Cybersecurity-lessen vanuit de praktijk
Bedrijven voelen zich steeds vaker niet beschermd tegen cyberaanvallen, blijkt uit recent onderzoek van Veeam Software onder 4.200 IT-leiders. Bij Plate zijn we ons bewust van cyberdreiging en waren we onlangs zelf slachtoffer van een geautomatiseerde DDos-aanval op een van de sites van onze klanten. We delen graag onze bevindingen en learnings met je, want het kan iedereen overkomen.
99,9 is geen 100% uptime
'Help, Plate ligt er uit.' Op 18 januari ervaren we vanaf het eind van de middag vertraging op onze servers. Een specifieke website op een van de servers krijgt vanaf dat moment tot wel 4.500.000 requests per uur te verwerken, 100 keer zoveel requests dan normaal. We zijn doelwit van een DDos-aanval. Hieronder zie je de belasting van onze server vanaf de start tot het eind van de aanval. Let wel: onze uptime gemeten over een jaar is nog steeds 99,9%.
Tijdens de DDOS-aanval zijn er verkeerspieken tot wel 4.500.000 requests per uur (de '0-lijn' is de normale lijn).
Hoe werkt een DDos-aanval?
Een DDoS-aanval (Distributed Denial of Service-aanval) is een aanval op een netwerk of server waarbij veel verkeer wordt gegenereerd van verschillende bronnen (meestal geïnfecteerde computers of 'bots') om de beschikbaarheid van een specifieke website of service te verminderen of te onderbreken. Dit kan worden gedaan door verkeer te overbelasten of door specifieke zwaktes in een systeem te exploiteren. DDos is een vorm van cybercrime.
Hoe hebben wij de DDos-aanval weten te stoppen?
Onze automatische en zelflerende firewall PAS zet IP-adressen waar het verkeer vandaan komt op de blacklist, maar de aanvallers weten telkens met nieuwe IP-adressen de blokkade te omzeilen. De aanval wordt langzaamaan zwakker, maar duurt nog tot en met zaterdagnacht waarna de DDos stopt om exact 00:00 uur. De rust is teruggekeerd.
Onze volgende stap is dat we gaan controleren waarom een geblokkeerde DDOS-aanval nog zoveel impact kon hebben, en daar een extra laag van verdediging voor aanbrengen. Mocht er weer een aanval op sites van onze klanten komen, dan kunnen we deze nog beter weerstaan.
Wat hebben we geleerd?
Naast de technische stappen die we hebben genomen - en nog gaan nemen - hebben we ook geleerd dat duidelijke communicatie cruciaal is. Het is essentieel om klanten op de hoogte te brengen en gerust te stellen dat we er alles aan doen om het probleem zo snel mogelijk te verhelpen.
Hieronder staan een aantal concrete communicatie lessen die wij geleerd hebben:
- Wijs een verantwoordelijke aan voor communicatie tijdens een storing,
- Werk met een centrale statuspagina waarop je helder communiceert wat er aan de hand is en geregeld statusupdates geeft tijdens de cyberaanval.
We hebben meteen actie ondernomen en werk gemaakt van een betere versie van onze statuspagina waarop ruimte is voor updates tijdens storingen. Voor de actuele status van onze servers bezoek je status.getplate.com.
Er moet verder een proces en plan zijn wat in werking treedt tijdens een cyberaanval en waarop je terug kunt vallen. Hierin staat hoe je organisatie handelt tijdens een aanval of datalek en worden de acties en verantwoordelijkheden verdeeld.
De komende weken werken we aan een aangescherpte versie van ons Cyber Incident Response Plan waarin we het proces nog verder detaileren hoe we omgaan met een cyberaanval of datalek en de stappen die we nemen om de gevolgen te beperken.
Wat doen we bij Plate aan cybersecurity?
Bij Plate nemen we de veiligheid en uptime van de websites, apps en portals op ons platform uiterst serieus. Dat is ook de reden dat we veel tijd en kennis investeren om hierin voorop te lopen. Zeker omdat Plate een hosted CMS is, wat betekent dat wij zorg dragen voor de uptime en technische werking van het platform, verwachten onze klanten en partners veel van ons. En omdat cybersecurity een continue veranderende discipline is, gaat dit met vallen en opstaan zoals je hierboven hebt gelezen.
PAS
In samenwerking met Securely hebben wij begin 2022 PAS (Plate Artificial Security) geïntroduceerd. PAS werkt als het immuunsysteem van Plate en weert aanvallen 24/7 af. Omdat PAS zelflerend is, groeit het mee met veranderende omgevingen. Lees meer over PAS.
Autoscaling
Autoscaling is een techniek die we gebruiken om de capaciteit van een systeem automatisch aan te passen aan de hoeveelheid verkeer die het ontvangt. In ons CMS, waarbij meerdere gebruikers of klanten gebruik maken van dezelfde infrastructuur (multi-tenant), wordt autoscaling gebruikt om de capaciteit van de servers te verhogen of te verlagen op basis van de huidige belasting.
Als er bijvoorbeeld veel verkeer op een site komt, kan autoscaling automatisch extra servers toevoegen aan het systeem om dit verkeer af te handelen. Aan de andere kant, als er minder verkeer op een site komt, kan autoscaling automatisch servers verwijderen uit het systeem om kosten te besparen.
Plate Private Clusters (PPC)
Voor klanten met veel verkeer of hoge pieken kunnen we de websites die op Plate draaien op een eigen AWS-cluster plaatsen. Hiervoor zetten we speciaal voor de klant infrastructuur op die we ook kunnen fine-tunen voor de karakteristieken van het gebruik. Hierdoor zijn sites doorgaans sneller en hebben ze een nog hogere uptime (tijdens de recente DDos-aanval waren de Private Clusters gewoon online!).
Wat kan jij zelf doen om je te beschermen tegen cyberdreiging?
Ook persoonlijk heb je te maken met de gevaren van cyberdreiging. Hoe vaak krijg je geen phisingmailtjes met ransomware waarmee hackers proberen bij je gegevens te komen? Om jouw websites en gegevens binnen Plate te beschermen, bieden we een mogelijkheid om je Plate-account te beveiligen met Tweestapsauthenticatie (2FA). Dit betekent dat je bij het inloggen een extra code moet invullen om daadwerkelijk ingelogd te worden.
Wil je gebruik maken van 2FA klik dan vanuit je Plate account op 'Gebruikersinstellingen' > 'Security' > 'Tweestapsauthenticatie inschakelen'.
We hebben je in dit artikel laten zien wat de impact van een cyberaanval is en welke lessen we daarin hebben geleerd. Cyberaanvallen vormen een maatschappelijk probleem wat bedrijven en overheden jaarlijkse miljarden kost. Verzekeraars waarschuwen zelfs dat cybersecurity straks moeilijker te verzekeren is dan klimaatschade.
Als SaaS-bedrijf zijn we ons bewust van onze kwetsbare positie, maar willen we voorkomen dat we van cyberdreiging een taboe maken. Bedrijven moeten juist veel meer van elkaar leren als het gaat om veiligheidsincidenten.
Heb jij ervaringen met cyberaanvallen en wil je die met ons delen? Stuur een mailtje naar mij (David) en we praten graag met je door over dit actuele thema.