Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Scrubbing

Verdediging

Gegevens filteren die naar een systeem gaan. Doel is onder andere om te zorgen dat DDoS-aanvallen niet succesvol kunnen zijn of om DDoS-aanvallen onschadelijk te maken.

Scrubbing is een beveiligingstechniek waarbij netwerkverkeer wordt omgeleid naar een gespecialiseerd filtercentrum (scrubbing center) om kwaadaardig verkeer te scheiden van legitiem verkeer. De techniek wordt voornamelijk ingezet als verdediging tegen DDoS-aanvallen (Denial of Service), waarbij aanvallers proberen een website of dienst onbereikbaar te maken door deze te overspoelen met enorme hoeveelheden verkeer. Het scrubbing center vangt de aanval op, filtert het kwaadaardige verkeer eruit en stuurt alleen het schone, legitieme verkeer door naar de oorspronkelijke bestemming.

De term scrubbing verwijst letterlijk naar het "schrobben" of reinigen van dataverkeer. Net zoals een waterfilter vervuiling verwijdert en alleen schoon water doorlaat, verwijdert een scrubbing center aanvalsverkeer en laat alleen gewenste verzoeken door naar je servers. Dit proces vindt plaats in datacenters met enorme bandbreedte, vaak honderden gigabits tot meerdere terabits per seconde, waardoor ze zelfs de grootste volumetrische aanvallen kunnen absorberen.

Scrubbing is een cruciaal onderdeel van de moderne DDoS-verdedigingsstrategie. Waar traditionele firewalls en intrusion prevention systemen beperkingen hebben in de hoeveelheid verkeer die ze kunnen verwerken, zijn scrubbing centers specifiek ontworpen om massale verkeersstromen aan te kunnen. Voor organisaties die afhankelijk zijn van de beschikbaarheid van hun online diensten, zoals e-commerceplatforms, financiele instellingen en overheidsorganisaties, is scrubbing vaak een onmisbare beschermingslaag tegen gerichte aanvallen.

Hoe werkt scrubbing?

Het scrubbing-proces begint met de detectie van een aanval. Monitoringsystemen analyseren continu het netwerkverkeer op afwijkingen, zoals een plotselinge toename in verkeersvolume, ongebruikelijke patronen of verdachte bronnen. Zodra een aanval wordt gedetecteerd, wordt het verkeer omgeleid naar het dichtstbijzijnde scrubbing center via BGP-routewijzigingen of DNS-aanpassingen.

In het scrubbing center wordt het verkeer door meerdere filterlagen geleid. De eerste laag voert volumetrische filtering uit: verkeer wordt vergeleken met bekende DDoS-signatures en volumedrempels (packets per second, bits per second). Duidelijk kwaadaardig verkeer wordt hier al geblokkeerd. Dit vangt het gros van de eenvoudige flood-aanvallen op.

De tweede laag gebruikt gedragsanalyse en machine learning om geavanceerdere aanvalspatronen te herkennen. Hierbij wordt gekeken naar het gedrag van individuele verbindingen: maakt een bron normale verzoeken of gedraagt deze zich afwijkend? Botnets die menselijk gedrag proberen na te bootsen, worden hier vaak alsnog ontmaskerd door subtiele inconsistenties in hun verkeerspatronen.

De derde laag richt zich op applicatielaag-aanvallen (Layer 7). Dit zijn de meest geavanceerde aanvallen die lijken op normaal webverkeer maar gericht zijn op het uitputten van serverresources. Technieken zoals challenge-response mechanismen (vergelijkbaar met CAPTCHA's) en rate limiting worden ingezet om deze aanvallen te mitigeren. Na alle filterlagen wordt alleen het geverifieerde, schone verkeer doorgestuurd naar je infrastructuur.

Hoe implementeer je scrubbing?

Er zijn twee hoofdbenaderingen voor het implementeren van scrubbing: always-on en on-demand. Bij always-on scrubbing wordt al het verkeer permanent via het scrubbing center gerouteerd. Dit biedt continue bescherming zonder vertragingen bij het activeren, maar kan hogere latentie en kosten met zich meebrengen. Deze aanpak is geschikt voor organisaties met een hoog risicoprofiel of strikte beschikbaarheidseisen.

Bij on-demand scrubbing wordt verkeer alleen omgeleid wanneer een aanval wordt gedetecteerd. In normale omstandigheden gaat het verkeer rechtstreeks naar je servers, waardoor er geen extra latentie is en functioneert je infrastructuur op volle snelheid. Het nadeel is dat er een korte activeringstijd is wanneer een aanval begint, typisch enkele minuten. Voor de meeste organisaties biedt on-demand scrubbing de juiste balans tussen bescherming en kosten.

De keuze voor een scrubbing-provider hangt af van verschillende factoren. De totale filtercapaciteit bepaalt of de provider grote aanvallen aankan. De geografische spreiding van scrubbing centers beinvloedt de latentie voor je gebruikers. En de integratiemogelijkheden met je bestaande netwerkinfrastructuur bepalen hoe soepel de implementatie verloopt. Grote aanbieders zoals Akamai, Cloudflare en Radware bieden scrubbing-diensten aan met capaciteiten van meerdere terabits per seconde.

Voor Nederlandse organisaties is het relevant om te weten dat er ook lokale scrubbing-capaciteit beschikbaar is via Nederlandse internetproviders en managed security providers. Dit kan voordelen bieden op het gebied van latentie en compliance, omdat het verkeer binnen de Europese Unie blijft. De NCSC adviseert organisaties om DDoS-bescherming serieus te nemen, vooral als ze onderdeel zijn van de vitale infrastructuur.

Best practices voor scrubbing

Test je scrubbing-oplossing regelmatig door gesimuleerde DDoS-aanvallen uit te voeren. Veel organisaties ontdekken pas tijdens een echte aanval dat hun configuratie niet optimaal is. Periodieke tests helpen je om de activeringstijd te meten, de effectiviteit van de filters te verifiëren en eventuele configuratieproblemen op te lossen voordat ze impact hebben.

Zorg voor duidelijke runbooks die beschrijven wie wat doet tijdens een DDoS-aanval. Hoewel scrubbing veel automatisch afhandelt, zijn er vaak handmatige acties nodig zoals het communiceren met stakeholders, het aanpassen van filterregels en het monitoren van de impact op legitiem verkeer. Een goed incident response plan voor DDoS-scenario's verkort de reactietijd aanzienlijk.

Combineer scrubbing met andere verdedigingslagen. Een Web Application Firewall (WAF) beschermt tegen applicatielaag-aanvallen, rate limiting op je eigen infrastructuur vangt kleinere pieken op, en een content delivery network (CDN) verdeelt de belasting over meerdere locaties. Deze gelaagde aanpak zorgt ervoor dat je niet volledig afhankelijk bent van een enkele verdedigingslinie.

Monitor en analyseer elke aanval achteraf. Scrubbing-providers leveren doorgaans gedetailleerde rapporten over aanvalskarakteristieken, bronnen en gefilterd verkeer. Gebruik deze informatie om je verdediging te verfijnen en trends te identificeren. Vergelijk DDoS-beschermingsoplossingen op IBgidsNL om de juiste provider voor jouw situatie te vinden.

Veelgestelde vragen over scrubbing

Wat is het verschil tussen scrubbing en een firewall?

Een firewall filtert verkeer op basis van regels op je eigen netwerk en heeft beperkte capaciteit. Een scrubbing center opereert in de cloud met capaciteiten van honderden gigabits tot terabits per seconde, specifiek ontworpen om grote DDoS-aanvallen te absorberen voordat ze je netwerk bereiken.

Hoeveel kost een scrubbing-dienst?

De kosten variëren van enkele honderden euro's per maand voor basisbescherming tot duizenden euro's voor always-on enterprise-oplossingen. De prijs hangt af van je bandbreedte, het beschermingsniveau en of je kiest voor on-demand of always-on. Veel providers bieden pay-as-you-go modellen aan.

Kan scrubbing legitiem verkeer blokkeren?

Ja, dit wordt een false positive genoemd. Geavanceerde scrubbing-systemen minimaliseren dit risico door machine learning en gedragsanalyse, maar het risico is nooit nul. Daarom is het belangrijk om je filters goed af te stemmen en regelmatig te testen op false positives.

Hoe snel wordt scrubbing geactiveerd bij een aanval?

Bij always-on scrubbing is er geen activeringstijd omdat al het verkeer permanent wordt gefilterd. Bij on-demand scrubbing duurt de activering doorgaans tussen de dertig seconden en enkele minuten, afhankelijk van de provider en het detectiemechanisme dat wordt gebruikt.

Beschermt scrubbing ook tegen applicatielaag-aanvallen?

Ja, geavanceerde scrubbing centers filteren op meerdere lagen, inclusief Layer 7 applicatielaag-aanvallen. Ze gebruiken challenge-response technieken, gedragsanalyse en rate limiting om HTTP-floods en andere applicatiegerichte aanvallen te mitigeren naast de volumetrische filtering.

Wil je jouw organisatie beschermen tegen DDoS-aanvallen met professionele scrubbing? Vergelijk aanbieders en oplossingen op IBgidsNL.