Besserer Schutz vor Web-Angriffen
Weltweit verteilte Verteidigungslinien
Angriffe auf die IT-Infrastrukturen der Unternehmen sind Alltag. Einer der Gründe dafür: Der Einsatz von Angriffswerkzeugen ist durch geringe Beschaffungskosten einfacher denn je. In dieser verschärften Bedrohungslage reichen die Verteidigungslinien im eigenen RZ bei Weitem nicht mehr aus. Wirksame Sicherheitsmaßnahmen müssen in der Cloud ansetzen, also dort, wo die Angriffe ihren Anfang nehmen.
Effizienz, Flexibilität und Kosteneinsparungen sind einige der Gründe, die für eine Migration von Unternehmensapplikationen in die Cloud sprechen. Dennoch stellt sich immer wieder die Frage: Ist die Cloud angesichts all der unterschiedlichen Bedrohungsszenarien wirklich zuverlässig und sicher genug, um geschäftskritische Anwendungen dorthin zu verlagern?
Fakt ist, dass sich die Art der Angriffe auf die Verfügbarkeit von Web-, E-Mail- und DNS-Servern (Domain Name System), auf Web-Applikationen und ganze Netze ständig ändert. Bis vor gut einem Jahr stand das mit einer Server-Infektion arbeitende Botnetz "itsoknoproblembro" (Brobot) im Mittelpunkt des Interesses. Zum Einsatz kam es im Rahmen einer lang andauernden Angriffsserie auf Finanzinstitute in den Jahren 2011 bis 2013. Neuen Erkenntnissen aus dem "Global DDoS Attack Report" [1] für das zweite Quartal 2014 zufolge wird das Botnetz weiterhin gepflegt und ist immer noch aktiv, wenn auch nicht mehr so sichtbar wie in der Vergangenheit.
Vor einigen Monaten haben böswillige Akteure bei DDoS-Angriffen (Distributed Denial of Service) ihre Taktik geändert und zielen beim Aufbau von Server-seitigen Botnetzen auf PaaS- (Platform as a Service) und SaaS-Anbieter (Software as a Service), deren Server-Instanzen unter Software mit bekannten Sicherheitslücken laufen. Dazu zählen zum Beispiel bestimmte Varianten des LAMP-Stacks (Linux, Apache, MySQL, PHP) oder von Microsoft Windows Server. Angriffsobjekte waren darüber hinaus unsichere Versionen weit verbreiteter Content-Management-Systeme (CMS) wie WordPress und Joomla oder deren Plugins.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) befasst sich in seinem aktuellen Sicherheitslagebild mit DDoS-Angriffen. Schätzungen des BSI zufolge "hat es 2013 allein in Deutschland mehr als 2.000 DDoS-Angriffe gegeben. Es ist jedoch von einer deutlich höheren Dunkelziffer auszugehen." [2] Feststeht, dass die Zahl der DDoS-Angriffe weiter zunimmt und dies mit hohen durchschnittlichen und Spitzenbandbreiten mit mehr als 300 GBit/s. Sie können mit ihrer massiven Bandbreite ein ganzes Rechenzentrum lahmlegen.
Wichtige Kennziffern, die das Volumen der Angriffe beschreiben, sind die Bandbreite, gemessen in Byte pro Sekunde, und die Paketrate, gemessen in Paketen pro Sekunde. Allerdings ist das Volumen allein noch kein Gradmesser für das Ausmaß eines Angriffs. Weitere Faktoren sind die Art des Angriff, die Konstruktion der angegriffenen Infrastruktur und die eingesetzten Methoden (Vektoren). Bei der Dauer der Angriffe reicht die Spannbreite von wenigen Minuten bis zu einigen Stunden - in Extremfällen mehre Tage oder gar mehrere Monate. Als Faustregel gilt: Ist kein wirksamer DDoS-Schutz vorhanden, dauern die Angriffe länger.
Angriffe auf Netzwerk- und Applikationsebene
Bei den DDoS-Angriffen lässt sich eine Unterscheidung treffen zwischen solchen auf Infrastruktur- und solchen auf Applikationsebene, die überwiegende Zahl erfolgt auf Infrastrukturebene. Deutlich gefährlicher im Hinblick auf die potenziellen Schäden sind Angriffe auf Applikationsebene, da sie weitere gezielte Aktionen wie Datendiebstahl auslösen können. Aktuelle Angriffe sind oft eine enorm schlagkräftige Mischung aus weitverbreiteten DDoS-Toolkits, verbunden mit Reflection- und Amplification-Methoden. Nahezu jede siebte Infrastrukturangriff entfiel laut dem Prolexic Global DDoS Attack Report für das zweite Quartal 2014 auf Reflection- und Amplification-Angriffe. Sie nutzen die Funktionalität der eingesetzten Internetprotokolle und falsch konfigurierter Server aus.
Bei solchen gezielten Angriffen geht es unmissverständlich um Spionage und Sabotage. DDoS verfolgt unter anderem die Intention, Web-basierte Dienste wie Unternehmens-Homepages, E-Commerce-Sites und Cloud-Services lahmzulegen. Besonders gefährlich wird es, wenn DDoS mit Scripting-/SQL-Injection-Angriffen einhergeht. Mit reinem DDoS können Angreifer die Website eines Unternehmens lahmlegen, sie erzielen damit aber keinen Profit - auch wenn der Onlineshop des betroffenen Unternehmens als Folge der Nichtverfügbarkeit erhebliche Umsatzeinbußen und Imageverluste zu verzeichnen hat und der Schaden für die Betroffenen erheblich ist.
Die weit größeren Gefahren lauern im Hintergrund, denn bei Hackern gelten DDoS-Angriffe als probates Mittel, um sich Zugang zu Unternehmensnetzen zu verschaffen und sensible Daten zu entwenden. Gelingt es den Hackern etwa mittels Cross-Site-Scripting (XSS), Schadcode auf der Website zu platzieren, ist der Weg frei für Industriespionage. Ferner werden DDoS-Angriffe auch als Ablenkungsmanöver genutzt, wenn Angreifer in andere Unternehmenssysteme einbrechen wollen, während IT-Mitarbeiter mit DDoS-Abwehrmaßnahmen beschäftigt sind.
Höhere Sicherheit im Web
Alle Cloud-Provider - unabhängig, ob IaaS, PaaS oder SaaS - haben grundlegende Sicherheitsmaßnahmen implementiert, die ihre eigenen Cloud-Bestände und die ihrer Kunden schützen. Dennoch bleibt für die Web-, E-Mail-, DNS- sowie Web-Applikations-Server der Kunden ein gewisses Maß an Unsicherheit. Die Antwort darauf ist die Integration einer Multi-Perimeter-Cloud. Durch sie entsteht eine zusätzliche, Compliance-konforme Sicherheitsschicht für die in der Cloud gehosteten Applikationen.
Mit Cloud-basierten Services, die den Schutz und die Verfügbarkeit von Assets in der Cloud gewährleisten, können Unternehmen heute einen Ansatz verfolgen, der die Grenzen der herkömmlichen Security-Lösungen überwindet. Virenschutz, Spamschutz, URL-Filter und RZ-interne Web Application Firewalls (WAFs) reichen als Sicherheitsmaßnahmen nicht aus. Sie bieten einen notwendigen, aber nicht hinreichenden Schutz. Ein wirksamer Schutz setzt dort an, wo die Gefahren entstehen: in der Cloud. Eine global verteilte mehrstufige Verteidigungsschicht schafft hier ein höheres Maß an Sicherheit: Sie kann die enorme Schlagkraft von DDoS-Angriffe auffangen und Probleme in Echtzeit identifizieren.
Cloud-Security-Services sollten über die Flexibilität und Load-Balancing-Funktionalität verfügen, die sich mit Failover-Logik kombinieren lässt. Dadurch ist es möglich, in Cloud-Umgebungen standardisierte, rechtzeitig wirkende Abwehrmechanismen einzusetzen. IT-Manager sind so in der Lage, Systeme einzurichten, mit denen man automatisch auf neue Arten von Bedrohungen reagieren und diese abwehren kann. Gleichzeitig können sie so sicherstellen, dass Endnutzer auch während plötzlicher Ausfälle Antworten bekommen und die vorgegebenen Sicherheitsprozesse, -prozeduren und -konfigurationen immer eingehalten werden.
Multi-Perimeter-Cloud
Ein Multi-Perimeter-Ansatz bildet dabei das Herzstück einer Lösung, die den Schutz und die Verfügbarkeit von kritischen Unternehmensapplikationen und -daten sicherstellen soll. Dieser Ansatz nutzt die verteilte Architektur des Internets und damit dessen Skalierbarkeit und Flexibilität, um die Infrastruktur, Web-Applikationen sowie Daten zu schützen und Ausfälle zu vermeiden. Er macht sich gegenseitig ergänzende Sicherheits- und Redundanzschichten zunutze, die ein breitgefächertes Set an Schutztaktiken gegen Bedrohungen und Ausfälle einsetzen.
Dafür wird eine hochverteilte, netzwerkübergreifende verteilte Sicherheitsinfrastruktur benötigt, die eine massive Skalierbarkeit am "Rand" des Internets (also möglichst nah am Zugangspunkt), höchste Verfügbarkeit, das Umleiten von Angriffen nah am Ursprung und Echtzeitreaktion auf Veränderungen ermöglicht. Sie bildet die erste Verteidigungslinie und kann einige der häufigsten DDoS-Angriffe frühzeitig stoppen. UDP- oder SYN-Floods, die auf die unteren Ebenen des TCP/IP-Stacks zielen, treffen auf die verteilte Sicherheitsplattform und werden "am Netzwerkrand" ("at the edge") gleich abgewehrt. Der Angriffsdatenverkehr für die Netzwerkebene enthält so nicht die erforderlichen Informationen, um zum Kunden zu gelangen. Es wird automatisch angenommen, dass es sich hier entweder um böswilligen oder fehlerhaften Traffic handelt.
Im Unterschied zu Angriffen auf die Netzwerkschicht stoppt eine verteilte Sicherheitsplattform Angriffe auf die Applikationsebene nicht automatisch. Solche Angriffe kommunizieren typischerweise in Form legitimer Requests mit Websites und Applikationen. Sie versuchen dabei, den Server mit unvollständigen, fehlerhaften oder einer exzessiven Menge von Anfragen zu blockieren. Die Verteidigung gegen Application-Layer-DDoS-Angriffe erfolgt auf zwei Wegen: Erstens bietet die globale Dimension einer verteilten Sicherheitsplattform mit ihren Zehntausenden von Servern genügend Kapazitäten, um auch großvolumige HTTP- und DNS-Floods zu absorbieren, bevor sie eine Applikation erreichen können. Zweitens bietet eine Web Application Firewall granulare Kontrollmechanismen zur automatischen Identifikation von Angreifern und neutralisiert die Angriffe, bevor sie Schaden anrichten können.
WAF als Cloud-Service
Eine WAF in Form eines Cloud-Services dient als wichtiger Perimeterschutz. Ziel ist es dabei, die DDoS-Angriffe auf Applikationsebene innerhalb des HTTP- und HTTPS-Datenverkehrs zu erkennen und zu entschärfen. Eine WAF kann als primäre Firewall für Applikationen oder als leistungsfähige Erweiterung einer bereits bestehenden Sicherheitsinfrastruktur zum Einsatz kommen.
Wichtig ist darüber hinaus ein hochskalierbarer Schutz gegen DNS-Angriffe. Immer wieder kommt es vor, dass Unternehmen nur wenige DNS-Server einsetzen, die dann unter einem massiven DDoS-Angriff schnell überlastet sind und legitime DNS-Anfragen nicht mehr beantworten können. Ein "Enhanced DNS" löst mittels eines Sekundärsystems DNS-Namen so auf, dass sie von außen nicht erkennbar sind. Dadurch lassen sich Gefahren, die von Cache-Poisoning und DDoS-Angriffe ausgehen, verringern.
Fazit
Eine hocheffiziente IT-Sicherheit benötigt einen Multi-Perimeter-Ansatz, der Maßnahmen innerhalb der Firewall um einen Cloud-basierten äußeren Schutzwall ergänzt. So kann man flexibel und skalierbar auf großvolumige Angriffe reagieren und sie erfolgreich abwehren.
Lesen Sie mehr zum Thema
