Opkrikken de IT-security daarbinnen!

Je kan toch achterhalen waar de DDoS vandaan komt?
Waarom keert die dan elke keer weer terug?
Pakken ze de daders niet op, ofzo?

Geloof er geen barst van.

Elk jaar zelfde onzin verhaal en net toevallig tijdens de belastingaangifte periode. Nooit komen er signalen vanuit OSINT dat het een staatsgesponderde APT betreft achteraf dus ik zie geopolitiek spel ook niet als waarschijnlijk scenario.

Ik denk dat Logius gewoon geen zin heeft om hun resources op te hogen voor de luttele paar miljoen inlogs per week die ze voor 2 maanden aan moeten houden. Zoveel makkelijker om het excuus DDoS te gebruiken.

Als DigiD maar niet "achter Cloudflare" gaat (https://security.nl/posting/878237). Dan maar even geduld.

Overigens roep ik al meer dan 30 jaar dat we problemen bij de bron moeten aanpakken; bij elke internetaansluiting heb je rechten én plichten. De mensen die 10Gbps "voor thuis" willen en hun netwerk volplempen met brakke IoT en random apps en/of software installeren, moeten maar eens flink gaan betalen als zij falen.

Ja en Nee. Een provider kan je ook dichtknallen.

DigiD is beperkt bereikbaar.
Precies als het weer tijd is om de belastingaangifte in te vullen.
Zou er enig causaal verband bestaan?
Iemand die belastingaangiftes haat of zo? (met januari als test of zo)


"(Digitalisering) Leuker kunnen we het niet maken."
Suggestie: verspreid de aangifte meer over het jaar.
Dan zitten mensen elkaar minder in de weg bij verminderde capaciteit.

Makkelijk praten weer, en inderdaad is de belastingaangifte niet _heel_ urgent.

Nu wil ik even kijken hoe laat en waar ik ook al weer in het ziekenhuis moet zijn vanmiddag ....

Availability _is_ belangrijk.


1 - volumetrische DDoS is feitelijk niet zo'n groot issue. Een budget 100M (of 10M) aansluiting kan ook al lekker bijdragen.

2 - Goh ? Als het om financiele schade gaat zijn bij jou onkundige zielepoten die niet weten wat ze doen altijd onschuldig en moet een ander opdraaien voor hun schade , maar hier mag de prototypische bejaarde wel met de kop op het hakblok ?

Nee dus. 100.000 gehackte computers en IoT-apparaten van over de hele wereld die om de paar seconden een verbinding proberen te openen zonder die netjes af te maken leggen zelfs de grootste website plat.

En je kunt niet op individuele basis zeggen welke connectieverzoeken echt zijn en welke van de DDOS'sers afkomstig zijn.

Waarom zet men hier dan geen AI op in?
AI kan anomalieën herkennen en hierop inspelen.
AI kan helpen en sturen bij het mitigeren van de aanval.
Het kan integreren met andere beveiligingsmaatregelen.

Waarom doet men dit dan niet?

Waarom worden deze 100000 gehackte apparaten niet opgeschoond of geïsoleerd?
Als je de aanvaller zonder gevolgen door laat gaan krijg je natuurlijk steeds meer en grotere botnets!
Als elke botnet maar een enkele keer te gebruiken is, dan loont het niet en houd het vanzelf een keer op...

Twee redenen: omdat we hier allemaal collectief willen dat mensen zich niet bemoeien met onze internetverbinding; dat is een grondrecht. (al zijn er binnen NL wel providers die je afsluiten tot je met bewijs komt dat je het probleem hebt verholpen). En het kernwoord: "over de hele wereld". Succes met optreden.

Dan moet je de AI de data laten analyseren.

Ik denk dat als je een bak data groot genoeg om je service plat te legen je AI in slingert, het enige wat je bereikt is dat ook je AI plat gaat. Immers is AI niet zo resource efficient.

Want een DDOS kun je gemakkelijk oplossen met security?

Je hebt weinig kennis en ervaring met DDOS blijkbaar?

Ik denk dat je weinig kennis, ervaring en specialisme op dit onderdeel hebt en daarom maar gewoon wat roept wat stoer in een kroeg klinkt?

Je stelt gewoon een connection maximum in je zorgt dat er connection throttling gebeurt als dit boven een waarde uitkomt en je zet er een block op als de overschrijving nog vaker komt. Wat je nodig hebt is genoeg reserve qua resources. En van een partij die werkt met kritieke infrastructuur mag je wel behoorlijke reserves verwachten.

Vervolgens check je de logs voor opvallende ranges en kun je een CIDR range block instellen tijdelijk tot het kalmeert en berokken providers waarschuwen als het betrouwbare partijen zijn. Daar heb je als grote speler hopelijk toch echt wel lijnen voor.

Of je automatiseerd dit alles voor groot deel door machinelearning aangestuurd scrubbing center te koppelen aan je DNS en daar op patroon te laten filteren. Dan wordt het bezoek stukken trager maar grotere kans dat de connectie niet halverwege zich afkapt omdat de werkelijke servers simpelweg lagere volumes tegelijk krijgen. En scrubbingcenters zijn speciaal gebouwd om mega grote ladingen aan data, connecties aan te kunnen.


Kun je elke DDoS voorkomen uiteraard niet maar het excuus van dat je je niet kunt wapenen tegen een DDoS is onzin. Het kost alleen geld.

Waarom zou AI dat moeten analyseren?
Maak een datadump van een aantal TB aan netwerk traffic, gebruik de juiste filters en je hebt zo de IP's te pakken.
Dan pak je de lijst van IP blokken en de bijbehorende eigenaren erbij en soorteer je die lijst.
(Vergeet niet te aggregeren per eigenaar, gezien een organisatie meerdere blokken kan hebben.)
Ten slotte stuur je elke organisatie een bericht met de lijst van hun "gehackte IP adressen".

Kan van alles zijn.
Speculeer op maar lekker op Rusland, of Oekraine met "boos op iedereen in het Westen/NAVO" .

Of een belastinghater.

Of scholieren op vakantie.


Waar komt die drang vandaan om de aangifte op dag 2 al in te schieten ?
Je hebt fucking twee maanden.
Het _is_ al verspreid over 1/6 van het jaar.

Een door AI aangedreven IP-blocklist kan inderdaad een krachtige tool zijn in de strijd tegen DDoS-aanvallen en andere bedreigingen. Het biedt snelheid, efficiëntie en de mogelijkheid om zich aan te passen aan nieuwe dreigingen. Echter, de effectiviteit hangt af van de implementatie, de kwaliteit van de data en de manier waarop de resultaten worden beheerd. Zoals bij veel technologieën is het belangrijk om voor een holistische aanpak te kiezen en AI te combineren met andere beveiligingsstrategieën.

De suggestie waar ik op reageerde was om AI in te zetten voor detectie en mitigatie. Heb je lekker weggeknipt in het quote bericht, want ja wat doet context er ook toe?

Ja, om AI in te zetten moet je AI inzetten. (duh)

Probeer het als manager in je carriere. Roep maar het hippe hype woord van het moment als "oplossing" .

Was twee jaar geleden je advies om "big data" in te zetten voor of tegen iets ?
Of om de aangiftes "via de blockchain" te doen ?

FYI - wat nu nogal gehyped wordt als "AI" zit natuurlijk al in detectie/mitigatie tools , onder de naam 'anomalie detectie" , "automated baselining" etc etc , en nogal simpele statistiek en heuristiek als ruim voldoende voor een hoop DDoS detectie/mitigatie .

Het is typisch een keten van filters, en er zitten wat processen omheen hoe/waar/wanneer je gaat mitigeren .
Naarmate de DDoS slimmer is en meer lijkt op 'normaal' wordt dat moeilijker .
Hoe dichterbij de edge van het netwerk je (al) DoS van normaal kunt onderscheiden des te efficienter kun je filteren.

Het is van buitenaf zo niet te zeggen of ze slecht/langzaam reageren, of dat het een erg lastige DDoS is om te mitigeren .

Het is wel te zeggen dat er veel meer nodig is dan een hype woord roepen en zeggen "dan ben je klaar" .