Een schild voor je website: hoe hostingprovider Combell zijn klanten van malware beschermt

Het internet krioelt van malafide bots en criminelen die maar al te graag binnenbreken op je website om die te misbruiken. Combell Shield beschermt Combell-klanten met een uniek verdedigingsmechanisme dat werkt als een groot digitaal schild.

Wie zijn website host op de shared hosting bij Combell, wordt beschermd door Combell Shield. “Combell Shield is de verzamelnaam voor een veelvoud aan beveiligingsoplossingen”, zegt Wesley Hof, CTO bij Combell. “Maar het algemene doel is duidelijk: we proberen aanvallen en malware te blokkeren voor ze bij de klant raken.”

Digitaal schild

Hoewel Combell Shield verschillende beveiligingsstrategieën combineert, kan je het geheel toch als een digitaal schild zien. Combell gebruikt het om klanten van Linux shared hosting en het Reseller-platform collectief te beschermen tegen de gevaren van het internet. “Alle verbindingen voor onze klanten komen eerst toe op ons platform”, verduidelijkt Hof. “Daar kunnen we alvast eenvoudige bedreigingen detecteren en blokkeren.”

Denk daarbij aan gekende malafide bots of stoute IP-adressen die erg veel requests sturen. “We kunnen gekende slechte IP-adressen blokkeren, verdachte verbindingen tegenhouden of zelfs verbindingen van IP-adressen uit bepaalde regio’s afwijzen”, vertelt de CTO. Dat kan op het niveau van individuele klanten. “We kunnen een zondvloed van malafide connecties voor één webserver blokkeren zodat die niet in de problemen komt. Als bijvoorbeeld een webshop met voornamelijk klanten uit de Benelux wordt aangevallen met een DDoS-aanval, kunnen we alleen connecties vanuit de Benelux doorlaten en de rest blokkeren.”

We kunnen een zondvloed van malafide connecties voor één webserver blokkeren zodat die niet in de problemen komt.

Wesley Hof, CTO Combell

Verder bevat het schild een web application firewall. “Daarmee kunnen we bijvoorbeeld gekende SQL-injectie-aanvallen detecteren en meteen blokkeren. We implementeren op dit niveau ook brute force-detectie. Wie een aantal keer na elkaar inlogt op het portaal van een website of webshop, wordt preventief voor een tijdje geblokkeerd. Bij volgende mislukte pogingen blokkeren we de verbinding telkens langer.”

Alle verbindingen en streams die binnenkomen op het Combell Shield-platform, worden bijgehouden. “Alle connecties worden gelogd”, bevestigt Hof. “Die data gaat naar een achterliggend platform waar slimme algoritmes nakijken of alles in orde is. Als één IP-adres plots veel requests begint te sturen naar meerdere nodes of toepassingen, dan detecteren we dat bijvoorbeeld als verdacht. We kunnen het misbruikte adres zo proactief blokkeren zodat meteen alle klanten veilig zijn.”

Het schild geeft Combell een mooi beeld van het actuele dreigingslandschap. “De afgelopen 24 uur blokkeerden we 359.927 connectie-aanvallen”, weet Hof. “De afgelopen maand hielden we 1.186 malware-aanvallen tegen.”

Beschermd tegen zero-days

Achter het schild dat de totale hosting-omgeving beschermt, zitten nog beveiligingsmechanismen waarmee Combell probeert om individuele klanten veilig te houden. Ook die functionaliteit hoort onder de noemer Combell Shield. De diepere beveiliging stoelt op verschillende pijlers, waarvan automatisch patchen de opvallendste is.

Hof: “We lopen automatisch door de broncode van de applicatie van klanten op zoek naar zero-day-lekken. In principe is het de verantwoordelijkheid van de klant om systemen als WordPress of Drupal up-to-date te houden, maar het komt zeker voor dat toepassingen al maanden geen update meer kregen. Zo worden ze kwetsbaar voor zero-day-aanvallen.”

Vaak zijn de virtuele patches sneller dan de officiële updates van softwarefabrikanten.

Wesley Hof, CTO Combell

“Binnen Combell Shield werken we samen met Patchman om klanten te beschermen tegen dergelijke zero-days.” De bescherming detecteert kwetsbaarheden voor de omgeving van de klant getroffen wordt. “Vaak zijn de virtuele patches sneller dan de officiële updates van softwarefabrikanten”, merkt Hof op.

Malwaredetectie

Naast alle bovenstaande functies voert de hostingprovider ook de traditionele malwarescans uit. “Los van de zero-days en andere beveiligingsmechanismen zoeken we naar malware in de document root van klanten”, zegt Hof. Combell kijkt dus zelf in de bestanden van hostingklanten die zichtbaar op het publieke internet staan. “Op basis van signature-detectie gaat Combell daar op zoek naar problemen. “We kunnen malware automatisch weghalen, maar starten ook automatisch vanuit ons ondersteuningsdepartement communicatie op met de klant.”

Hof geeft aan dat een klant die getroffen wordt door malware niet noodzakelijk een impact heeft andere klanten bij de hostingprovider. “De omgevingen van klanten op onze systemen zijn helemaal gescheiden. Wordt één klant getroffen, dan heeft dat geen impact op andere gehoste omgevingen.” Hij ziet het wel als de verantwoordelijkheid van de provider om geen malware te hosten en klanten zo veilig mogelijk te houden. “Hoe meer beveiligingsfuncties we aanbieden, hoe minder klanten zelf moeten doen. We hebben zelf graag dat alles netjes is. Eén gehackte omgeving is in de praktijk geen ramp dankzij de veiligheidsmaatregelen, maar het is niet fijn voor onze reputatie.”

Snel updaten

Om die bescherming te bieden, moet Combell zelf zijn zaken op orde hebben. “Honderd procent beschermd zijn, kan nooit”, beseft Hof. “Het dreigingslandschap evolueert heel snel. Als deel van ons schild hanteren we zelf een heel goed lifecycle-management waarmee we alles up-to-date houden. We kunnen klanten niet beschermen als we zelf oubollige software draaien. Twee keer per week voeren we updates door, tenzij het om zero-days gaat, dan schakelen we sneller.”

Dat klanten zelf aan oudere software vasthouden, is een groter probleem. “We proberen zelf proactief te identificeren welke klanten bijvoorbeeld oude PHP-versies draaien. Verder detecteren we automatisch of de code van een klant klaar is om over te stappen naar een nieuwere versie. Is dat het geval, dan contacteren we de klant drie keer. Wanneer we geen antwoord krijgen, voeren we de update zelf uit. Uiteindelijk zijn klanten daar tevreden mee.”

Eigen investering

Hof maakt zich sterk dat Combell Shield redelijk uniek is. “Alle hostingproviders beseffen intussen wel dat beveiliging een deel van de job is, maar het schild voor het hostingplatform is best uniek. Het was dan ook een hele investering.” Combell bouwde het Shield-platform vrijwel helemaal zelf met een team van ongeveer tien personen. Combell Shield bestaat al verschillende jaren. Het grootste deel van de klanten zit vandaag achter de robuuste beschermingslaag. Hof benadrukt dat die bescherming niet wordt aangeboden als extra optie op een product, maar standaard geactiveerd is voor alle klanten op het Linux shared hosting-platform.

lees ook

Combell en TransIP fuseren onder nieuwe naam: team.blue

Het schild moet nu mee evolueren met de dreigingen. Doordat de bescherming zowel voor de hosting-omgeving staat als de omgevingen van individuele klanten op het Linux shared hosting-platform analyseert, heeft Combell de juiste tools in handen om dat waar te maken. De data die voortkomen uit Combell Shield helpen bovendien om het platform te verbeteren en klanten opnieuw veilig te houden. Loopt alles goed, dan onderschept Combell het gros van het malafide verkeer voor een klant er ooit mee geconfronteerd wordt.

Dit is een redactioneel artikel geschreven in samenwerking met Combell. Via deze link vind je meer informatie over Combell Shield.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.