Grégory Degueldre werkt sinds 2016 als Network Architect bij Belnet. Voordien heeft hij verschillende jaren bij Defensie gewerkt, waar hij betrokken was bij de uitrol van het nieuwe WAN/LAN-netwerk. Gezien de aard van de activiteiten van Defensie, was de beveiliging van het IT-netwerk een cruciaal onderdeel hiervan.
Met zijn achtergrond en interesse in IT-beveiliging was het vanzelfsprekend om hem te betrekken bij de implementatie van de eerste anti-DDoS-oplossing toen hij bij Belnet in dienst trad. Als beheerder van de dienst werd hij geconfronteerd met een aanzienlijk aantal DDoS-aanvallen die zowel onderzoeks- en onderwijsinstellingen als federale overheidsdiensten viseerden. In de loop der jaren heeft hij een ruime expertise op dit gebied ontwikkeld, onder meer door regelmatig in contact te staan met verschillende leveranciers van anti-DDoS-oplossingen.
Grégory, binnenkort starten jullie met de implementatie van Advanced DDoS Security, de nieuwe anti-DDoS-oplossing van Belnet. Kan je in grote lijnen beschrijven welk proces hieraan voorafgegaan is?
De oude anti-DDoS-oplossing van Belnet had stilaan haar capaciteitslimiet bereikt en we konden onmogelijk nog meer klanten beschermen. Belnet moest dus op zoek naar een nieuwe oplossing en besliste om te starten met een marktanalyse. We namen contact op met de meest gerenommeerde aanbieders van oplossingen voor de ISP-sector. Alle geïdentificeerde oplossingen werkten echter heel verschillend van elkaar, wat vergelijking moeilijk maakte. Daarom besliste Belnet om een specifieke openbare aanbestedingsprocedure te lanceren: de concurrentiegerichte dialoog.
Deze procedure maakte het mogelijk om potentiële partners te selecteren die aan de minimumvereisten konden voldoen. Vervolgens moesten de gekozen oplossingen worden gevalideerd onafhankelijk van hun werking, maar door een lange lijst van technische vereisten op het gebied van functionaliteit en capaciteit op te sommen. De validatie van de voorgestelde oplossingen gebeurde zowel op papier, met de technische fiches van de elementen, als in een testlab. Elke functionaliteit of mogelijkheid moest worden aangetoond. Alleen de kandidaten die een oplossing voorstelden die aan alle eisen voldeed, werden uitgenodigd om een offerte in te dienen. Uiteindelijk werd de opdracht gegund op basis van de prijs en de aangeboden SLA's.
Wat heeft de doorslag gegeven in jullie keuze voor de nieuwe oplossing?
Belnet volgt de wetgeving inzake overheidsopdrachten en mag dus geen subjectieve keuzes maken. Het was de bedoeling de behoeften van Belnet voor de komende 4 jaar objectief in kaart te brengen. Daarvoor was een visie nodig. Hierbij dienden de technische specificaties, eigenschappen en capaciteit als minimumvereisten. Uiteindelijk kan ik zeggen dat Belnet zowel tevreden is over de gunning als over het gevolgde proces. Het proces stelde ons in staat om heel wat bij te leren over de verschillende mitigatiebenaderingen.
Kun je uitleggen hoe Advanced DDoS Security concreet in zijn werk gaat?
Het inkomend netwerkverkeer wordt continu gemonitord. Tijdens een aanval zal de omvang van het verkeer naar een bestemming of het aandeel van bepaalde soorten pakketten er anders uitzien dan onder normale omstandigheden. Het systeem detecteert die afwijking en dus de aanval en stelt het managementsysteem - de hersenen van de oplossing - op de hoogte. Dat systeem besluit vervolgens om het verkeer dat bestemd is voor het doelwit van de aanval naar een scrubbing center om te leiden en stuurt een waarschuwing naar de klant onder aanval. Het scrubbing center zorgt ervoor dat legitiem verkeer van kwaadaardig verkeer wordt onderscheiden. Alleen legitiem verkeer wordt doorgestuurd naar de echte bestemming. Kwaadaardig verkeer wordt geblokkeerd en verwijderd.
De daarbij gebruikte technieken zijn afhankelijk van de aanval en kunnen afzonderlijk of gezamenlijk worden ingezet om tot een fijnmazige opschoning van het inkomende verkeer te komen. Als de aanval zeer omvangrijk wordt, zal de oplossing een eerste filter implementeren op de routers die verbonden zijn met onze externe internetverbindingen. Hierdoor kan Belnet aanvallen afweren tot aan zijn eigen externe capaciteit. Alleen als deze externe capaciteit in gevaar komt, zal het verkeer op weg naar het doelwit worden omgeleid naar het Cloud Scrubbing Center. Op dat moment bereikt het aanvalsverkeer het Belnet-netwerk niet meer. Het verkeer naar het doelwit wordt in feite opgeschoond voordat het naar zijn echte bestemming wordt geleid.
Zodra de aanval voorbij is, blijft de bescherming nog een tijdje actief voor het geval de aanval wordt hervat. Uiteindelijk, als alles normaal blijft, wordt de beveiliging uitgeschakeld. Er wordt een incidentrapport gegenereerd en verzonden naar de klant die het doelwit was. Dit rapport geeft details over de aanval, zoals het doelwit, de meest actieve bronnen, de gebruikte vectoren en het aantal pakketten dat werd gefilterd.
Wat zijn de belangrijkste voordelen voor de klant ? Welke extra voordelen biedt de nieuwe dienst ten opzichte van de vorige?
- De nieuwe oplossing staat niet meer permanent in verkeersstroom. Dit verkleint aanzienlijk de kans op false positives of het droppen van legitieme pakketten. Bovendien hebben bugs of onderhoud van de oplossing geen invloed meer op de klant, aangezien de oplossing alleen wordt gebruikt tijdens aanvallen.
- Hoewel het buiten de normale verkeersstroom vallen resulteert in een langere mitigatietijd, laat het ook toe om alle Belnet-klanten te beschermen met een kleinere infrastructuur. Niet alle klanten worden tegelijkertijd aangevallen. Belnet wordt dus niet beperkt in het aantal te beschermen klanten, noch qua capaciteit, noch qua interne middelen.
- De mitigatiecapaciteit is nu veel groter zowel op het Belnet-netwerk als door een beroep te doen op het Cloud Scrubbing Center.
- Het aantal beschikbare mitigatietechnieken is veel groter. De mitigatie is slimmer in vergelijking met eenvoudige volumelimieten. Het is nu mogelijk om botnetleden te identificeren of de kenmerken van aanvalspakketten te vergelijken met legitiem verkeer (gedragsanalyse).
- De nieuwe oplossing bestaat uit verschillende beschermingslagen: intelligente scrubbingapparatuur, filters aan de rand van het Belnet-netwerk voor meer volumetrische aanvallen en het Cloud Scrubbing Center voor zeer grootschalige aanvallen.
- Wanneer een klant wordt aangevallen, wordt hij voortaan direct op de hoogte gebracht zodra de mitigatie is geïmplementeerd.
Welke zijn de belangrijkste redenen waarom klanten kiezen voor DDoS-bescherming?
Werken zonder internetverbinding is tegenwoordig ondenkbaar geworden. Steeds meer organisaties maken gebruik van applicaties die in de cloud draaien. Tijdens een DDoS-aanval zullen bijgevolg de hele organisatie en al haar medewerkers niet kunnen werken, of worden hun activiteiten in ieder geval ernstig getroffen. Dit gaat ook vaak gepaard met berichten in de pers die klinken als een demonstratie van machteloosheid en een slecht imago geven wat betreft betrouwbaarheid.
Oplossingen tegen DDoS-aanvallen worden echter nog al te vaak als duur en nutteloos beschouwd, zeker door wie er nog geen slachtoffer van geworden is. Dit is bij alle verzekeringen zo. Het verhaal verandert volledig wanneer een klant op een kritiek moment wordt aangevallen. Dan wordt de uitvoering van de bescherming altijd een prioriteit. Zelfs als de activering van de bescherming technisch mogelijk is in zeer korte tijd, moet men begrijpen dat de mitigerende maatregelen niet 100% functioneel zullen zijn. De oplossing moet namelijk leren wat legitiem is om een benchmark op te bouwen en zo beter te kunnen identificeren wat kwaadaardig is. Anders wordt de oplossing beroofd van zijn mechanismen en loopt u het risico dat ze minder effectief is en iets te veel kwaadaardig verkeer doorlaat of, erger nog, legitiem verkeer stopt.