Nieuwe resultaten van F5’s Security Operations Center

Het aantal van DDoS-aanvallen in EMEA neemt de afgelopen weken sterk toe. Ook de intensiteit van de aanvallen is gegroeid. Dit blijkt uit analysegegevens van het Europese Security Operations Center (SOC) van F5 Networks, in Warschau. In het laatste kwartaal van dit jaar is een 100 procent toename gemeten ten opzichte van het laatste kwartaal vorig jaar.

Het SOC voert continu DDoS-, anti-fraude- en Web Application Firewall (WAF) onderzoek uit en verzorgt tegenmaatregelen voor slachtoffers hiervan. In 2016 registreerde het SOC tot op heden al 7,923 DDoS-incidenten. Een daarvan was de grootste wereldwijd met een stortvloed van 448 Gpbs UDP/ICMP fragmentatie, gebruikmakend van meer dan 100.000 IP-adressen in meerdere regio’s. Het is typerend voor de trend dat aanvallen worden opgezet vanuit verschillende windstreken om maximale impact te behalen. Het merendeel van het verkeer komt uit Vietnam (28 procent), Rusland (22 procent), China (21 procent), Brazilië (15 procent) en de VS (14 procent).

“Het EMEA Security Operations Center heeft een gigantische groei doorgemaakt sinds de start in september vorig, volledig te danken aan de groei van het aantal aanvallen. Bedrijven merken de oplopende dreiging en zien zich genoodzaakt om op zoek te gaan naar passende tegenmaatregelen en bescherming”, aldus Kamil Wozniak, F5 SOC Manager.

In het laatste kwartaal van 2016 zag het SOC een 100 procent toename van DDoS-klanten (en dus aanvallen) ten opzichte van hetzelfde kwartaal een jaar eerder. Het aantal WAF-klanten steeg met 136 procent en anti-fraude met 88 procent. De zogeheten User Datagram Protocol (UDP) fragmentatie is het meest gebruikte type DDoS-aanval (23 procent), gevolgd door DNS reflections en UDP floods (beide 15 procent), syn floods (13 procent) en NTP reflections (8 procent).

René Oskam, directeur F5 Nederland: “Gezien de groei van het aantal en de diversiteit van DDoS-technieken is het vaak onduidelijk of een bedrijf onder schot ligt. Daarom is het van belang dat verkeer continu gemonitord wordt op onregelmatigheden en dat de juiste tegenmaatregelen snel beschikbaar zijn. Meerlaagse DDoS-verdediging is noodzakelijk om zowel applicaties, data en netwerken te beschermen. Het stelt bedrijven in staat aanvallen te detecteren en automatisch actie te ondernemen door bijvoorbeeld scrubbing-taken te verplaatsen van on-premise naar cloud en terug, wanneer downtime dreigt, zowel op de applicatielaag als de netwerklaag.”