Search
Generic filters
Exact matches only
Filter by Custom Post Type

Organisaties worden steeds weerbaarder tegen aanvallen met bots en scrapers

16-05-2019 om 14:38 uur Simon van den Bos Blog
"Het is een positieve ontwikkeling dat bescherming tegen DDoS-aanvallen door veel organisaties serieus wordt genomen. Helaas leidt dat ertoe dat ook hackers nieuwe manieren zoeken om hetzelfde te bereiken. "
Ongeveer de helft van alle traffic naar websites bestaat uit bots, scrapers en andere geautomatiseerde snuffelaars. Deze kunnen organisaties helpen, zoals de bots van Google doen, maar ook schaden. Denk hierbij aan bots van bijvoorbeeld concurrenten of hackers. In negatieve zin worden scrapers en dergelijke gebruikt om zowel bedrijfsinformatie en persoonlijke informatie te stelen, als om de website plat te leggen. Het is dan ook niet verwonderlijk dat bots, scrapers en applicaties worden ingezet voor DDoS-aanvallen.

Bots en scrapers als aanvalstechniek
Steeds meer organisaties zijn met regelmaat het slachtoffer van DDoS-aanvallen met bots en scrapers. Simon licht toe: “Gelukkig merken klanten dit lang niet altijd. Bijvoorbeeld een organisatie als Magister wordt meerdere keren per week aangevallen, maar dit leidt zelden tot het problemen zoals op 9 april 2019. Dit komt doordat meer en meer organisaties de beveiliging tegen DDoS-aanvallen serieus nemen. Op dit moment richt de beveiliging zich vooral op het voorkomen van aanvallen waarbij veel verkeer gegenereerd wordt met als doel het onbruikbaar maken van de internetverbinding en daarmee de systemen. Deze volume aanvallen, waarbij lukraak sites worden getarget, werken dankzij de genomen maatregelen veelal niet meer. Daarom hebben hackers iets nieuws ontwikkeld: geavanceerde DDoS-aanvallen.“

De ontwikkeling van de geavanceerde DDoS-aanval
“De aanval wordt geavanceerd, omdat hackers eerst uitzoeken hoe de applicatie gebruikt wordt, voordat de hun bots of scrapers op de applicatie loslaten. Zij observeren eerst wat ‘normaal’ gedrag is en kopiëren dat vervolgens eindeloos. Door bijvoorbeeld heel vaak normaal in te loggen gaan de site, applicaties en/of systemen toch plat. Deze aanval wordt niet gedetecteerd door maatregelen tegen standaard DDoS-aanvallen. Deze blokkeren bots en scrapers die abnormaal gedrag vertonen. Een geavanceerde aanval wil je eigenlijk al stoppen voordat deze de infrastructuur of applicatie bereikt.

Wapens tegen geavanceerde aanvallen
Organisaties doen er geen goed aan om de preventie tegen aanvallen volledig bij een leverancier neer te leggen. “Om te voorkomen dat je klanten last hebben van geavanceerde DDoS-aanvallen, is namelijk van cruciaal belang dat je samenwerkt. De leverancier bekijkt allereerst welke bots en scrapers bij normaal verkeer op de website komen. Er wordt vervolgens samen met de organisatie geanalyseerd welke bots en scrapers wel toegang moeten hebben tot de website en welke niet.  Dit is namelijk lang niet voor iedere organisatie hetzelfde.” Wat zijn redenen om scrapers uit te sluiten? Simon vertelt: ”De eerste reden om scrapers uit te sluiten is op basis van reputatie: is een bepaalde scraper al bekend als malafide? Komen er bijvoorbeeld veel verzoeken uit een land waar de organisatie helemaal niet actief is? Dan kan het raadzaam zijn deze scraper te blokkeren. De tweede is op basis van gedrag. Een normale gebruiker kan bijvoorbeeld geïnfecteerd zijn met malware. De gebruiker logt dan normaal in, maar de malware gaat vervolgens ongewenste dingen doen. Ook dat kan gedetecteerd worden en op basis daarvan is uitsluiting mogelijk. De kunst is om zo weinig mogelijk legitieme verzoeken tegen te houden, dat kan alleen door samen te werken met een leverancier.”

Belangrijke voorwaarden oplossing
De volgende vraag is natuurlijk: hoe wordt de juiste leverancier gekozen. Ook daar heeft Simon enkele tips voor: “Het is belangrijk dat de leverancier een uitgebreid netwerk met grote capaciteit heeft. Des te uitgebreider het netwerk van de leverancier is des te effectiever de mitigatie werkt. Bij voorkeur bevinden zich zoveel mogelijk systemen zich in het cloudnetwerk. Op die manier is een geavanceerde aanval namelijk beter te herkennen en af te wenden. Wanneer er bijvoorbeeld alleen datacenters in Nederland staan en er vanuit het buitenland een aanval wordt uitgevoerd, komt een aanval de Nederlandse infrastructuur op en wordt deze dan pas gedetecteerd. Hier kunnen organisaties al last van hebben, omdat het netwerk langzamer wordt. Het is dus belangrijk de scraper al te stoppen in het land van herkomst, dat kan alleen als daar ook datacenters en sensoren zijn.”

Tot slot vindt Simon dat er ook al veel goed gaat bij Nederlandse organisaties. “Het is een positieve ontwikkeling dat bescherming tegen DDoS-aanvallen door veel organisaties serieus wordt genomen. Helaas leidt dat ertoe dat ook hackers nieuwe manieren zoeken om hetzelfde te bereiken. Gelukkig zijn ook deze aanvallen af te wenden en worden organisaties steeds weerbaarder. Beschikbaarheid en betrouwbaarheid zijn namelijk belangrijke aspecten voor een klant. Weloverwogen kiezen van de juiste middelen is één van de aspecten waarmee je dat realiseert.”

Simon van den Bos

Simon is Product Manager bij Motiv.
Volg op LinkedIn Mail Simon
Blog
Deel: