DDoS-Angriffe
IoT – die plötzliche Bedrohung?
Fortsetzung des Artikels von Teil 1
DDoS-as-a-Service
Noch vor wenigen Jahren verließen sich die meisten Cyberkriminellen auf das einfache Überlasten des Netzwerks mit riesigen Datenmengen (Flooding), um DDoS-Attacken zu starten. Es gab natürlich auch komplexere Angriffe, doch nur wenige Angreifer hatten die hierfür erforderlichen Kenntnisse. Als die ersten Booter-/Stresser-Dienste auftauchten, konnten auch weniger technikversierte Cyberkriminelle durch einfaches Eingeben einer IP-Adresse und Klicken auf eine Taste komplexe Angriffe auslösen. Auf diese Weise wurden die komplexeren Angriffe zu einer wirksamen Waffe, die einer breiten Öffentlichkeit zugänglich war. Das moderne Auto eignet sich hier als gute Analogie. Fast jeder kann Auto fahren, doch nur wenige haben die erforderlichen Fachkenntnisse, um eines zu bauen.
Mit Cybercrime-as-a-Service stehen nun jedem, der böse Absichten hat, DDoS-Attacken als Mittel zur Verfügung, um diese in die Tat umzusetzen. Laut dem zwölften weltweiten Sicherheitsbericht von Arbor Networks war die Online-Gaming-Branche eines der primären Angriffsziele der in 2016 verzeichneten DDoS-Angriffe. Ideologisch motivierter Hacktivismus steht nur noch an zweiter Stelle – dicht gefolgt von Kriminellen, die ihre Angriffsfähigkeiten unter Beweis stellen wollten. Da sich Botnet-Operatoren jedoch in der Regel hinter den IP-Adressen der infizierten Geräte verstecken, ist es sehr schwierig, wenn nicht sogar unmöglich, eine professionell ausgeführte DDoS-Attacke bis zu dem dafür verantwortlichen Threat Actor zurückzuverfolgen.
Cyberkriminelle entwickeln ihre Angriffsmethoden ständig weiter. Um Abwehrmaßnahmen zu umgehen und ihre Ziele zu erreichen, greifen sie je nach Zweck des Angriffs auf unterschiedliche Angriffsvektoren zurück. Die Angriffsvektoren lassen sich in folgende allgemeine Kategorien unterteilen:
- Volumetrische Angriffe: Bei dieser Art von Angriffen wird versucht, entweder den Bandbreitenverbrauch innerhalb des anvisierten Netzwerks/Dienstes oder zwischen dem anvisierten Netzwerk/Dienst und dem restlichen Internet zu erhöhen. Primäres Ziel ist die Überlastung des Netzwerks.
- TCP State-Exhaustion: Bei diesen Angriffen wird versucht, die Zustandstabellen (State Tables) für die Verbindungen zum Überlaufen zu bringen, die in vielen Infrastrukturkomponenten vorhanden sind (wie etwa in Loadbalancern, Firewalls, IPS-Systemen und Applikationsservern). Sie können sogar Hochleistungsgeräte lahmlegen, die in der Lage sind, den Zustand (State) von Millionen von Verbindungen zu speichern und zu verwalten.
- Angriffe auf Applikationsebene: Diese Angriffe sind gegen bestimmte Aspekte einer Anwendung oder eines Dienstes der Applikationsschicht (Layer 7) gerichtet. Hierbei handelt es sich um die komplexeste und gefährlichste Art von Angriffen, da mit nur einem angreifenden Gerät, das eine niedrige Datenrate generiert, ein sehr effizienter Angriff ausgeführt werden kann. Aus diesem Grund ist eine proaktive Erkennung mit traditionellen Monitoring-Lösungen, die auf IP-Flow-Daten basieren, äußerst schwierig.
Obwohl Multivektor-Angriffe nichts Neues sind, kann ihre höhere Komplexität dazu führen, dass sie schwieriger zu erkennen und zu bekämpfen sind. Multivektor-Angriffe auf Netzwerke haben deutlich zugenommen – von 42 Prozent in 2014 auf 56 Prozent in 2015 und schließlich auf 67 Prozent in 2016 (WISR XII). Die Vielfalt an Angriffsmöglichkeiten, die heute mit DDoS-Botnets verfügbar sind, ist dramatisch angestiegen. Die vielfältigen Angriffsmöglichkeiten haben vermutlich auch zur Zunahme der Mulitvektor-Angriffe geführt.
Umgang mit der heutigen DDoS-Bedrohungslandschaft
Obwohl DDoS-Angriffe seit 20 Jahren regelmäßig für Schlagzeilen sorgen, sind viele Unternehmen auch heute noch schlecht ausgestattet und unzureichend vorbereitet. Einige gehen irrtümlich davon aus, dass sie nicht Ziel eines Angriffs werden, obwohl sie bereits Ausfälle zu verzeichnen haben, die auf DDoS-Attacken zurückzuführen sind, aber fälschlicherweise Geräte- oder Bedienungsfehlern zugeschrieben werden. Andere sind leichte Beute, da sie sich auf ihre vorhandene Infrastruktur wie Firewalls und IPS (Intrusion Prevention Systems) oder allein auf die Schutzebene verlassen, die ihnen ihr ISP oder das CDN (Content Delivery Network) bietet. In beiden Fällen sind die Unternehmen nur unzureichend geschützt. Firewalls und IPS sind häufig selbst Opfer von DDoS-Angriffen und auch der ausschließliche Cloud- oder CDN-Schutz schützt unternehmenskritische Applikationen nicht ausreichend. Der DDoS-Schutz sollte als eine Art Versicherung betrachtet werden, denn jeder ist gefährdet.
Der Schlüssel zur Abwehr von DDoS-Angriffen ist eine gute Vorbereitung: Zunächst ist es wichtig, Angriffe auf Applikationsebene vor Ort zu stoppen, wo eine bessere Kontrolle über den Schutz von strategischen Diensten möglich ist. Vor Ort installierte, maßgeschneiderte Inline-Produkte können eingehende DDoS-Angriffe und andere Bedrohungen abwehren. Der nächste Schritt ist das Stoppen volumetrischer Angriffe in der Cloud, bevor diese die Leitungen und die Sicherheitsgeräte vor Ort überlasten. In einem letzten Schritt muss eine intelligente Kommunikation zwischen den beiden Umgebungen sichergestellt werden, damit dynamische Multivektor-Angriffe gestoppt werden können. Berücksichtigen Unternehmen diese Aspekte, können sie sich auch vor zukünftigen, zunehmend aggressiveren Arten von DDoS-Angriffen schützen.
Christian Reuss ist Sales Director DACH bei Arbor Networks
- IoT – die plötzliche Bedrohung?
- DDoS-as-a-Service
Lesen Sie mehr zum Thema
