Een klant belde ons op een vrijdag. Hun aanmeldpagina werd bestookt door bots. Honderden nepaccounts per uur, elk aangemaakt met een echt e-mailadres van een bestaand persoon. Hun systeem verstuurde braaf welkomstmails naar iedereen.
Het gevolg? De e-mailreputatie van hun domein ging in vrije val. Binnen enkele dagen dreigde hun domein op een blacklist te belanden en hun AWS SES-toegang te worden opgeschort. Dat is geen theoretisch risico, SES schort je daadwerkelijk op als je bounce- en klachtenpercentages de drempel overschrijden.
Ze hadden het nu nodig!
Het probleem met traditionele verdediging
De voor de hand liggende eerste stap is blokkeren op IP-adres. Verdachte bronnen identificeren, blokkeren, klaar. Simpel.
Behalve dat deze bots via het Tor-netwerk routeerden. Elk verzoek kwam van een ander exit-node. Blokkeer één IP, een ander neemt het binnen seconden over. Dat is een gevecht dat je niet wint met rate limiting en IP-blacklists alleen.
De bots waren niet bijzonder geavanceerd in wat ze deden,
- account aanmaken,
- e-mail triggeren,
- herhalen,
maar ze waren zeer effectief in het verbergen van hun herkomst. Traditionele IP-gebaseerde maatregelen waren nutteloos.
Waarom dit gevaarlijker was dan het leek
Op het eerste gezicht klinken nepregistraties als een irritatie. Vervelend, zeker. Maar gevaarlijk?
Ja, dit is waarom:
E-mailreputatie is fragiel. Wanneer je domein honderden e-mails stuurt naar adressen waarvan de eigenaren zich nooit hebben aangemeld, markeren die mensen ze als spam. Mailproviders merken dat op. Je domeinreputatie daalt. Legitieme e-mails, orderbevestigingen, wachtwoordresets, facturen, belanden in spamfolders. Of worden compleet geblokkeerd.
AWS SES heeft harde limieten. Amazon monitort je bouncepercentage, klachtenpercentage en verzendpatronen. Overschrijd de grens en SES plaatst je account onder review. Ga nog verder en ze schorsen je verzendmogelijkheid volledig op. Voor een bedrijf dat afhankelijk is van transactionele e-mail is dat een storing.
Het escaleert snel. Botaanvallen nemen niet af. Ze versnellen. Elk uur niets doen betekent meer nepaccounts, meer bounced e-mails en meer reputatieschade om te herstellen. Herstel van een geblokkeerd domein duurt weken. Soms maanden.
AWS WAF: het juiste gereedschap
We implementeerden AWS WAF voor hun applicatie. WAF zit aan de edge en inspecteert HTTP-verzoeken voordat ze je backend bereiken. Het is native AWS, integreert met CloudFront, ALB en API Gateway, en geeft je fijnmazige controle over welk verkeer doorkomt.
Voor deze opdracht richtten we ons op drie dingen:
Managed rule groups. AWS WAF wordt geleverd met samengestelde regelsets die worden onderhouden door AWS en gecontroleerde derde partijen. Deze bevatten regels die specifiek zijn ontworpen om bekende kwaadwillende actoren te identificeren en te blokkeren, inclusief verkeer afkomstig van anonimiseringsnetwerken. We activeerden de relevante managed rules en filterden direct het meest voor de hand liggende botverkeer.
Gedragspatroonherkenning. Naast bekende verdachte IP-adressen configureerden we regels om de patronen te detecteren die deze bots vertoonden. De aanmeldverzoeken hadden kenmerken die ze onderscheidden van legitiem gebruikersgedrag. WAF stelde ons in staat regels te definiëren die deze patronen matchten zonder echte gebruikers te blokkeren.
Rate-based rules. Zelfs via Tor overschreed het volume van verzoeken vanaf individuele exit-nodes wat een legitieme gebruiker zou genereren. Rate-based rules voegden een extra laag toe en blokkeerden automatisch bronnen die redelijke drempels overschreden binnen een bepaald tijdsvenster.
De combinatie werkte. Binnen enkele uren daalden nepregistraties naar vrijwel nul.
Het resultaat
| Metric | Voor | Na |
|---|---|---|
| Nepregistraties per uur | Honderden | Vrijwel nul |
| SES bouncepercentage | Gevaarlijk hoog | Binnen veilige drempels |
| E-mailreputatie | Snel verslechterend | Gestabiliseerd en herstellende |
| Impact op echte gebruikers | Geen | Geen |
De e-mailstroom van de klant was hersteld. SES bleef actief. Echte gebruikers merkten niets.
Verder dan de directe fix
De aanval stoppen was stap één. Maar botaanvallen komen niet één keer. Ze komen terug. Vaak slimmer.
AWS WAF is geen set-and-forget tool. Het vereist monitoring en bijsturing. We configureerden logging via WAF’s integratie met CloudWatch om geblokkeerde verzoeken te volgen, nieuwe patronen te identificeren en regels aan te passen naarmate het gedrag van aanvallers evolueert.
Voor bredere beveiligingsvisibiliteit adviseerden we de klant ook om GuardDuty en Security Hub in hun monitoringstack te integreren. GuardDuty detecteert ongewone activiteit op infrastructuurniveau, gecompromitteerde instances, afwijkende API-aanroepen, verkenningspatronen. Security Hub aggregeert bevindingen van WAF, GuardDuty en andere bronnen in één compliance-bewust dashboard.
Samen creëren deze drie diensten een gelaagde verdediging:
| Laag | Service | Wat het dekt |
|---|---|---|
| Edge-bescherming | AWS WAF | HTTP-filtering, botmitigatie, rate limiting |
| Dreigingsdetectie | GuardDuty | Infrastructuurdreigingen, afwijkend gedrag |
| Postuurbeheer | Security Hub | Geaggregeerde bevindingen, compliance-dashboards |
Geen enkele tool dekt alles. Maar correct gestapeld dekken ze elkaars blinde vlekken.
De NIS2-invalshoek
Als je opereert in de EU, is botmitigatie niet alleen verstandig. Het wordt een compliance-vereiste.
NIS2, de bijgewerkte EU-richtlijn voor netwerk- en informatiebeveiliging, schrijft voor dat organisaties in essentiële en belangrijke sectoren passende maatregelen implementeren tegen cyberdreigingen. Botaanvallen die e-mailinfrastructuur compromitteren, frauduleuze accounts creëren of de beschikbaarheid van diensten verstoren, vallen volledig binnen dat bereik.
Een gedocumenteerde, geautomatiseerde responscapabiliteit (zoals WAF met managed rules en monitoring) demonstreert het soort “passende technische maatregelen” dat NIS2 verwacht. Het is niet het volledige complianceplaatje, maar het is een wezenlijk onderdeel.
Als het misgaat, telt snelheid
Deze opdracht bevestigde iets dat we keer op keer zien: het verschil tussen een klein incident en een serieus incident is reactietijd.
De e-mailreputatie van de klant was al beschadigd toen ze ons belden. Nog een week niets doen en ze hadden te maken gehad met een geblokkeerd domein en opgeschorte SES-toegang, met cascaderende effecten op hun gehele zakelijke communicatie.
We hadden WAF geïmplementeerd en verkeer gefilterd binnen enkele uren. Niet omdat de technologie magisch is, maar omdat we dit vaker hebben gedaan. We wisten welke regels we moesten activeren, hoe we ze moesten configureren zonder legitieme gebruikers te blokkeren, en hoe we de resultaten moesten valideren onder druk.
Dat is wat je krijgt van een team dat elke dag in AWS leeft.
Wacht niet op de aanval
De meeste organisaties denken pas aan botbescherming als de bots er al zijn. Tegen die tijd loopt de schade al op. WAF-regels die een uur kosten om te configureren tijdens normale operaties, kosten hetzelfde uur tijdens een incident, maar met veel meer stress en veel minder ruimte voor fouten.
Als je aanmeldformulieren, betaalpagina’s of andere publiek toegankelijke applicaties draait op AWS, is de vraag niet óf bots het vinden. Het is wanneer.
Wij helpen je snel te reageren op dreigingen en de volgende te voorkomen.
Neem contact op over het beveiligen van je AWS-omgeving →
Forrict
AWS expert en consultant bij Forrict, gespecialiseerd in cloud architectuur en AWS best practices voor Nederlandse bedrijven.
