Beveiligingsexperts roepen op tot "nationale DDoS-radar"
Vijf beveiligingsexperts hebben in een open brief opgeroepen tot het opzetten van een "nationale DDoS-radar" om DDoS-aanvallen tegen te gaan. Volgens de vijf, Cristian Hesselman, Jeroen van der Ham, Roland van Rijswijk, Jair Santanna en Aiko Pras, is de Nederlandse vitale infrastructuur onvoldoende in staat om steeds grotere en complexere DDoS-aanvallen duurzaam het hoofd te bieden.
Op dit moment worden DDoS-aanvallen voornamelijk reactief bestreden, zo merken de experts op. In veel gevallen stuurt een aangevallen partij het DDoS-verkeer door naar een commercieel DDoS-verwerkingsbedrijf dat het legitieme verkeer scheidt van het aanvalsverkeer. Deze reactieve en individuele strategie vergroot de kans dat aanbieders onvoldoende voorbereid zijn op een aanval en dat er daardoor een verstoring van hun dienstverlening optreedt, aldus de vijf.
Ze pleiten daarom voor een proactieve en collectieve DDoS-bestrijdingsstrategie op basis van de 'nationale DDoS-radar'. Dit is een nog te ontwikkelen systeem dat voortdurend potentiële en actieve DDoS-bronnen in kaart brengt en die automatisch deelt met aangesloten partijen in de vitale infrastructuur. Het kan dan gaan om bijvoorbeeld ip-adressen, netwerk-identifiers en gedetailleerde verkeerspatronen van het DDoS-verkeer.
Via de "fingerprints" die de DDoS-radar verzamelt moet het volgens de experts mogelijk worden om DDoS-aanvallen sneller te herkennen en filteren, wat de kans op een verstoring van de dienstverlening verkleint. Daarnaast stelt het collectieve karakter van de DDoS-radar vitale bieders in staat hun blikveld te verbreden van alleen hun eigen DDoS-sensoren en netwerkverkeer naar de hele Nederlandse vitale infrastructuur.
De vijf experts, die werken bij SIDN Labs, de Universiteit Twente en SURFnet, stellen voor om de DDoS-bestrijdingsstrategie vast te leggen in een anti-DDoS-manifest. Daarin verklaren de vitale aanbieders die deelnemen dat ze voortdurend informatie over DDoS-bronnen verzamelen en die delen als onderdeel van de nationale DDoS-radar. Netwerkbeheerders gebruiken het manifest om het routeren van internetverkeer veiliger te maken.
Zo bevat het anti-DDoS-manifest ook operationele afspraken, zoals welke soorten informatie aanbieders via de DDoS-radar delen, hoe ontvangers die gegevens dienen te gebruiken, hoe er wordt samengewerkt met opsporingsinstanties en welke berichtenformaten de DDoS-radar ondersteunt. Ook het gebruik van 'best practice' anti-DDoS-maatregelen hoort daarbij, zoals BCP38. Het opstellen en beheren van het manifest zou de verantwoordelijkheid moeten worden van een op te richten nationale anti-DDoS-organisatie. De vijf experts willen nu dat partijen uit verschillende sectoren met elkaar om de tafel gaan om te spreken over de haalbaarheid van het anti-DDoS-manifest.
een beveiligingsexpert weet dat er een balans gevonden moet worden. weet dat het protocol verbetert moet worden ipv een nieuwe pleister er op plakken. want ook die pleister gaat lekken.
we zijn gewoon veel te vroeg begonnen met het gebruik van TCP/IP. Dat protocol was nog niet af toen het in productie kwam.
en ipv6 heeft weinig geleerd van de security fouten op het gebied van ipv4.
Begin eerst eens met te regelen dat bedrijven die verkeer met gespoofte source adressen naar buiten laten gaan
van het internet gekinkeld worden!
Anders heb je niks aan die adressen, en tref je ook nog eens onschuldigen met eventuele maatregelen.
Nationaal Detectie Netwerk
Het Nationaal Detectie Netwerk is een samenwerking voor het beter en sneller waarnemen van digitale gevaren en risico's. Door het delen van dreigingsinformatie kunnen partijen vanuit de eigen verantwoordelijkheid tijdig gepaste maatregelen nemen om mogelijke schade te beperken of voorkomen. Zo werken we samen aan de digitale weerbaarheid van Nederland.
of is dit zo'n ambtelijk speeltje?
een beveiligingsexpert weet dat er een balans gevonden moet worden. weet dat het protocol verbetert moet worden ipv een nieuwe pleister er op plakken. want ook die pleister gaat lekken.
we zijn gewoon veel te vroeg begonnen met het gebruik van TCP/IP. Dat protocol was nog niet af toen het in productie kwam.
en ipv6 heeft weinig geleerd van de security fouten op het gebied van ipv4.
Ik weet niet of jij jezelf expert acht, maar "laten we een ander internet protocol ontwerpen" is natuurlijk helemaal een kansloos idee uit de bovenste etage van de ivoren toren.
Of oefen je voor Europees ambtenaar ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.