“Deze oefeningen zijn uniek in de wereld.”

Gezamenlijke DDoS-oefeningen door Nederlandse anti-DDoS-coalitie

DDoS-aanvallen worden steeds groter en complexer. Reactief en individueel actie ondernemen is vaak onvoldoende. Daarom richtten we met enkele andere partijen de Nederlandse anti-DDoS-coalitie op. Deze coalitie deelt de karakteristieken van DDoS-aanvallen via een DDoS-clearinghouse en kennis over DDoS-aanvallen. Daarnaast houden de deelnemende partijen samen DDoS-oefeningen. Karl Lovink, Technical Lead Security Operations Center van de Belastingdienst, en Marc Groeneweg, Infrastructure & Security Architect bij SIDN, organiseren deze oefeningen. “Wij kunnen elk moment op de ‘rode knop’ drukken.”

Waarom is het zo belangrijk om samen in actie te komen tegen DDoS-aanvallen?

Lovink: “Iedereen heeft met DDoS-aanvallen te maken. Het is nooit slechts één partij die last heeft. Als DigiD niet werkt, kunnen mensen ook niet inloggen op de website van de Belastingdienst. Als Ziggo eruit ligt, kunnen hun klanten ook geen domeinnamen registreren. Daarom is samenwerken zo belangrijk. Samen hebben we enorm veel kennis. Als we die kennis delen en acties op elkaar afstemmen, zijn we weerbaarder en daar profiteert iedereen in Nederland van”.

Karl Lovink
Karl Lovink, Technical Lead Security Operations Center van de Belastingdienst

Zijn er meer landen waar gezamenlijk geoefend wordt?

Lovink: “Voor zover ik weet, zijn deze oefeningen uniek in de wereld. Het is vooral bijzonder dat publieke en private organisaties samenwerken binnen de anti-DDoS-coalitie. Hoort misschien ook bij de Nederlandse cultuur, waar we gewend zijn samen te werken voor het algemeen belang.”

Wat is het doel van een DDoS-oefening?

Groeneweg: “We leren heel veel van elkaar. Zowel technisch als organisatorisch. Waarom lukt het de ene organisatie wel om de aanval te mitigeren en de andere niet? Hoe zet je het beste team op? Welke disciplines heb je nodig? Hoe organiseer je het werk het meest doelmatig?”

Lovink: “Daarnaast is het heel belangrijk om een netwerk te bouwen. We organiseren ook bewust activiteiten rondom de oefening, zodat alle betrokkenen elkaar leren kennen. Als je mensen kent, kun je veel sneller schakelen als de nood aan de man is. Tijdens een echte DDoS-aanval heb je geen tijd voor ‘voorstelrondjes’. 8 grote organisaties nemen inmiddels deel aan deze oefening en gezien de vragen die wij krijgen, worden er dit naar verwachting steeds meer. Dit dwingt ons ook om na elke oefening een gedegen evaluatie uit te voeren om zodoende weer klaar te zijn voor de volgende oefening.

Wat is jullie rol tijdens de oefening?

Lovink: “Bij elke oefening onderscheiden we een aantal rollen. Een aantal mensen uit alle organisaties zit in het RED-team. Dit team zet de aanval in. De verdediging is in handen van het BLUE-team. Zij proberen de aanval te mitigeren. Dan is er nog een Observers-team, dat rondloopt en evalueert. Marc en ik zijn 2 van de spelleiders. Elke deelnemende organisatie levert een spelleider”

Groeneweg: “We coördineren de oefening, kijken of de teams goed samenwerken en zorgen ervoor dat alles goed voorbereid is. Daarnaast kunnen wij op elk moment op de ‘rode knop’ drukken en de oefening stilzetten, mocht het problemen opleveren voor een van de deelnemende organisaties.”

Marc Groeneweg
Marc Groeneweg, Infrastructure & Security Architect bij SIDN

Hoe groot is de belasting voor de organisaties die meedoen aan de oefening?

Lovink: “De belasting is vergelijkbaar met een normaal onderhoudsvenster. De dienstverlening van de Belastingdienst ligt er dan even uit. Dat is best ingrijpend. De douane kan dan tijdelijk geen containers inklaren, bedrijven kunnen geen aangifte doen, enzovoorts. Om de overlast zoveel mogelijk te beperken, vindt de oefening midden in de nacht plaats, tijdens een vooraf gecommuniceerd tijdsbestek. We maken dat tijdstip al een jaar van tevoren bekend. Dat is essentieel om voldoende draagvlak te krijgen.”

Groeneweg: “Voor SIDN is de overlast minder. Onze service is wel verminderd, maar het domain name system ondervindt zeker geen hinder en voor het domeinnaamregistratiesysteem is de overlast beperkt. Gebruikers van .nl-domeinnamen en registrars merken er in ieder geval niets van.”

Als de belasting zo groot is, is het dan niet moeilijk om voldoende draagvlak te krijgen?

Groeneweg: “Voor SIDN maken dit soort oefeningen deel uit van onze belangrijkste processen, die essentieel zijn voor heel Nederland. Draagvlak is dus geen enkel probleem.”

Lovink: “Dat is bij de Belastingdienst niet veel anders. Er is onder de IT-collega’s veel enthousiasme over deze oefening, dus aan vrijwilligers om mee te doen aan de oefening hebben we geen tekort. In eerdere oefeningen hebben we bewezen dat we nooit buiten ons change window gaan, dat zorgt voor draagvlak. Daarnaast zijn er door de gezamenlijke oefeningen interessante, nieuwe partnerschappen ontstaan, zoals een samenwerking met SIDN Labs. Dat wordt gewaardeerd.”

Hoe bereid je zo’n oefening voor?

Groeneweg: “Direct na een oefening beginnen we alweer met de voorbereiding van de volgende. Hoe kunnen we beter samenwerken? Zijn er nieuwe soorten aanvallen waarmee we willen oefenen? Hebben we alle lessen uit de vorige oefening goed geïmplementeerd? De spelleiders komen elke 2 weken bij elkaar. Maar ook alle andere deelnemers hebben met regelmaat contact, bijvoorbeeld over nieuwe ontwikkelingen.”

Wat is er nodig voor zo’n grote oefening qua aanvalsinfrastructuur?

Groeneweg: “We voeren de oefening uit in een gecontroleerde omgeving. Om dat mogelijk te maken, bouwden we een volledig nieuwe infrastructuur.”

Lovink: “We proberen de realiteit zo nauw mogelijk te simuleren, echter we maken alleen gebruik van eigen systemen. Criminelen maken gebruik van botnets bij hun DDoS-aanvallen. Dat doen wij niet. Dat zou moeilijker te besturen zijn en we zouden dan ook computervredebreuk plegen. Het gevolg is dat het BLUE team niet mag mitigeren door ip-adressen te blokkeren anders is de oefening snel over. Bij een werkelijke aanval heeft dat overigens ook niet veel zin omdat veel adressen toch gespoofd zijn.”

Wat levert een oefening op?

Groeneweg: “Na elke oefening houden alle deelnemende organisaties een evaluatiesessie. Daarin kijken we welke lessen we hebben geleerd en hoe we ons netwerk kunnen verbeteren. Het belangrijkste is dat de deelnemers hun netwerk goed leren kennen. Wat is normaal gedrag en wat is afwijkend? Waar moet je op letten? Dat inzicht is ongelooflijk waardevol.”

Lovink: “In de toekomst willen de lessons-learned van dit soort oefeningen omzetten naar een advies. Verder hebben we het plan om dit advies te delen via www.nomoreddos.org met het grote publiek. Want alleen als we samenwerken kunnen het internet veiliger maken.”