Een massale aanval van 1,3 Tbps kan een organisatie binnen enkele minuten buiten werking stellen als de verdediging te laat begint. Dit was een van de kernideeën die aan bod kwamen tijdens de ronde tafel gehouden bij AOTEC, waar verschillende sectorexperts de beveiligingsuitdagingen bespraken die al invloed hebben op operators, bedrijven en aanbieders van digitale diensten.
Zigor Gaubeca, CIO, verklaarde dat een van de sleutels om een aanval van deze aard in slechts vijf minuten te kunnen beperken, ligt in het hebben van een eerste beschermlaag die in staat is kwaadaardig verkeer te absorberen en te filteren voordat het de klantnetwerk bereikt. Bij volumetrische aanvallen is het doel niet altijd het exploiteren van een specifieke kwetsbaarheid, maar het overbelasten van verbindingen, equipment en services tot ze ontoegankelijk worden. Daarom moet de bescherming aan de bron beginnen, op een infrastructuur die het verkeer kan reinigen voordat de impact zich verspreidt.
De eerste barrière: stoppen voordat de aanval aankomt
Volumetrische DDoS-aanvallen blijven een van de meest complexe bedreigingen voor operators en verbonden bedrijven. De logica erachter is eenvoudig: een enorme hoeveelheid verkeer sturen naar een doelwit om de netwerk- of verwerkingscapaciteit uit te putten. Bij volumes in de orde van terabits per seconde is lokale bescherming vaak niet meer afdoende.
De ronde tafel van AOTEC richtte zich precies op dat punt. Om een aanval van 1,3 Tbps te kunnen tegenhouden, mag de oplossing niet alleen afhankelijk zijn van interne firewalls, handmatige regels of late interventie. Er is een gedistribueerde mitigatie-architectuur nodig, die in staat is anomalieën te detecteren, verkeer om te leiden naar zuiveringssystemen en alleen legitieme verbindingen te herstellen.
Deze aanpak is vooral van belang voor telecommunicatieaanbieders, internetproviders en bedrijven met kritieke diensten die blootstaan. Als kwaadaardig verkeer direct het netwerk binnendringt, is de schade al aangericht: overbelaste verbindingen, gedegradeerde services en getroffen klanten. De meest effectieve verdediging is voorkomen dat de aanval de gevoelige infrastructuur bereikt.
Gaubeca’s interventie benadrukte een duidelijke boodschap voor de sector: cyberbeveiliging kan niet meer worden gezien als een bijkomend element na de connectiviteit. Het moet vanaf de ontwerp- en operationele fasen van het netwerk worden geïntegreerd, evenals in de strategieën voor bedrijfscontinuïteit.
Opleiding, certificering en zijwaarts bewegen
De discussie reikte verder dan alleen DDoS-aanvallen. Francesco Collini van FlashStart benadrukte het belang van opleiding en bewustwording van de klant. In cybersecurity beginnen veel inbreuken niet met een geavanceerde techniek, maar met menselijke fouten, gestolen inloggegevens, kwaadaardige links of zwakke configuraties.
Opleiding elimineert niet alle risico’s, maar verkleint de kwetsbaarheid. Een klant die begrijpt op welke signalen hij moet letten, hoe zijn toegang te beveiligen en wanneer hij alarm moet slaan bij verdacht gedrag, wordt een actieve deelnemer in de verdediging. Voor operators en service providers is dit steeds belangrijker: het beschermen van het netwerk betekent ook het voorkomen dat gebruikers de eerste en zwakste schakel worden.
Jesús Feliz Fernández van INCIBE benadrukte een ander kritisch aspect: voorkomen dat aanvallers zich zijwaarts binnen het netwerk bewegen. Als een aanvaller eenmaal toegang heeft, proberen ze doorgaans zich te verplaatsen binnen de infrastructuur om inloggegevens, servers, backups, beheersystemen of gevoelige data te bemachtigen. Het begrijpen van dat zijwaarts bewegen is essentieel voordat nieuwe oplossingen worden uitgerold.
Kepa Unzilla Galán van Sarenet onderstreepte dit door het belang te benadrukken van credentiebeheer, preventie van zijwaartse bewegingen en het beschikken over goed doordachte herstelplannen. Bedrijfscontinuïteit hangt niet alleen af van het voorkomen van alle aanvallen, wat onmogelijk is, maar ook van het beperken van de impact en het gecontroleerd herstellen van diensten na een incident.
Identiteitsbeheer, het principe van minimale privileges, segmentatie, voortdurende monitoring en getest herstelplan blijven fundamentele elementen. Technologie evolueert, maar bepaalde zwakheden blijven terugkeren: herbruikte wachtwoorden, te brede toegangen, gebrek aan interne zichtbaarheid en nooit geoefende herstelplannen.
AI voor het detecteren van afwijkend verkeer, maar met tact
Ook kunstmatige intelligentie speelde een rol in de discussie. De rol ervan in het detecteren van anomalieën en kwaadaardig verkeer in real-time wordt steeds belangrijker, vooral wanneer de hoeveelheid signalen de capaciteit van handmatige analyse door beveiligingsteams overstijgt.
Bij massale aanvallen kan AI helpen patronen van legitiem en kwaadaardig verkeer te onderscheiden, onregelmatig gedrag te identificeren, waarschuwingen te prioriteren en de respons te versnellen. Het is ook nuttig bij minder voorspelbare dreigingen, zoals zero-day-aanvallen of campagnes die tijdens de uitvoering van vorm veranderen.
Echter, AI vervangt niet de beveiligingsarchitectuur en menselijke expertise. Een model kan een anomalie detecteren, maar de organisatie heeft duidelijke processen nodig om te bepalen wat te doen met die aanwijzing. Overbachten kan legitieme gebruikers treffen; te laat blokkeren geeft aanvallers ruimte. De sleutel ligt in een combinatie van automatisering, zakelijke regels, technische supervisie en responscapaciteit.
De conclusie van de ronde tafel was eenduidig: cybersecurity kan niet langer worden aangepakt als een optelsom van losse producten. Een gelaagde strategie is noodzakelijk: een eerste barrière tegen volumetrische aanvallen, sterke toegangscontrole, preventie van zijwaartse beweging, doorlopende opleiding, realtime monitoring en geteste herstelplannen.
Voor operators is deze visie bijzonder belangrijk. Hun netwerk is niet slechts een toegangskanaal tot het internet; het vormt de basis voor het functioneren van bedrijven, overheidsinstanties, winkels, kritieke diensten en burgers. Een aanval die die infrastructuur ondermijnt, schaadt niet alleen een specifieke server, maar ondermijnt het vertrouwen in de dienstverlening.
AOTEC fungeerde daardoor als ontmoetingspunt voor een steeds dringender wordend gesprek. Aanvallen worden intensiever, de kwetsbaarheid groeit en bedrijven zijn meer dan ooit afhankelijk van verbonden diensten. Het afweren van een aanval van 1,3 Tbps binnen vijf minuten vereist technische capaciteit, maar ook voorafgaande voorbereiding. De verdediging begint veel eerder dan het ontvangen van kwaadaardig verkeer.
Veelgestelde vragen
Wat is een volumetrische DDoS-aanval?
Het is een aanval die probeert een netwerk of service te overbelasten door grote hoeveelheden kwaadaardig verkeer te sturen, waardoor legitieme gebruikers geen toegang meer krijgen.
Waarom is het belangrijk om de aanval te stoppen voordat deze het netwerk bereikt?
Omdat kwaadaardig verkeer dat de infrastructuur binnendringt, kan leiden tot congestie, degraded services en moeilijkheden bij het reageren. Vroegtijdige mitigatie vermindert de impact.
Welke rol speelt AI in netwerkinbraakbeveiliging?
AI kan helpen anomalieën te detecteren, kwaadaardig verkeer te identificeren en waarschuwingen in real-time te prioriteren, maar moet worden gecombineerd met menselijke supervisie en een solide beveiligingsarchitectuur.
Welke andere maatregelen zijn nodig naast DDoS-bescherming?
Opleiding van gebruikers, beheer van toegangsrechten, segmentatie, preventie van zijwaartse beweging, continue monitoring en getest herstelplan.
via: LinkedIn