De systemen testen dankzij een unieke samenwerking
Sinds 2018 werkt een brede groep overheidsorganisties, internetproviders- en exchanges, academische instanties, non-profitorganisaties en banken samen om zich te wapenen tegen DDoS-aanvallen. Dat zijn aanvallen tegen vitale digitale infrastructuren.
Samen vormen zij de zogeheten Anti-DDoS-coalitie. Onlangs kwamen ze midden in de nacht weer samen voor een oefening, waarbij ze de systemen flink onder vuur namen. Ook Rijkswaterstaat nam deel aan deze oefening.
Karl Lovink, lead van het Security Operations Center van de Belastingdienst, vertelt enthousiast over het project: 'Het is gaaf om te zien dat zoveel verschillende partijen meedoen. En we willen allemaal hetzelfde: betere bescherming van onze infrastructuur en van elkaar leren.'
Een goed begin
De voorbereidingen van de avond beginnen ver voordat de oefening gepland staat. Elke organisatie bepaalt welke systemen ze willen aanvallen en hoe de aanval uitgevoerd wordt. Het ‘red team’ is verantwoordelijk voor de aanvallen, het ‘blue team’ voor de verdediging. Eén van de partijen die avond is Nikhef. Tristan, IT architect bij Nikhef, geeft aan dat zij dit belangeloos doen, gedreven door een maatschappelijke motivatie.
Nikhef is het Nationaal instituut voor subatomaire fysica in Nederland. Het beschikt over een gigantische bandbreedte, wat noodzakelijk is voor een dergelijke oefening waarbij zeer veel data wordt verstuurd. Zij zijn onderdeel van de aanvallende teams en stellen onder andere hun kennis en verbinding ter beschikking en hebben daarom een belangrijke rol tijdens de oefening.
Wat is een DDoS-aanval ook alweer?
DDoS staat voor Distributed Denial-of-Service. Bij een DDoS-aanval wordt er vanuit een netwerk van computers in 1 keer een massale hoeveelheid data naar een server gestuurd. Doordat de servers deze informatie niet kunnen verwerken, gaan ze tijdelijk offline of zijn ze slecht bereikbaar. Dat zorgt er bijvoorbeeld voor dat u tijdelijk niet kunt inloggen met DigiD of uw bankzaken niet online kunt regelen.
Rijkswaterstaat-websites, zoals de website van Data Rijkswaterstaat, kunnen hierdoor onbereikbaar raken. Veel partijen maken gebruik van deze data, dus het is van groot belang dat die tegen een digitaal stootje kunnen.
Doel van de anti-DDoS-oefening
Het motto van de avond is ‘Test your anti-DDoS measures before others do it for you’. Daarom wordt er getest op echte systemen en niet op een testomgeving. De doelen die tijdens de oefening worden aangevallen, worden door de organisatie en beheerders vooraf vrijwillig aangewezen.
Het zijn dus echte doelen, maar de aanvallen worden in een gecontroleerde omgeving uitgevoerd. Wanneer er grote problemen ontstaan, door bijvoorbeeld succesvolle en slimme aanvalsplannen van het red team, kan het blue team via de spelleiding ingrijpen en de aanval stoppen.
Tijdens de oefening giert bij zowel de verdedigers als aanvallers de adrenaline door het lijf.
Het examen waar iedereen voor wil slagen
Energiedrankjes zijn eigenlijk niet nodig om iedereen wakker te houden. Tijdens de oefening giert bij zowel de verdedigers als aanvallers de adrenaline door het lijf. Iedereen ziet deze oefening als een examen en iedereen wil slagen.
Of de beveiliging en systemen zijn zo sterk dat de aanvallen afgeslagen kunnen worden, of de aanval is zo slim bedacht dat er toch wat uitgegooid kan worden. Het is echt hard tegen hard.
Prima resultaat, op naar de volgende oefening
Matthijs Goofers, lead bij het Security Operations Centre van Rijkswaterstaat, was ook aanwezig bij de oefening. 'De oefening is voor ons prima verlopen. Het primaire proces van Rijkswaterstaat is minder vatbaar voor DDoS-aanvallen, maar we hebben wel een aantal systemen waarmee we bijvoorbeeld data met derden delen die wél wat gevoeliger voor zo’n aanval zijn', vertelt Goofers. 'Gelukkig zijn de resultaten positief, de systemen die we testten konden goed tegen een stootje.'
Rukiye, SIEM (Security Information en Event Management) specialist Security Operations Center bij Logius en een van de spelleiders die avond, kijkt trots op de oefening terug. 'Een aantal aanvallen zorgt voor enige vertraging bij DigiD en MijnOverheid, maar het blue team heeft het merendeel van de aanvallen succesvol weten af te slaan.'
Gencehan Askin, leider van het red team, is ook zeer te spreken over het verloop. 'Dankzij de inzet van alle deelnemers hebben we er echt weer een succes van kunnen maken. De komende tijd gaan we evalueren en zorgen dat we in de toekomst nog beter bestand zijn tegen dreigingen van buitenaf.'
