Top 6 DDoS protection solutions die je in het vizier moet hebben 2021

Onze selectie van de meest effectieve anti-DDoS oplossingen voor 2021

Nu DDoS-aanvallen (Distributed Denial of Service) steeds vaker voorkomen en potentieel verwoestende gevolgen hebben, blijven cybercriminelen op zoek naar nieuwe methoden om ze uit te voeren - bijvoorbeeld door middel van versterkingsvarianten. DDoS-aanvallen worden ook steeds vaker gebruikt, niet alleen voor financieel gewin maar ook als middel om concurrenten in diskrediet te brengen en uit te schakelen of gewoon om de krantenkoppen te halen.

Verdediging tegen DDoS-aanvallen is niet langer alleen een kwestie van het gebruik van de beste beveiligingsoplossing. In de afgelopen twaalf maanden hebben we, door de op COVID-19 gebaseerde sociale beperkingen, de opkomst gezien van ransomware-gedreven aanvallen en andere Advanced Persistent Threats (APT) die verband houden met DDoS. Daarom hebben veel DDoS-leveranciers nieuwe en bijgewerkte anti-DDoS- en netwerkbeveiligingsoplossingen ontwikkeld om ondernemingen te beschermen tegen deze grotere, slimmere en meer diverse DDoS-aanvallen en de verspreiding van botnets. Onze cybersecurity-experts selecteerden de vijf beste anti-DDoS-oplossingen voor 2021.

1. Anti-DDoS / Netwerkbeveiliging-assessment

Natuurlijk is het simpelweg inzetten van een 'magische' black-box of anti-DDoS-node en verwachten dat alle problemen zijn opgelost niet de manier of niet genoeg om alle uitdagingen rond DDoS en APT's op te lossen. Daarom is een cruciaal - maar regelmatig over het hoofd gezien - onderdeel van DDoS-beveiliging dat een ervaren technicus eerst jouw setup beoordeelt. Een DDoS-specialist kan eventuele bestaande problemen of kwetsbaarheden aan het licht brengen en uitgebreid advies geven over de beste oplossing voor jouw specifieke situatie.

Of het nu om hardware of software gaat, meestal spelen tal van factoren een belangrijke rol bij het harden van het netwerk en het optimaliseren van de omgeving waarin de aangevallen host en/of applicatie zich bevindt. Daarom kan het opvoeren van de verdediging tegen DDoS en het verminderen van kwetsbaarheden soms betekenen dat kleine en relatief eenvoudige wijzigingen in het ontwerp nodig zijn.

Wijzigingen in bestaande omgevingen of configuraties kunnen bijvoorbeeld al de juiste DDoS-oplossing voor jou zijn. Een anti-DDoS beveiligingsbeoordeling betekent vaak dat er quick wins kunnen worden geboekt die weinig of geen investeringen vergen. Daarom staat het regelmatig beoordelen van je hardware, setup en omgeving bovenaan deze lijst, ook al is het geen oplossing van een leverancier.

Vraag een Anti-DDoS beveiliging-assessment aan

2. Combinatie: Arbor Networks Sightline (voorheen SP) en Threat Mitigation System (TMS), Sightline Insight

Arbor Networks is op weg om haar tweede decennium van de anti-DDoS-levensduur te voltooien. De klassieke combinatie van Arbor Networks Sightline en Arbor's TMS blijft zijn toegevoegde waarde bewijzen in tal van sectoren.

Arbor Sightline is een anomaly detection system. Het is gebaseerd op sampled netflow die geavanceerde rapportage-mogelijkheden aanbiedt, een alerting-functie bevat, geautomatiseerde mitigatie in meerdere fasen uit kan voeren en die zelfs geactiveerd kan worden door het Availability Protection System (APS). Een extra krachtige functie is dat scripts van derden of applicaties voor mitigation geactiveerd kan worden door externe en bestaande logica. Bekend om zijn peering en routing analyse mogelijkheden, voegt Arbor Networks Sightline snellere netwerk inzichten toe, waardoor uw business security posture verbetert. 

Daarnaast is de Arbor Insight optie nu beschikbaar. Het opslaan van 100% van alle netflow data in een krachtige, big-data setup, terwijl het naadloos geïntegreerd is met Sightline, zorgt voor een nieuw niveau van rapportage, alarmering en zichtbaarheid voor zowel peering-analyse, threat-visibility en mitigatie. RTBH en Flowspec zijn mitigatiemethoden die beide zijn inbegrepen bij Sightline. Optioneel kan het worden uitgebreid met Threat Mitigation System (TMS)-apparaten, zoals een extern scrubbing-centrum, dat APT-bewustzijn en filtering biedt.

Dit is zonder twijfel een vitaal onderdeel van de DDoS-protection-solution van Arbor Networks. Klanten hebben de keuze om zowel Arbor Networks Sightline als TMS gevirtualiseerd, op de hypervisor of bare metal in te zetten, waardoor de Total Cost of Ownership (TCO) vanaf dag één wordt verlaagd.

Voordelen van Arbor en de ATLAS Intelligence Feed

Belangrijk om weten is dat de detectieservice van TMS ook gebruik maakt van (en heeft geholpen bij het opzetten van) de ATLAS Intelligence Feed (AIF). Deze biedt inzicht en deskundige analyse biedt voor DDoS-beveiliging. Met het Arbor Security Engineering & Response Team (ASERT), dat zich bezighoudt met het ontdekken en analyseren van opkomende bedreigingen en het ontwikkelen van gerichte verdedigingsmechanismen, heeft Arbor zowel zichtbaarheid als herstelmogelijkheden op bijna elke tier-1 operator en een meerderheid van de service provider netwerken wereldwijd. ASERT deelt deze operationeel bruikbare informatie met honderden internationale Computer Emergency Response Teams (CERT's) en met duizenden netwerkoperatoren via inband security content feeds. ASERT maakt deel uit van ATLAS, monitort continu actief internetbedreigingen over de hele wereld en geeft je zo nog een goede reden om Arbor's anti-DDoS oplossingen te overwegen.

ddos protection solutions

3. Flowspec

Er bestaan maar weinig technologieën waar zoveel misverstanden, slechte marketing en politiek tot trage ontwikkeling en acceptatie hebben geleid, ondanks dat het een geweldige oplossing is voor 1 of meerdere problemen. In het geval van A-DDoS, kan men daar zeker Flowspec noemen. De eerste implementatie ervan dateert al van 2007 op Junos en de RFC5575, gecreëerd door Cisco, Juniper, Arbor en NTT in 2009. Het is nu dus al meer dan een decennium uit. En nog steeds hebben velen er niet eens van gehoord, ondanks dat het volgens velen het beste is sinds gesneden brood.

Zonder al te veel in detail te treden, kan Flowspec gezien worden als een soort ACL, bron en/of bestemming-gebaseerd, gebruik makend van zowel layer-3 als -4 kenmerken die centraal kunnen worden aangemaakt en via BGP tussen routers kunnen worden gedistribueerd. Het BGP-deel omvat BGP-attributen, -filtering/policies en -validatie. Dit kan dan als een soort dynamische ACL op de ontvangende router worden geïnstalleerd, onder eventuele bestaande filtering, op alle of een deel van de interfaces op een router. Het kan on-net worden gebruikt, binnen het bestaande netwerk, maar kan ook worden gebruikt met EBGP als een off-net oplossing. In feite was het oorspronkelijke doel van Flowspec om (betaalde) transitklanten te beschermen tegen aanvallen op hun IP-subnetten, die via hun transit-ISP binnenkomen.

Dit zou ervoor zorgen dat ondanks dat de uplink verzadigd is, de klant nog steeds mitigatie kan doorgeven aan de ISP die, na automatische filtering/validatie door de ISP, de vereiste ACL-entries kan installeren op de routers van de upstream ISP. Dit zou dan de aanval binnen enkele seconden na signalering afzwakken, waardoor de upstream link(s) vrijkomen en vaak zelfs zonder impact op de maandelijkse 95-percentiel bandbreedteberekeningen. Deze exacte use-case die meer dan tien jaar geleden werd bedacht, is in 2021 nog steeds actueel en meer dan ooit gevraagd.

En het beste ... vanuit een router feature-perspectief, is Flowspec een feature die meestal wordt ondersteund zonder extra licentie-kosten! Door zijn werkwijze kan Flowspec een geweldige tegenmaatregel zijn voor volumetrische aanvallen en aanvallen op sessie/status-niveau. Met een groeiend aantal ISP's die Flowspec adopteren als standaard of premium service voor hun klanten, kan dit een geweldige optie of toevoeging zijn voor partijen die anders cloud-gebaseerde of andere smaken van A-DDoS oplossingen nodig hebben, tegen lage of minimale kosten.

4. Juniper Networks & Corero

Specifiek voor gebruikers van MX-routers op grotere schaal en specifieke grootschalige aanvallen is deze oplossing een optie. Corero heeft in de afgelopen jaren een Anti-DDoS oplossing ontwikkeld met een extra truc. Naast het gebruik van RTBH en Flowspec als mitigatie-opties, ondersteunen zij ook de 'Firewall Filter Flexible Match Conditions' van Juniper. Dit is een uitbreiding op de bestaande Layer-2/3/4 filtering. Hier kunnen bijkomende offset criteria gespecificeerd worden waardoor patroon overeenkomsten mogelijk worden op aangepaste, door de gebruiker gedefinieerde plaatsen binnen een pakket. Er kan dus een soort dynamische ACL met offset-gebaseerde matching worden geïnstalleerd. Vereist zijn MPC gebaseerde lijnkaarten (of geïntegreerde) en met specifieke MIC's. 

Dit kan worden gezien als een alternatief voor specifieke aanvallen op in-line- of scrubbing-centre-apparatuur, waarbij de router in feite deze rol zou overnemen. Licenties zijn gebaseerd op volume. Voor omgevingen met bestaande data-plane filtering of waar grote hoeveelheden filters worden verwacht, als gevolg van bijvoorbeeld grote hoeveelheden aanvallen, wordt geadviseerd Juniper experts te raadplegen met bestaande HW-specs voor schaalbaarheid. Wij zijn een Elite Partner van Juniper Networks en helpen je graag hierbij.

5. Arbor APS/AED

Arbor APS/AED staat bekend als de alles-in-één in-line Anti-DDoS-appliance en biedt een mitigatiecapaciteit tot 200Gbps in een 2U-chassis. Het wordt ook geleverd als een virtueel aanbod, dat ook cloudomgevingen zoals Amazon Web Services ondersteunt. Arbor APS en Arbor DDoS Protection leveren detectie- en mitigatietechnologie, bieden een holistisch overzicht van netwerkactiviteiten en maken snelle, geautomatiseerde blokkering van aanvallen mogelijk voordat ze je kritieke toepassingen en services beïnvloeden. Arbor APS wordt nu ook geleverd met een nieuwe licentieregeling. Traditioneel werd verkeer dat gedropt werd ook meegerekend in de licentiekosten. Met de nieuwe licentie hoeft alleen 'goed' of 'doorgestuurd' verkeer gelicenseerd te worden. Dit maakt voor veel omgevingen een sterke verlaging van de licentiekosten mogelijk, wat de TCO aanzienlijk verlaagt. Slechts enkele concurrerende producten hebben zich op deze methode afgestemd.

In combinatie met Arbor Sightline en zijn 'cloud signalling', wanneer specifieke delen van de omgeving het hoogste niveau van beveiliging vereisen, vormt het een win-win situatie. Op die manier worden de voordelen van zowel een in-line als een on-/off ramped oplossing effectief gecombineerd. In combinatie met andere best practices, zoals Flowspec, is dit waarschijnlijk de meest effectieve DDoS protection solution die momenteel op de markt verkrijgbaar is, en spreekt het met name financiële dienstverleners aan. Een geweldige nieuwe toevoeging voor 2021 is de ondersteuning voor STIX/TAXII, voor bijvoorbeeld IOC-ondersteuning en aangepaste, dynamische IP-reputatiecommunicatie.

6. F5 Silverline Web Application Firewall (WAF)

Met Silverline Web Application Firewall introduceerde F5 Networks een van de meest geavanceerde (en cloud-gebaseerde) WAF's op de markt. Met de mogelijkheden en feature set, gecombineerd met wereldwijde redundantie en uitstekende 24x7x365 ondersteuning, hebben ze de lat zeer hoog gelegd als het gaat om Web Application beveiliging. Als je zich geen fouten kunt veroorloven, de hoogste beschikbaarheid nodig hebt en maatwerkfunctionaliteit nodig hebt, moet Silverline zeker op jouw lijst staan van Cloud Web Application Firewalls om te overwegen.

F5 Networks werkt de Silver WAF regelmatig bij met nieuwe uitgebreide features die het F5 platform echt verrijken. Daarnaast heeft het meerdere NOC's die 24/7 support leveren en proactief je setup aanpassen wanneer dat gewenst is bij gedetecteerde issues. De Silverline Web Application Firewall-service beschermt webapplicaties, ongeacht waar de app wordt gehost - in de private of publieke cloud, of in een fysiek datacenter.

F5 networks silverline web application firewall

Anti-DDoS-oplossingen 2021: Het advies van experts

Voorkomen dat het groeiende aantal aanvallen en bedreigingen je in 2021 treft, begint met het opleiden van werknemers, het gebruik van schaalbare next-generation oplossingen en het verkrijgen van inzicht in de bedreigingen die gericht zijn op je bedrijf of branche.

Dit kan in hoge mate worden begeleid en versterkt met oplossingen voor end-point protection zoals bijvoorbeeld Crowdstrike. Deze prioriteiten vormen een grote uitdaging voor cybersecurity-managers. De afgelopen paar jaar hebben we een aantal van de meest frequente en ernstigste cybersecurity-aanvallen ooit gezien (bekijk live DDoS-attack world map).

Nu security-professionals zich voorbereiden op een mogelijk nieuw recordjaar van netwerkinbreuken en gegevensbeveiligingsrisico's, is het van het grootste belang dat je je bewust bent van de laatste ontwikkelingen. Goede voorbeelden zijn IOC-handling en STIX/TAXII-ondersteuning voor bijvoorbeeld integratie binnen SIEM-oplossingen. De nieuwste generatie DDoS protection solutions en -technologieën kan je helpen de daders voor te blijven en jouw meest kritieke bedrijfsmiddelen en toepassingen met succes te beschermen.

Infradata DDoS Protection

Voor ondernemingen die worden geconfronteerd met DDoS-aanvallen is het vinden van oplossingen die DDoS-protection bieden van cruciaal belang voor het beschermen van inkomsten, productiviteit, reputatie en loyaliteit van gebruikers. Infradata heeft een reeks oplossingen en diensten ontwikkeld om ondernemingen, service providers en cloud service providers te helpen bij het ontwerpen, implementeren, exploiteren en geheel of gedeeltelijk beheren van hun anti-DDoS-oplossing.

Wil je weten wat Infradata voor jouw DDoS-beveiliging kan betekenen? Neem dan vandaag nog contact met ons op!

Bel direct Stuur een bericht

21 januari 2021

Contact met onze cybersecurity expert

Ontmoet Remco Hobo, Hoofd Cybersecurity bij Infradata. Wil je met hem in gesprek over over dit onderwerp, of heb je specifieke cybersecurity vragen? Bel ons of laat een bericht achter.

Cyber Security

Het dreigingslandschap van vandaag vormt een reëel risico voor gevoelige gegevens, winstgevendheid en reputatie. Ontdek onze holistische, architecturale benadering van veiligheid.

Lees meer

Pagina delen:

Deze website maakt gebruik van cookies. Door verder te gaan op de site ga je akkoord met ons gebruik van cookies. Lees meer.