Lid worden van een anti-DDoS-coalitie is voor iedereen voordelig
Door
- Dr. Abhishta Abhishta: Universitair docent, Finance and Cyber Risk Management, Universiteit Twente (UT)
- Dr. Cristian Hesselman: Directeur SIDN Labs en universitair hoofddocent (UT)
- Dr. Laura Spierdijk: Hoogleraar, Financial Engineering & Management (UT)
- Dr. Jan-Willem Bullee: Universitair docent, Cyber Crime Interventions (UT)
Een anti-DDoS-coalitie is een groep organisaties die gezamenlijk de beschikbaarheid van hun diensten willen vergroten door DDoS-aanvallen in samenwerkingsverband te bestrijden. In deze blog gaan we kort in op de economische voordelen voor de leden van zo’n coalitie, bijvoorbeeld de deelnemers aan de nationale anti-DDoS-coalitie. We verwijzen lezers naar deze blog voor meer informatie over de belangrijkste activiteiten van een anti-DDoS-coalitie (grootschalige gezamenlijke DDoS-oefeningen, automatische uitwisseling van de metagegevens van DDoS-aanvallen en kennisuitwisseling).
DDoS-aanvallen vormen een risico voor digitale samenlevingen
Het internet is voor de meesten van ons een essentieel hulpmiddel geworden en van cruciaal belang voor onze moderne digitale samenleving. Zo speelden online diensten tijdens de coronalockdowns van 2020 en 2021 een grote rol in het draaiend houden van de economie. Tegelijkertijd proberen cybercriminelen echter voortdurend om die diensten te ontwrichten door er Distributed Denial-of-Service-aanvallen (meestal gewoon DDoS-aanvallen genoemd) op uit te voeren. Voorbeelden van DDoS-aanvallen met veel impact zijn de aanvallen op DNS-operator Dyn (2016), op Nederlandse banken en overheidsinstellingen (begin 2018) en op de beheerder van het nationale onderzoeks- en onderwijsnetwerk van België (mei 2021).
Voor burgers brengt de onbereikbaarheid van het internet hun digitale leven tot stilstand. Voor organisaties kan het ernstige zakelijke gevolgen hebben. Het kan er bijvoorbeeld toe leiden dat gegevens niet beschikbaar zijn en essentiële banktransacties vertraging oplopen en het kan zelfs een blijvende impact hebben op bedrijfsprocessen. Voor ondernemingen die sterk afhankelijk zijn van clouddiensten kan een DDoS-aanval op die diensten catastrofaal zijn. Recente storingen, zoals die bij CDN’s zoals Fastly, hebben duidelijk gemaakt hoe belangrijk de beschikbaarheid van dit soort externe diensten is voor de bedrijven die erop vertrouwen.
Voordelen voor aanvallers
Cybercriminelen gebruiken DDoS-aanvallen om allerlei verschillende redenen die al dan niet te maken hebben met direct geldelijk gewin. Het boek “The Coming Swarm – DDoS Actions, Hacktivism, and Civil Disobedience on the Internet” gaat bijvoorbeeld over de rol van DDoS-aanvallen als daden van burgerlijke ongehoorzaamheid. Als aanvallers handelen vanuit burgerlijke ongehoorzaamheid, is hun primaire doel om de aandacht te trekken van bepaalde autoriteiten (zoals overheden). Verder kunnen DDoS-aanvallen worden uitgevoerd om wraak te nemen en sommige aanvallers gaat het om de ‘intellectuele uitdaging’. De meest recente ontwikkeling is dat criminelen DDoS-aanvallen gebruiken om de beschikbaarheid van de diensten van hun doelwitten te ‘kapen’ als onderdeel van ransomwarecampagnes.
Economische impact op getroffen organisaties
De economische impact op ondernemingen die ten prooi zijn gevallen aan een DDoS-aanval is grofweg onder te verdelen in verdedigingskosten, indirecte schade en directe schade.
Verdedigingskosten worden gedefinieerd als de financiële tegenwaarde van preventieve maatregelen. Dit zijn kosten die worden gemaakt in afwachting van een aanval. Het kan daarbij gaan om investeringen in on-site DDoS-apparatuur, voorzieningen voor het monitoren van het verkeer en wasstraten zoals de NaWas, om maar wat voorbeelden te noemen. Als een organisatie na dergelijke investeringen alsnog het slachtoffer wordt van een DDoS-aanval, kunnen de verdedigingskosten als schade worden beschouwd. Zo leidde de DDoS-aanval op Dyn in 2016 tot een stijging van de verdedigingskosten voor organisaties die door die aanval onbereikbaar waren geworden.
Indirecte schade is de financiële tegenwaarde van de verliezen en opportunitykosten waarmee de samenleving wordt opgezadeld door het feit dat een bepaald cyberdelict is gepleegd. Een voorbeeld van indirecte schade als gevolg van een DDoS-aanval is een verandering in de perceptie van beleggers ten aanzien van de marktwaarde van een getroffen onderneming (wat gevolgen heeft voor de aandelenkoers). Nieuwsberichten over succesvolle DDoS-aanvallen kunnen zelfs een nadelig effect hebben op de manier waarop de consument naar een merk kijkt. Uit onderzoeken op basis van enquêtes blijkt dat DDoS-aanvallen het vertrouwen van de consument doorgaans niet ten goede komen.
Directe schade wordt gedefinieerd als de financiële tegenwaarde van verliezen, schade of andere problemen waarmee het slachtoffer te maken krijgt als gevolg van een aanval. In het geval van bijvoorbeeld een internetprovider (zoals een hostingaanbieder of DNS-serviceprovider) kunnen klanten van het getroffen bedrijf (permanent) overstappen naar een andere provider als de service niet beschikbaar is. Een ander voorbeeld is een webwinkel die omzet misloopt omdat een DDoS-aanval hun platform heeft platgelegd. Een deel van de directe schade kan bestaan uit criminele inkomsten, de financiële tegenwaarde van de bruto-opbrengsten van een DDoS-aanval. Er zijn bijvoorbeeld gevallen geweest waarin organisaties werden gedwongen om losgeld te betalen om een DDoS-aanval te voorkomen.
De economische impact van anti-DDoS-coalities
Een anti-DDoS-coalitie is een groep organisaties die hun krachten bundelen om gezamenlijk te vechten tegen DDoS-aanvallen. Deze strategie geeft deze organisaties niet alleen de mogelijkheden om proactief op te treden tegen grote aanvallen, maar vermindert ook de economische impact van DDoS-aanvallen in termen van directe schade, indirecte schade en verdedigingskosten. Figuur 1 illustreert hoe de nationale anti-DDoS-coalitie bijdraagt aan het verlagen van deze kosten door middel van 3 kernactiviteiten: grootschalige gezamenlijke DDoS-oefeningen, het delen van metagegevens over DDoS-aanvallen via het DDoS Clearing House, en het uitwisselen van kennis.
Figuur 1: Model van de manier waarop de nationale anti-DDoS-coalitie ertoe bijdraagt dat leden minder financiële schade lijden als gevolg van DDoS-aanvallen.
De grootschalige gezamenlijke DDoS-oefeningen van de coalitie dragen ertoe bij dat de coalitieleden minder kwetsbaar zijn en hun potentiële schade afneemt. Dit komt doordat deelname aan de oefeningen de coalitieleden inzicht geeft in welke van hun systemen in het geval van een DDoS-aanval meer kans hebben om te falen. Op basis van de opgedane ervaring kunnen ze een meer solide mitigatieplan opstellen om aanvallen tegen te gaan voor ze daadwerkelijk plaatsvinden. Dat vergroot niet alleen de paraatheid van de coalitieleden, maar ook het vertrouwen dat de consument in de diensten van de leden heeft.
Het DDoS Clearing House is een geautomatiseerd systeem voor het delen van de fingerprints van actieve of eerdere DDoS-aanvallen waarmee leden te maken hebben gehad. Het helpt andere leden om proactief en met grotere efficiëntie DDoS-afwijkingen in het netwerkverkeer te filteren als ze door dezelfde aanval worden getroffen, waardoor de kwetsbaarheid voor DDoS van de deelnemende organisaties nog verder afneemt. De DDoS-fingerprints definiëren DDoS-aanvallen bovendien in termen van onderscheidende kenmerken. Hierdoor lopen aanvallers flink meer risico om opgepakt te worden en de dreiging van DDoS-aanvallen dus afneemt.
Net als het DDoS Clearing House geven ook de activiteiten van de nationale anti-DDoS-coalitie in het kader van kennisuitwisseling de afzonderlijke leden meer inzicht in aanvalstrends, zodat ze hun investering in beschermende maatregelen proactief kunnen plannen. Het delen van kennis helpt mogelijk ook om aanvallers ervan te weerhouden leden van de coalitie als doelwit te kiezen, omdat aanvallen minder kans van slagen hebben als gevolg van de onderlinge samenwerking.
De 3 activiteiten van de coalitie zijn in wezen interventies op het gebied van cybersecurity, gericht op het verminderen van de kans op een DDoS-aanval (d.w.z. het verminderen van de dreiging), het verminderen van de slagingskans van een aanval (d.w.z. het verminderen van de kwetsbaarheid van een potentieel doelwit) en het verminderen van de potentiële schade. Het aanpakken van die 3 variabelen draagt weer bij tot het verlagen van de directe, indirecte en verdedigingskosten waarmee een lid geconfronteerd kan worden als gevolg van een DDoS-aanval.
Lid worden van een anti-DDoS-coalitie is voor iedereen voordelig
We zijn van mening dat leden van een anti-DDoS-coalitie direct en indirect economisch voordeel halen uit de activiteiten van de coalitie, wat een extra stimulans voor organisaties zou kunnen zijn om lid te worden. In de toekomst zouden aanbieders van cyberverzekeringen de economische impact verder kunnen vergroten, bijvoorbeeld door de schade van DDoS-aanvallen op organisaties te dekken als ze lid zijn van een anti-DDoS-coalitie. Kortom, een anti-DDoS-coalitie levert de samenleving een betere beschikbaarheid van online diensten op en de leden van de coalitie economisch voordeel. Iedereen gaat er dus op vooruit en dat is reden te meer om mee te doen aan het initiatief hier in Nederland.
Toekomstig werk
Volgens de huidige schattingen kunnen DDoS-aanvallen leiden van niet-monetaire verliezen tot verliezen die in de duizenden euro’s lopen. Dit hangt af van verschillende factoren, zoals het type en de grootte van de slachtofferorganisatie en de ernst van de aanval. Momenteel loopt er onderzoek, als onderdeel van het MASCOT-project, om de invloed van deze factoren op de door het slachtoffer geleden verliezen te begrijpen en te meten. In toekomstige blogs houden we je op de hoogte van de resultaten.
Met dank aan
SIDN en Universiteit Twente zijn lid van de nationale anti-DDoS-coalitie, een zelfgefinancierd publiek-privaat initiatief om leden en de bredere internetgemeenschap gezamenlijk te beschermen tegen DDoS-aanvallen. Website: https://www.nomoreddos.org/en/. SIDN en Universiteit Twente zijn medegefinancierd door het onderzoeks- en innovatieprogramma Horizon 2020 van de Europese Unie in het kader van subsidieovereenkomst nr. 830927. Projectwebsite: https://www.concordia-h2020.eu/.