Kaspersky DDoS Beveiliging Ontdek hoe Kaspersky Lab bedrijven verdedigt tegen DDoS-aanvallen
Cybercriminelen vallen bedrijven aan Als uw bedrijf wel eens te maken heeft gehad met een DDoS-aanval (Distributed Denial of Service), dan weet u dat de financiële schade en reputatieschade enorm kunnen zijn. Maar zelfs als uw bedrijf tot nu toe heeft weten te ontsnappen aan de aandacht van cybercriminelen en hackers die dergelijke aanvallen uitvoeren, wil dat niet zeggen dat u in de toekomst gespaard zult blijven. Het volume en de ernst van de aanvallen neemt toe Helaas zijn de kosten van het uitvoeren van een DDoSaanval de afgelopen jaren flink gedaald. Het gevolg is dat er momenteel meer aanvallen worden uitgevoerd dan ooit tevoren. Tegelijkertijd worden de aanvallen steeds complexer en zijn ze vaak zo grootschalig dat ze de communicatiebandbreedte van het aangevallen bedrijf in slechts enkele seconden volledig in beslag nemen. Hierdoor worden essentiële bedrijfsprocessen lamgelegd en valt de onlineaanwezigheid van het bedrijf volledig uit.
Elk bedrijf, ongeacht de grootte, vertrouwt op de beschikbaarheid van zijn IT-infrastructuur en website. Langdurige uitval van bedrijfskritische processen en uitvaltijd als gevolg van een DDoS-aanval zijn dan ook uit den boze. Gezien het volume, de omvang en de ernst van moderne aanvallen, kunnen bedrijven het zich niet langer veroorloven om niet na te denken over bescherming tegen DDoS-aanvallen en vermindering van de risico's van dergelijke aanvallen. Zowel bedrijven als overheidsinstanties moeten zich bewust zijn van de dreiging en zorgen dat ze adequate maatregelen hebben genomen tegen DDoS-aanvallen.
Goede bescherming na tijdige waarschuwing Elk bedrijf moet een anti-DDoS-strategie hebben die direct kan worden toegepast zodra een aanval wordt gedetecteerd. Alleen dan kan het bedrijf de gevolgen van de aanval onmiddellijk beperken om: • • • •
De uitvaltijd voor bedrijfskritische infrastructuur en processen tot een minimum te beperken Te garanderen dat klanten hun onlinediensten kunnen blijven gebruiken Te zorgen dat hun werknemers productief kunnen blijven Reputatieschade te beperken
2
DDoS-aanvalsmethoden Bij het uitvoeren van DDoS-aanvallen passen cybercriminelen en hackers verschillende technieken toe om de IT-infrastructuur van een bedrijf te ontwrichten of plat te leggen.
Volume-aanvallen Dit soort aanvallen komt steeds vaker voor. Doordat zoveel verkeer wordt gegenereerd dat de beschikbare bandbreedte van het aangevallen bedrijf wordt overschreden, valt de internetverbinding van het aangevallen bedrijf geheel of gedeeltelijk uit, waardoor alle onlineactiviteiten aanzienlijke vertraging oplopen of zelfs helemaal stilvallen.
Aanvallen op de applicatielaag Bij aanvallen op de applicatielaag wordt geprobeerd om de servers te laten crashen waarop essentiële applicaties worden uitgevoerd, bijvoorbeeld de webserver waarvan de onlineaanwezigheid van het getroffen bedrijf afhankelijk is.
Aanvallen op andere delen van de IT-infrastructuur Aanvallen die tot doel hebben om de netwerkapparatuur en/of serverbesturingssystemen uit te schakelen, kunnen essentiële bedrijfsprocessen volledig platleggen.
Hybride aanvallen Cybercriminelen voeren ook complexe aanvallen uit waarbij verschillende methoden (zoals volumeaanvallen, aanvallen op de applicatielaag en aanvallen op de infrastructuur) worden gecombineerd.
3
De totaaloplossing voor verdediging en risicobeperking Kaspersky DDoS Protection biedt een geïntegreerde totaaloplossing voor bescherming tegen DDoS-aanvallen en beperking van de risico's. We doen er alles aan om uw bedrijf optimaal te beveiligen. Kaspersky DDoS Protection biedt uitgebreide bescherming, van continue analyse van al uw onlineverkeer tot het melden van een mogelijke aanval en van het ontvangen van het omgeleide verkeer tot het filteren van uw 'vervuilde' verkeer en het naar u terugsturen van het 'schone' verkeer. Met dit pakket bent u er zeker van dat uw bedrijf beschermd is tegen alle soorten DDoS-aanvallen en dat de risico's daarvan zo veel mogelijk worden beperkt.
Kaspersky DDoS-bescherming omvat: • • • •
De sensorsoftware van Kaspersky Lab die wordt uitgevoerd binnen uw IT-infrastructuur De diensten van ons wereldwijde netwerk van 'cleaning centers' voor gegevensverkeer Ondersteuning door ons Security Operation Center en onze experts op het gebied van DDoS-bescherming Uitvoerige analyse en rapportage na een aanval
4
Zo werkt Kaspersky DDoS Protection De sensorsoftware van Kaspersky Lab verzamelt informatie over al uw communicatieverkeer, 24x7x365. De sensor wordt zo dicht mogelijk bij de netwerkbron geïnstalleerd die u wilt beschermen en deze verzamelt constant gegevens over uw verkeer, waaronder: • • • • • •
Headergegevens Protocoltypen Aantal verzonden en ontvangen bytes Aantal verzonden en ontvangen pakketten Activiteiten en gedrag van elke bezoeker van uw website Alle metagegevens over uw verkeer
Al deze informatie wordt verzonden naar de cloudservers van Kaspersky Lab, waar een analyse plaatsvindt. Op basis daarvan stellen we profielen samen van het typische gedrag van uw bezoekers en het typische verkeer. Zo kunnen we variatie in het verkeer per tijdstip en per weekdag in kaart brengen en ook zien hoe speciale gebeurtenissen van invloed zijn op verkeerspatronen. Dankzij een gedetailleerd inzicht in uw 'normale verkeer' en het 'normale gedrag
van bezoekers' kunnen onze cloudservers uw verkeer nauwkeurig 'live' (in realtime) analyseren en snel afwijkingen opsporen die kunnen duiden op een aanval op uw bedrijf. Daarnaast monitoren onze experts continu de DDoSrisico's om nieuwe soorten aanvallen te identificeren. Dankzij onze specialistische kennis profiteren klanten van Kaspersky Lab van een snelle respons op een ingezette aanval.
Vals alarm voorkomen en uw verkeer filteren Zodra een mogelijke aanval op uw bedrijf wordt gedetecteerd door onze servers of onze experts, ontvangt het Security Operation Center van Kaspersky Lab een melding. Om valse alarmmeldingen en onnodige verstoring van uw bedrijf te voorkomen, controleren engineers van Kaspersky Lab of de onregelmatigheden in het verkeer of het verdachte gedrag het gevolg is van een DDoS-aanval. Vervolgens nemen onze engineers onmiddellijk contact op met uw bedrijf om te adviseren het verkeer om te leiden naar ons netwerk van cleaning centers. Tijdens de aanval wordt al uw verkeer omgeleid naar één van onze cleaning centers omgeleid en: • Wordt uw infrastructuur niet langer overspoeld door een enorm volume van 'vervuild' verkeer • Scheiden onze cleaning centers het vervuilde verkeer van het legitieme verkeer • Stuurt ons netwerk van cleaning centers het legitieme verkeer terug naar uw bedrijf … dit hele proces verloopt volledig transparant voor uw werknemers en klanten.
5
Bescherming configureren is snel en eenvoudig Wanneer u Kaspersky DDoS Protection kiest, moeten er enkele configuratietaken worden uitgevoerd voordat uw 24x7 monitoring- en 'live'-communicatiekanalen tot zijn stand gebracht. Kaspersky Lab en zijn partners kunnen voor u zo veel of zo weinig van dat configuratieproces uitvoeren als u wilt. Als u een kant-en-klare oplossing wenst, kan Kaspersky Lab (eventueel in samenwerking met zijn partners) u het configuratieproces grotendeels uit handen nemen, waaronder: • De sensorsoftware en -hardware installeren bij u op locatie • Het configureren van het omleiden van 'vervuild' verkeer naar onze cleaning centers • Het configureren van het terugsturen van 'schoon' verkeer naar uw bedrijf … vervolgens hoeft u alleen nog maar een apart internetkanaal naar de sensor te verschaffen, zodat Kaspersky DDoS Protection gegevens kan blijven verzamelen wanneer uw primaire internetkanaal is platgelegd door een aanval.
De sensor die 24x7 monitoring mogelijk maakt De sensorsoftware wordt compleet met een standaard Ubuntu Linux-besturingssysteem geleverd. Omdat de sensorsoftware wordt uitgevoerd op een standaard x86-server of op een virtuele machine*, hoeft u geen speciale hardware te beheren.
en uitgaande verkeer. De sensor analyseert de headers van elk pakket en verzendt informatie naar de cloudservers van Kaspersky DDoS Protection. Hier worden voor uw bedrijf statistische profielen gegenereerd van het 'normale verkeer' en het 'normale gedrag van bezoekers'.
Omdat de sensor wordt aangesloten op de SPAN-poort (Switched Port Analyzer), bevindt deze zich op de ideale plek om al het inkomende en uitgaande verkeer van de beschermde netwerkbron te analyseren.
Om de privacy van uw communicatie te waarborgen en te voldoen aan de regelgeving, registreert de sensor niet de inhoud van berichten binnen uw communicatieverkeer. Doordat de sensor uitsluitend gegevens over het verkeer zelf verzamelt, is de vertrouwelijkheid van uw berichten nooit in het geding door de processen van Kaspersky DDoS Protection.
Zodra de sensor is verbonden met uw infrastructuur begint deze met het verzamelen van gegevens over uw inkomende
*De virtuele machine moet voldoen aan de minimale prestatie-eisen die zijn gedefinieerd door Kaspersky Lab.
Omleiding van verkeer Tijdens normale omstandigheden komt het verkeer rechtstreeks bij uw bedrijfsnetwerk aan, terwijl de cloudservers van Kaspersky DDoS Protection uw netwerk monitoren op tekens van een mogelijke DDoS-aanval. Uw verkeer wordt alleen omgeleid naar ons wereldwijde netwerk van cleaning centers nadat een aanval is gedetecteerd en uw bedrijf heeft aangegeven dat het verkeer mag worden omgeleid. Kaspersky DDoS Protection biedt u de keus uit de volgende omleidingsmethoden: • Border Gateway Protocol (BGP) • Domain Name System (DNS) 6
Virtuele tunnels met GRE (Generic Routing Encapsulation) Welke omleidingsmethode ook het beste is voor uw bedrijf, virtuele tunnels met GRE worden gebruikt om communicatie tussen uw border gateway of router en de toepasselijke cleaning centers van Kaspersky DDoS Protection mogelijk te maken.
Wanneer er een DDoS-aanval wordt uitgevoerd op uw bedrijf, kan al uw verkeer worden omgeleid naar één van onze cleaning centers. Via de virtuele tunnels met GRE wordt het 'schone' verkeer vervolgens teruggeleid van onze cleaning centers naar uw bedrijf.
Kiezen tussen BGP en DNS Of u het omleiden van uw verkeer wilt laten plaatsvinden via BGP of DNS zal in hoge mate afhangen van de inrichting van de IT- en communicatie-infrastructuren van uw bedrijf: • Voor BGP moet u over het volgende beschikken: °° De netwerkbronnen die u wilt beschermen, staan in een leveranciersonafhankelijk netwerk °° Een autonoom systeem … en de meeste grote ondernemingen voldoen aan deze criteria. • Voor DNS moet u: °° Uw eigen domeinzone beheren voor de netwerkbronnen die u wilt beschermen °° De Time-to-Live (TTL) voor DNS-records instellen op 5 minuten Omdat verkeer bij een aanval doorgaans sneller kan worden omgeleid met de BGP-methode, kiezen de meeste bedrijven veelal voor BGP.
7
Zo werkt BGP-omleiding Monitoring In de monitoringmodus wordt al uw verkeer rechtstreeks bij uw bedrijf afgeleverd. Omdat de virtuele tunnels met GRE echter 'live' werken, waarbij uw routers en onze BGP-routers voortdurend statusinformatie uitwisselen, staan de cleaning centers van Kaspersky DDoS Protection altijd direct klaar om uw omgeleide verkeer te ontvangen wanneer dat nodig is.
BGP ― Controle Internet Infrastructuur Kaspersky DDoS Protection
Uw netwerk ISP
Cleaning center 1
Switch Virtuele tunnels
Border-router Virtuele tunnels Cleaning center 2
SPAN
Webserver
Statistieken
KDP-sensor
Tijdens een aanval Wanneer de sensor van Kaspersky Lab afwijkend verkeer detecteert en het begin van een aanval wordt bevestigd door de engineers van Kaspersky Lab, kunt u al uw verkeer laten omleiden naar een cleaning center van Kaspersky DDoS Protection. Zo lang als de aanval duurt, verzamelt de sensor van Kaspersky Lab informatie die ter analyse wordt verzonden naar de cloudservers van Kaspersky DDoS Protection.
8
BGP - risicobeperking Internet Infrastructuur Kaspersky DDoS Protection
Uw netwerk BGP-aankondiging door KDP
Cleaning center 1
Border-router
Virtuele tunnels
Virtuele tunnels Cleaning center 2
Switch
SPAN
Webserver
Statistieken
KDP-sensor
Na een aanval Wanneer de aanval is gestopt, wordt uw verkeer weer rechtstreeks naar uw bedrijf verzonden. De sensor blijft informatie over uw verkeer verzamelen en doorgeven aan onze cloudservers, zodat we de opgebouwde gedragsprofielen voor normaal verkeer verder kunnen verfijnen.
De virtuele tunnels blijven live en wisselen statusinformatie uit tussen uw router en die van Kaspersky Lab, zodat Kaspersky DDoS Protection direct kan optreden als een nieuwe aanval tegen uw bedrijf wordt gelanceerd en u uw verkeer weer wilt laten omleiden.
De experts van Kaspersky Lab verschaffen u na de aanval een gedetailleerde analyse en rapportage met informatie over: • Wat er gebeurde tijdens de aanval • Hoe lang de aanval duurde • Wat Kaspersky DDoS Protection tegen de aanval heeft gedaan
9
Zo werkt DNS-omleiding Monitoring Tijdens de eerste configuratie wijst Kaspersky Lab een van zijn Kaspersky DDoS Protection IP-adressen toe aan uw bedrijf. Dit adres zal bij een aanval worden gebruikt. In de monitoringmodus wordt al uw verkeer rechtstreeks bij uw bedrijf afgeleverd via het gebruikelijke IP-adres. Omdat de virtuele tunnels met GRE echter 'live' werken, waarbij uw routers en onze BGP-routers voortdurend statusinformatie uitwisselen, staan de cleaning centers van Kaspersky DDoS Protection altijd direct klaar om uw omgeleide verkeer te ontvangen wanneer dat nodig is.
DNS - monitoring Internet Infrastructuur Kaspersky DDoS Protection
Uw netwerk ISP
Cleaning center 1
Switch Virtuele tunnels
DNS verwijst naar externe IP-adressen van klant
Border-router Virtuele tunnels Cleaning center 2
SPAN
Webserver
Statistieken
KDP-sensor
Tijdens een aanval Wanneer de sensor van Kaspersky Lab afwijkend verkeer heeft gedetecteerd en het begin van een aanval wordt bevestigd door de engineers van Kaspersky Lab, hoeft u alleen het IP-adres van uw bedrijf te wijzigen in de DNS A-record. Hierdoor wordt het Kaspersky DDoS Protection IP-adres wordt gebruikt dat tijdens de eerste configuratie aan uw bedrijf werd toegewezen. Omdat hackers rechtstreeks uw IP-adres kunnen aanvallen, moet uw ISP tegelijkertijd al het verkeer naar uw oorspronkelijke IP-adres blokkeren, behalve uiteraard de communicatie met de Kaspersky DDoS Protection-infrastructuur. Nadat uw IP-adres is gewijzigd, wordt al uw verkeer omgeleid naar de cleaning centers van Kaspersky Lab. Het 'schone' verkeer wordt vervolgens van onze cleaning centers via de virtuele tunnels met GRE teruggeleid naar uw bedrijf.
10
DNS - risicobeperking Internet Infrastructuur Kaspersky DDoS Protection
Cleaning center 1
Uw netwerk
Border-router
Switch
Virtuele tunnels
DNS verwijst naar IP-adressen van KDP NAT SPAN
Virtuele tunnels Cleaning center 2
Webserver
Statistieken
KDP-sensor
Na een aanval Wanneer de aanval is gestopt, kunt u de blokkering van uw oorspronkelijke IP-adres opheffen en de DNS A-record aanpassen, zodat uw verkeer weer rechtstreeks naar uw bedrijf wordt geleid.
De virtuele tunnels blijven live en wisselen statusinformatie uit tussen uw router en die van Kaspersky Lab, zodat Kaspersky DDoS Protection direct kan optreden als een nieuwe aanval tegen uw bedrijf wordt gelanceerd en u uw verkeer weer wilt laten omleiden.
De sensor van Kaspersky Lab blijft informatie over uw verkeer verzamelen en doorgeven aan onze cloudservers, zodat we de opgebouwde gedragsprofielen voor normaal verkeer verder kunnen verfijnen.
De experts van Kaspersky Lab verschaffen u na de aanval een gedetailleerde analyse en rapportage met informatie over: • Wat er gebeurde tijdens de aanval • Hoe lang de aanval duurde • Wat Kaspersky DDoS Protection tegen de aanval heeft gedaan
11
Informatieverzameling over dreigingen: voor nog betere verdediging Kaspersky DDoS Protection bevat nog een ander belangrijk verdedigingselement, dat andere leveranciers niet kunnen bieden.
Kaspersky Lab is de eerste anti-malwareleverancier die ook een beveiligingsoplossing tegen DDoS-aanvallen biedt. Geen enkele andere anti-DDoS-leverancier beschikt over de kennis, ervaring en infrastructuur waarop onze interne beveiligingsafdeling een beroep kan doen. Als onderdeel van hun werk om baanbrekende IT-beveiligingstechnologie te ontwikkelen, monitoren onze dreigingsexperts continu het risicolandschap om nieuwe malware en opkomende internetdreigingen in kaart te brengen. Dezelfde experts en dezelfde geavanceerde methoden worden ook ingezet om het DDoSrisicolandschap te monitoren. Dankzij deze specialistische kennis kunnen we DDoS-aanvallen eerder detecteren, zodat uw bedrijf kan profiteren van snellere beveiliging.
Meerlaagse bescherming Met een unieke combinatie van continue verkeersmonitoring, statistische analyse en gedragsanalyse, plus onze specialistische, proactieve kennis van DDoS-aanvallen, leveren we een robuuste beveiligingsoplossing die uw bedrijf beschermt tegen DDoS-aanvallen.
https://twitter.com/ kaspersky_bnl
Kaspersky Lab Kaspersky.nl
https://www.facebook.com/ KasperskyLabBenelux
Alles over internetbeveiliging: www.securelist.com
Youtube.com/ Kaspersky
Zoek een partner bij u in de buurt: http://www.kaspersky.com/nl/partners
© 2014 Kaspersky Lab. Alle rechten voorbehouden. Geregistreerde handelsmerken en servicemerken zijn het eigendom van de respectieve eigenaars. DataSheet_DDoS/August14/Global