Niet half, maar heel Nederland draaiend houden tijdens een DDoS aanval

  • Arjan Moser
  • 07 maart 2018
Arjan

DDoS aanvallen. Iedereen heeft er tegenwoordig mee te maken of last van. Dagelijks vinden ze plaats en dagelijks wapenen bedrijven zich er tegen. Maar wat als het de aanvallers lukt om de aanval succesvol uit te voeren? En nog belangrijker: Wat als de aanvaller iemand intern is?

Donderdag 8:00

“Just a normal day at the office”. Het land is al een paar dagen in de greep van een grote DDoS aanval. Bijna iedereen heeft er last van. Het NOS heeft het als eerste item, NU.nl heeft er een liveblog over en op Youtube worden de volgende aanvallen aangekondigd. Wie doet zoiets?

Donderdag 10:00

Je krijgt een telefoontje. “Arjan, kan je jouw huidige werkzaamheden wegleggen? Over 10 minuten meeting.” Een team van vijf personen wordt bij elkaar geroepen. De meeting gaat over de DDoS aanval. “Onze collega’s zijn al bij het bedrijf waarop de DDos aanval is gericht. Wij helpen daarbij de klant nieuwe aanvallen af te wenden. Het management van het bedrijf heeft aangegeven dat er een kans is dat een werknemer de aanval heeft opgezet”. Het bewuste bedrijf zit in een grote reorganisatie. Er is onvrede onder de werknemers en daar zit een risico. We gaan ons voorbereiden op een data collectie. Daarbij zullen we logs en mailboxen veiligstellen om mogelijk de medewerker te vinden die dit heeft opgezet.

Donderdag 13:00

We zijn ondertussen op locatie. Na de meeting hebben we voorbereidingen getroffen om een middelgrote collectie te doen. Het bedrijf heeft zo’n 8.000 werknemers. Een datacollectie van 8.000 mensen duurt ongeveer een half jaar, dus dat gaan we niet doen. In de eerste meeting op locatie zitten we met de klant en onze experts. Waar komt de aanval vandaan en hoe wordt deze uitgevoerd? Het blijkt dat de aanval redelijk specifiek wordt uitgevoerd. Daarvoor is IT kennis nodig die niet breed beschikbaar is. Daarmee kunnen we een selectie medewerkers maken. Uiteindelijk zijn er 24 personen die de kennis en toegang hebben tot de betreffende systemen. Zodra de lijst een tweede keer is gecontroleerd rijdt een collega direct weg naar het datacenter van de klant. Daar zal de data die wij nodig hebben zo snel mogelijk veiliggesteld gaan worden. Hoe eerder wij de data hebben, hoe minder er verwijderd kan worden.

Donderdag 17:00

De eerst logs en mailboxen zijn veiliggesteld. Terwijl de overige mailboxen nog worden veiliggesteld, wordt de eerste lichting al naar ons cybercenter gebracht. Komende nacht zullen onze servers deze mailboxen volledig indexeren, dedupliceren en doorzoekbaar maken. Juist omdat uit de analyses blijkt dat er mogelijk met interne kennis een DDoS aanval wordt uitgevoerd én het management dit vermoeden ook al heeft is snelheid erg belangrijk.

Vrijdag 8:00

De eerste kop koffie bij de klant. Afgelopen nacht is de eerste set data doorzoekbaar gemaakt. In totaal zijn er drie andere teams voor de klant bezig die: de DDoS aanval afwenden, contact houden met Team High Tech Crime van de Politie en eerdere aanvallen analyseren. We willen tenslotte niet half maar heel Nederland draaiende houden! In de tussentijd gaan wij verder met het veiligstellen en analyseren van de data. De druk is hoog, want de volgende aanvallen zijn alweer aangekondigd.

Vrijdag 17:00

De eerste logs en mailboxen zijn geanalyseerd. Helaas zonder noemenswaardige resultaten. De overige mailboxen worden op dit moment naar ons Cybercenter gereden om ook die te verwerken en doorzoekbaar te maken.

Maandag 8:00

Afgelopen weekend was er weer een grote aanval. Gelukkig hebben onze servers de data volledig verwerkt! We kunnen een analyse uit gaan voeren. Tot net op dat moment onze collega binnenkomt: “De identiteit is bekend!”.

Het blijken ‘handige’ kwajongens te zijn. Wij kunnen ons proces weer afbouwen en verslaglegging doen aan alle betrokkenen. Tot echt onderzoek is het deze keer niet gekomen. Dat kan gebeuren. Vaak is dat wel anders. Dan begint de echte zoektocht naar de speld in de hooiberg. Net dat ene mailtje vinden in miljoenen items.

eDiscovery binnen Deloitte

Just a normal day at the office kan zomaar veranderen in een strijd tegen fraude en criminaliteit. Snel handelen en op alles zijn voorbereid. Binnen het Discoveryteam van Deloitte zijn wij altijd klaar om snel en adequaat te handelen. De klant helpen om binnen een gigantische hoeveelheid data te bepalen wat relevant kan zijn. Vind tenslotte maar dat ene mailtje waaruit blijkt dat er fraude wordt gepleegd. Wij zijn op alle markten thuis. Wij adviseren de klant en haar advocaat, terwijl wij ook met de ICT beheerders actief contact hebben. Ons dagelijks werk is zeer gevarieerd en ons team is in zowel binnen- als buitenland actief.

Arjan Moser

Discovery Specialist

Arjan is lid van het Discoveryteam binnen Deloitte. In de afgelopen drieënhalf jaar heeft hij in zowel binnen- als buitenland meegewerkt aan grote en kleine opdrachten. Met zijn achtergrond in Forensic IT is hij een van de vele disciplines binnen het Discoveryteam.

My experiences moving to Amsterdam

  • Natasha Unger
  • 07 maart 2018
Naar boven