Wat kunnen Italiaanse ISP’s leren van Nederlandse samenwerking om DDoS-aanvallen tegen te houden?

Cybersecurity kent geen grenzen. Criminelen en hackers kunnen via het internet ongelimiteerd bedrijven en personen aanvallen. Uit een onderzoek van de Nederlandse Nationale Beheersorganisatie Internet Providers (NBIP) blijkt dat DDoS-aanvallen steeds geavanceerder en groter worden. In 2019 zijn er onder andere in Italië zware DDoS-aanvallen uitgevoerd om bedrijven en overheidsorganisatie te ontwrichten of binnen te dringen. Om cyberaanvallen effectiever tegen te houden is internationale samenwerking noodzakelijk. Een voorbeeld daarvan is de internationale beschikbaarheid van het non-profit NaWas DDoS scrubbing center. Wat kunnen Italiaanse ISP’s leren van de Nederlandse aanpak en Europese samenwerking om DDoS-aanvallen in de toekomst tegen te kunnen houden?

Meer, slimmer en zwaarder

In 2019 is het aantal DDoS-aanvallen weer toegenomen in vergelijking met 2018, dat blijkt onder andere uit het periodieke NBIP DDoS-datarapport. Verder duren die aanvallen ook steeds langer en worden ze zowel slimmer als zwaarder. Een actueel voorbeeld van zo’n slimmere aanval is de zogenaamde GRE flood, waarmee cybercriminelen zich richten op het GRE-tunnelingprotocol in netwerkpakketten. Cybercriminelen zijn voortdurend op zoek naar nieuwe kwetsbaarheden. Ze gebruiken in toenemende mate GRE-tunnels in netwerknodes omdat het vaak versleutelde GRE-verkeer moeilijker tegen te houden is, concludeert Octavia de Weerdt, algemeen directeur van de Stichting NBIP in het onderzoeksrapport.

NBIP-NaWas beschermt al vijf jaar 42% van alle NL-domeinen tegen DDoS-aanvallen met de Nationale Wasstraat (NaWas). Stichting NBIP is in 2002 gestart door en voor ISP’s, de NaWas toont ook aan dat samenwerken een succesvolle methode is om provider en hun klanten te beschermen tegen een toenemend aantal cyberaanvallen. Een nationaal en internationaal samenwerkingsverband van ISP’s en beheerders van internetknooppunten levert alle leden veel meer op dan het implementeren van één commerciële security-oplossing. De NaWas is een ruimschoots bewezen effectieve ‘best-of-breed’ cloudoplossing, gebaseerd op de nieuwste technologie en open standaarden.

Kennis en kosten delen

Een ander belangrijk voordeel van samen cyberaanvallen tegenhouden, is het delen van alle kennis en ervaring. Vergelijkbaar met het bundelen van de krachten voor ontwikkelingen binnen de wereldwijde open source community. Verder is het delen van de kosten voor veel ISP’s een belangrijk samenwerkingsaspect, omdat de benodigde investeringen in cybersecurity alsmaar groter worden. Het aantal NaWas-gebruikers is de afgelopen vijf jaar op een natuurlijke wijze snel gegroeid omdat het delen van alle kosten zonder winstoogmerk aanzienlijk goedkoper is dan wanneer alle ISP’s zelf moeten investeren in eigen oplossingen. Daar worden sinds kort steeds meer ISP’s uit andere Europese landen zich ook van bewust.

Sinds 2019 wordt de NaWas-oplossing tevens gebruikt door ISP’s in Duitsland, Italië, Oostenrijk en het Verenigd Koninkrijk. Door de community verder te vergroten worden alle deelnemers sterker en zijn de kosten over een groter aantal bedrijven te verdelen. De NaWas is een flexibel schaalbaar platform voor het tegenhouden van DDoS-aanvallen, dat eenvoudig in meerdere landen inzetbaar is. Beheerorganisatie NBIP werkt behalve met de aangesloten ISP’s ook nog samen met universiteiten die wetenschappelijk onderzoek verrichten naar de ontwikkelingen op het gebied van cybersecurity en securityleveranciers die deeloplossingen en complementaire services leveren.

IT.Gate samenwerking

De NaWas anti-DDoS oplossing leidt al het netwerkverkeer van een aangevallen internetprovider langs speciale apparatuur voor een grondige ‘wasbeurt’ en stuurt daarna het schone verkeer over een apart VLAN weer terug (momenteel via AMS-IX of NL-IX). Door samenwerkingsverbanden met onder andere IT.Gate is dezelfde oplossing ook op non-profit basis in Italië te gebruiken. Met exchanges in Milaan, Rome en Turijn is dit een belangrijke samenwerkingsrelatie om het internet voor alle Italiaanse ISP’s en hun klanten beter te kunnen beveiligen. Net als andere NaWas-gebruikers hebben ISP’s in Italië tevens behoefte aan een bewezen kosteneffectieve anti-DDoS-oplossing en het delen van kennis en ervaring.

Aanvullende securityservices

Nieuwe internationale partners van NBIP kunnen in eerste instantie op een laagdrempelige wijze via het internet de bestaande NaWas-oplossing gebruiken en daarmee praktijkervaring opdoen voor hun klanten. Afhankelijk van de businessontwikkeling, is het vervolgens mogelijk om samen met geïnteresseerde partners te investeren in een lokaal scrubbingcentrum. Vanuit dezelfde strategie gericht op kennis, ervaring en kosten delen, ontwikkelt NBIP ook aanvullende securityservices. Enkele voorbeelden daarvan zijn een DDoS-detectie-as-a-service (DaaS), DDoS-testing-as-a-service (TaaS) en een webapplicatie-firewall. Internationale partners kunnen hiervan natuurlijk eveneens op een kostenefficiënte wijze mee profiteren.

Ondertussen gaan de gezamenlijke ontwikkelingen in Nederland alweer een stap verder. NBIP werkt momenteel met andere marktpartijen, overheid- en onderwijsorganisaties aan een brede anti-DDoS coalitie. Één van de belangrijkste doelstellingen daarbij is het creëren van een gedeelde centrale DDoS-database voor het karakteriseren van DDoS-aanvallen, waarmee alle betrokkenen zich proactief kunnen beschermen. Deze zogeheten Clearinghouse DDoSDB komt binnenkort als een uitbreiding voor de bestaande DDoS-beveiliging van ISP’s beschikbaar.

Frank Dupker, European Network Manager NaWas van NBIP