Samen de Nederlandse DDoS-weerbaarheid vergroten, deel III van III
Cristian Hesselman (SIDN en Universiteit Twente), Remco Poortinga-van Wijnen (SURF), Gerald Schaapman (NBIP) en Remco Ruiter (Betaalvereniging Nederland)
In deel I en II van deze blogserie introduceerden we het concept van de nationale anti-DDoS-coalitie en beschreven we de stand van zaken van een van de pijlers ervan, het DDoS-clearinghouse. Vandaag willen we het hebben over de lessen die we hebben geleerd en over onze visie op de weg voorwaarts. Dit is de laatste blog in de deze serie, maar we verwachten jullie binnenkort meer nieuws 0ver de pilot met het DDoS-clearinghouse te brengen.
Veel gedaan, veel geleerd (6 geleerde lessen)
Het DDoS-clearinghouse is een sleutelproject voor de nationale anti-DDoS-coalitie. Hoewel het systeem nog niet operationeel is, hebben we al veel van ons werk geleerd. Hieronder volgt een kort overzicht van de geleerde lessen, die uitgebreid aan bod komen in het ‘kookboek’ voor het DDoS-clearinghouse dat SIDN, SURF en de Universiteit Twente (UT) gaan ontwikkelen in het kader van het CONCORDIA-project.
De noodzaak van een DDoS-clearinghouse wordt algemeen erkend
Dit maakten we op uit de feedback op onze lezingen (bijvoorbeeld tijdens de One Conference en het CONCORDIA Open Door Event) en blijkt ook uit de investeringen van de partners in het initiatief. Zo hebben alle partners substantiële personele capaciteit vrijgemaakt (zowel technisch als juridisch) en financierden NCSC-NL, NBIP, SURF en Betaalvereniging Nederland gezamenlijk een systeemarchitect om de in figuur 3 weergegeven architectuur verder uit te werken.
De waarde van de coalitie overstijgt het delen van DDoS-fingerprints
De deelnemers aan de nationale anti-DDoS-coalitie namen bijvoorbeeld de kans waar om samen DDoS-aanvallen te simuleren (netwerk- en applicatieniveau), zodat ze hun reactie daarop konden oefenen. Dat soort activiteiten sluit naadloos aan bij het clearinghouse, dat ook een organisatieoverstijgend karakter heeft en bijdraagt aan een grotere weerbaarheid tegen DDoS-aanvallen in Nederland. In oktober 2019 hielden de partners een oefening waarbij ze vooraf geautoriseerde DDoS-aanvallen op elkaars infrastructuur uitvoerden om te zien hoe hun systemen en teams zouden reageren.
Een anti-DDoS-coalitie is als organisatorisch middel cruciaal voor de continuïteit
Hier kwamen we al vroeg achter, omdat we diverse documenten en faciliteiten moesten ontwikkelen en bijhouden, zoals een website, iteraties van de overeenkomst voor het uitwisselen van fingerprints, procedures en ‘waiver’-verklaringen voor DDoS-oefeningen, en de spelregels voor coalitiedeelnemers (bijvoorbeeld lidmaatschapsregels). Daarom richtten we binnen de coalitie verschillende werkgroepen op, zoals een technische werkgroep voor de ontwikkeling van de software voor het clearinghouse. Bijzonder belangrijk is een juridische werkgroep die de overeenkomst voor het delen van fingerprints steeds aanpast aan nieuwe versies van de pilot, iets wat cruciaal is voor het versnellen van de ontwikkeling en deployment van het clearinghouse.
Begin met een kleine vertrouwde groep en breid dan uit (trust scaling)
We begonnen de ontwikkeling van het clearinghouse met 10 partners. Door de groep klein te houden was het gemakkelijker om wederzijds vertrouwen op te bouwen, bijvoorbeeld door middel van regelmatig persoonlijke besprekingen. Hierdoor twijfelde de groep er niet aan dat consensus over de technische richting haalbaar was en werd er geopteerd voor unanieme besluitvorming binnen ons huidige “governance model” (vastgelegd in de overeenkomst voor het uitwisselen van fingerprints). Het voordeel hiervan was dat we in de beginfase snel beslissingen konden nemen, al zal een model op basis van unanieme besluitvorming niet schalen naar een organisatie met tientallen partners. Onze uitdaging voor de toekomst is het opschalen van vertrouwen, wat inhoudt dat we van een model waarbij 10 individuele vertegenwoordigers van serviceproviders die elkaar vertrouwen (persoonlijk vertrouwen) moeten overgaan naar een model met een grotere groep van organisaties die vertrouwen hebben in het clearinghouse en zijn procedures en governance mechanismen (onpersoonlijk vertrouwen [Gommans15]). Geïnspireerd door de nationale anti-DDoS-coalitie gaan de UT, SURF en SIDN in het kader van het CONCORDIA-project onderzoeken hoe vertrouwen kan worden opgeschaald naar Europees niveau.
Houd de initiële overeenkomst voor het uitwisselen van fingerprints helder, eenvoudig en schaalbaar
De overeenkomst voor het uitwisselen van fingerprints moet duidelijk verwoorden wat het doel is van de eerste iteratie van de pilot, namelijk het beoordelen van het nut en de effectiviteit van het clearinghouse door te experimenteren met de uitwisseling van DDoS-fingerprints over verschillende organisaties en sectoren heen. Er moeten ook andere juridische aspecten in worden beschreven (zoals aansprakelijkheid, beveiliging, identificeerbare persoonsgegevens en governance), maar alleen op hoofdlijnen. Dit is van belang om de overeenkomst eenvoudig en schaalbaar te houden en ruimte te laten voor technische experimenten. Een toekomstige uitdaging zal zijn om de overeenkomst dusdanig te laten evolueren dat de eenvoud en schaalbaarheid ervan past bij latere iteraties van de pilot.
Een multidisciplinaire aanpak in de beginfase nog belangrijker..
Een multidisciplinaire aanpak in de beginfase nog belangrijker, juist binnen een heterogeen en sector-overschrijdend samenwerkingsverband als de nationale anti-DDoS-coalitie. Technisch experts moeten juristen bijvoorbeeld uitleggen wat een DDoS-fingerprint precies inhoudt en duidelijk aangeven wat het doel en de aard van de uitwisseling ervan is (samenwerken en experimenteren), omdat niet alle juristen over evenveel technische kennis beschikken. Dat is van belang voor het minimaliseren van rechtsonzekerheid, wat behoudende juridische constructies helpt voorkomen (vgl. [Silva19]). Daarnaast is het belangrijk om vroegtijdig gesprekken met operationele teams te voeren om inzicht te krijgen in de manier waarop zij werken. Zo kwamen we er bijvoorbeeld achter dat operationsteams in staat willen zijn om met behulp van een user interface of commandline-tool handmatig minimale fingerprints te maken (die bijvoorbeeld alleen de vermoedelijke oorsprong en het protocoltype van de aanval aangeven). Dit omdat zelfs de DDoS-dissector zou kunnen bezwijken onder een zware DDoS-aanval.
Wat staat er gepland voor 2020?
Ons doel voor 2020 is om de organisatiestructuur van de coalitie verder uit te werken en meer DDoS-oefeningen uit te voeren met de consortiumleden. Daarnaast willen we de tweede iteratie van de pilot opzetten, waarin de 10 serviceproviders automatisch DDoS-fingerprints genereren en distribueren en hun ops teams deze gebruiken om filterregels te schrijven voor hun eigen infrastructuur.
Onze kortetermijndoelen voor het clearinghouse zijn de ondertekening van de overeenkomst voor het uitwisselen van fingerprints (4 partners hebben hun handtekening al gezet) en het stapsgewijs verbeteren van de software voor de dissector, DDoS-DB en de converter aan de hand van de eisen die we ontwikkelden (bijvoorbeeld om de converter te gebruiken als een DDoS-detector die het verkeer automatisch doorstuurt naar een wasstraat).
Daarnaast gaan SURF, SIDN Labs en de UT als onderdeel van het CONCORDIA-project een eerste versie van het DDoS-clearinghousekookboek schrijven, waarin ze met deze blog als startpunt verslag zullen doen van de lessen die we in 2020 leren. Ook gaan ze een tweede instantie van het clearinghouse opzetten (ddosdb.eu), speciaal voor onderzoek in CONCORDIA, bijvoorbeeld naar het clusteren en accurater maken van fingerprints, het automatisch genereren van mitigatieregels en het delen van fingerprints met beveiligingssystemen voor edge-netwerken zoals SPIN. Daarbij willen ze gebruik maken van de door ons ontwikkelde uitwisselingsovereenkomst om deze activiteiten uit te voeren en binnen CONCORDIA beschikbaar te maken.
Conclusies tot dusver
Onze tussentijdse conclusie is dat het oprichten van een nationale anti-DDoS-coalitie nu al heeft bewezen van toegevoegde waarde te zijn. Denk bijvoorbeeld aan de community van deelnemende organisaties die eruit is voortgekomen en de grootschalige DDoS-oefeningen die we samen uitvoeren.
Tegelijkertijd is het opzetten en ontwikkelen van een nationaal clearinghouse een uitdagende en soms moeizame onderneming. Dit komt door de complexiteit van het werk, die vaak het gevolg is van niet-technische factoren zoals het samenwerken met heel verschillende partners, het managen van de verwachtingen met betrekking tot het technische volwassenheidsniveau van de pilot en het aanpassen van de uitwisselingsovereenkomst op de verschillende iteraties van de pilot. Desondanks staan de 17 partners in de nationale anti-DDoS-coalitie nog steeds met volle overtuiging achter het concept van het clearinghouse, net zoals de bredere community van Nederlandse en Europese operators.
Al met al zijn we uitermate gemotiveerd en vol vertrouwen dat we onze doelstellingen voor 2020 zullen bereiken en ook dat we het clearinghouse operationeel krijgen, waarmee we Nederland concreet helpen om op een coöperatieve manier DDoS-aanvallen het hoofd te bieden.
Met dank aan
SIDN, SURF en Universiteit Twente werden gedeeltelijk gefinancierd door Horizon 2020, een subsidieprogramma voor onderzoek en innovatie van de Europese Unie, in het kader van Subsidieovereenkomst 830927. Projectwebsite: https://www.concordia-h2020.eu/
Verwijzingen
[Silva19]
K. e Silva, “Mitigating botnets: Regulatory solutions for industry intervention in large-scale cybercrime”, Ph.D. thesis, Tilburg University, Nederland, december 2019
[Gommans15]
L. Gommans, J. Vollbrecht, B. Gommans – de Bruijn, C. de Laat, “The Service Provider Group Framework; A framework for arranging trust and power to facilitate authorization of network services”, Future Generation Computer Systems, Vol. 45, blz. 176-192, maart 2015, http://www.delaat.net/pubs/2015-j-2.pdf