleraar Cristian Hesselman zei daar eerder over tegen AG Connect dat één Europees overkoepelend clearing house voor alle industriesectoren het meest effectief zou zijn.
Maar dat zag hij niet snel gebeuren omdat het cruciaal is voor zo’n platform om het vertrouwen tussen honderden partijen uit alle sectoren te winnen. Daarvoor moeten waarborgen worden gecreëerd die nu nog niet bestaan. Maar een voortrekkersrol voor Nederland kan daarbij helpen. Van den Hout: “Als wij in de Nederlandse Anti-DDoS coalitie laten zien dat het toegevoegde waarde heeft, denk ik dat het internationaal ook weer meer opgepakt gaat worden.”