Schützen Sie Ihre Apps vor Layer-7-DoS-Angriffen mit NGINX App Protect Denial of Service

Das Benutzererlebnis ist alles. Es gibt keinen Grund für Apps und Websites, wenn Verbraucher und Kunden sie nicht nutzen. Daher ist es wichtig, ein positives und konsistentes Benutzererlebnis sicherzustellen, insbesondere wenn die Toleranz der Benutzer gegenüber Latenzen, Ausfallzeiten und Fehlern immer geringer wird.

Wenn Benutzer negative Erfahrungen mit Ihrer App oder Website machen, verlieren Sie sie möglicherweise für immer als Kunden. In einer Salesforce-Umfrage gaben 61 % der Verbraucher an, dass sie nach einer einzigen schlechten Erfahrung zur Konkurrenz gewechselt seien. Bei einer Wiederholung dieser schlechten Erfahrung ist eine Desertion unvermeidlich. Angesichts der großen Auswahl im Internet ist die Markentreue nur bedingt stichhaltig.

Ausfallzeiten sind eine der Hauptursachen für die Unzufriedenheit der Verbraucher. Denial-of-Service-Angriffe (DoS) sind eine der Hauptursachen für anhaltende Ausfallzeiten. Aufgrund von Änderungen im Anwendungsdesign sind neue Bedrohungsvektoren entstanden und Angreifer haben DoS-Angriffe – die seit über zwei Jahrzehnten verwendet werden – angepasst, um moderne Architekturen auszunutzen. Zwischen Januar 2020 und März 2021 nahmen DoS-Angriffe auf der Anwendungsebene (Layer 7) stark zu und machten 16 % aller DDoS-Vorfälle aus. Tatsächlich geht es bei der Hälfte der Anfragen an das F5 Security Incident Response Team um Hilfe bei DoS-Angriffen auf Anwendungsebene.

Eine zentralisierte Sicherheitsminderung kann bei volumetrischen DoS-Angriffen auf der Netzwerkebene (Ebene 4) wirksam sein. DoS-Angriffe auf der Anwendungsebene sind jedoch gezielter und erfordern daher spezielle Abwehrmaßnahmen zum Schutz moderner Anwendungen, die zunehmend verteilt sind, aus APIs und Mikrodiensten bestehen und auf flexibleren Infrastrukturen wie der Cloud laufen.

Über den herkömmlichen Schutz hinausgehen

Auch wenn die Quelle eines DoS-Angriffs verteilt ist (was ihn zu einem DDoS-Angriff macht), zielen grundlegende volumetrische Angriffe auf Netzwerkebene im Allgemeinen auf ein einzelnes Gerät oder einen einzelnen Dienst ab, und herkömmliche Schutztools sind ähnlich monolithisch und zentralisiert. Und obwohl diese Tools in der Anwendungssicherheitslandschaft immer noch ihren Platz haben, reichen sie nicht aus. Heute gehören cloudbasierte DDoS-Schutzdienste zum Industriestandard. Sie berücksichtigen jedoch immer noch nicht die Tatsache, dass Anwendungen keine monolithischen Einzeldienste mehr sind, sondern viele Integrationspunkte aufweisen, die geschützt werden müssen.

Vor der digitalen Transformation und der damit einhergehenden groß angelegten Architekturverlagerung hin zu APIs, Microservices und Cloud-basierten Integrationen konnte eine einfache Web Application Firewall (WAF) die Ausnutzung von Schwachstellen und DoS-Angriffe weitgehend abschwächen. Bei einem volumetrischen Angriff, der sich beispielsweise als Überflutung auf der Clientseite manifestiert, sind eine einfache WAF und herkömmliche DoS-Tools wirksam, da der Datenverkehr zentralisiert ist. Ein Cloud-Scrubbing-Dienst kann Angriffe abschwächen, bevor der Datenverkehr in die Eingangsleitungen gelangt, oder es kann ein Schutz vor dem Anwendungsstapel platziert werden. Und einfache WAFs schützen noch immer vor herkömmlichen Angriffen, vor allem durch Ratenbegrenzung, Denylists und Bot-Signaturen, aber die Bedrohungslandschaft hat sich darüber hinaus erweitert.

Kurz gesagt: Die Spielregeln haben sich geändert, und einfache WAFs und herkömmlicher DoS-Schutz sind bei modernen Anwendungsarchitekturen nicht mehr wirksam.

Moderne DoS-Angriffe erfolgen auf Ebene 7 und sind viel schwerer zu erkennen, da sie in verschlüsselten Kanälen und der Zielanwendungslogik verborgen sind. Daher benötigen Sie eine zusätzliche Schutzebene, um das Clientverhalten und die Serverbelastung zu messen – die beiden wichtigsten Indikatoren für einen DoS-Angriff.

Um dieses Problem zu beheben, haben wir vor Kurzem das Modul „NGINX App Protect Denial of Service“ veröffentlicht. Sie fragen sich möglicherweise, ob Sie ein DoS-Modul benötigen, wenn Sie bereits über eine WAF und herkömmlichen DoS-Schutz verfügen. Das ist tatsächlich so – lesen Sie weiter, um zu erfahren, warum.

Moderne Architekturen brauchen modernen Schutz

Verschlüsselung gibt es überall, und herkömmlicher DoS-Schutz ist nicht für die Entschlüsselung im großen Maßstab konzipiert. Im Zeitalter monolithischer Anwendungen war eine zentralisierte DoS-Minderung sinnvoll, da die Verschlüsselung noch nicht so weit verbreitet war und Angriffe größtenteils schon allein durch eine Betrachtung der Client-Seite erkannt werden konnten. Heutzutage wird fast der gesamte Datenverkehr verschlüsselt. Daher ist eine zustandslose DoS-Abwehr, die sich ausschließlich auf den eingehenden Datenverkehr konzentriert, weitgehend wirkungslos. Dies gilt insbesondere, wenn bei einem Angriff eine einzelne gezielte Anfrage verwendet wird, um eine Anwendung zu belasten.

Anwendungen werden heute für verteilte Architekturen wie Microservices entwickelt und optimiert. Dank der zunehmenden Betonung der Privatsphäre der Benutzer und der Fortschritte in der Kryptografie (und der entsprechenden Gesetzgebung) wird End-to-End -Verschlüsselung immer üblicher. Moderne Architekturen basieren in hohem Maße auf APIs, und die API-zu-API- Kommunikation (auch Ost-West-Verkehr genannt) passiert möglicherweise nicht einmal zentralisierte Sicherheitskontrollen.

Für einen effektiven DoS-Schutz auf Anwendungsebene sind durchgängige Transparenz und Kontext erforderlich, einschließlich der Fähigkeit, Anomalien auf der Clientseite und Belastungen auf der Serverseite zu erkennen. Erweiterte Layer-7-DoS-Angriffe werden oft als legitimer Datenverkehr getarnt, sodass grundlegende Abwehrmaßnahmen wie Ratenbegrenzung, Denylists, Signaturen und Protokollkonformität nicht mehr ausreichen.

Ausgefeilte Layer-7-Angriffe sehen an der Oberfläche wie legitimer Datenverkehr aus, und einfachen WAFs fehlt die Verhaltensanalyse, um sie zu erkennen. NGINX App Protect DoS ist speziell darauf ausgelegt, sowohl Client-Anomalien als auch Serverbelastungen zu erkennen und kann Angriffe dynamisch identifizieren und abschwächen sowie die Effektivität von Abwehrmaßnahmen messen, ohne dass die Aufmerksamkeit bereits überlasteter Sicherheitsteams erforderlich ist.

Wenn Sie sich ausschließlich auf grundlegende WAF-Abwehrmaßnahmen und herkömmliche DDoS-Minderung verlassen, haben Sie bei einem Layer-7-Angriff keine ausreichende Transparenz und keinen Kontext. Die möglichen Folgen sind enorm: Latenz, Ausfallzeiten, Umsatzeinbußen und Markenschäden. Mithilfe der Verhaltensanalyse können Client-Anomalien und die Serviceintegrität kontinuierlich analysiert werden, um einen Zero-Day-DoS-Angriff zu erkennen. Durch die genaue Betrachtung des Site-Verhaltens können wir Fragen beantworten wie: Gibt es im Vergleich zu den normalen Verkehrsmustern Anomalien? Fehlen in der Anfrage Informationen, die ein Browser unserer Erwartung nach enthalten sollte, auch wenn die Anfrage scheinbar von einem Browser stammt? Enthält die Anfrage eine komplexe Datenbankabfrage, die eine hohe CPU-Auslastung verursacht?

Durch die Erstellung eines Bilds der normalen Leistung und des normalen Verhaltens kann sich NGINX App Protect DoS auf Layer-7-Angriffe konzentrieren, die herkömmliche Abwehrmaßnahmen umgehen und die Anwendung belasten.

Mildern Sie mit mehreren Modulen

An den Folgen von DoS-Angriffen hat sich nichts geändert: Leistungseinbußen, frustrierte Benutzer und Umsatzeinbußen. DoS-Angriffe können jedoch auf ganz unterschiedliche Weise erfolgen: Hacker verwenden Verschlüsselung und Sicherheitstools, um ihre Bedrohung als legitimen Datenverkehr zu tarnen.

Auch wenn Ihre Benutzer möglicherweise nicht in der Lage sind, die Unterschiede zwischen den Architekturen zu erkennen, können sie doch zwischen einer guten und einer schlechten Site-Leistung unterscheiden. Eine Flut von Angriffsdaten verursacht Latenzen, die das Benutzererlebnis verlangsamen. Wenn es langsam genug ist, brechen sogar die geduldigsten Benutzer (und davon gibt es nicht viele!) die Transaktion ab und wechseln zu einer anderen Site. Eine einzelne, gezielte Anfrage kann zu Latenz und Serverbelastung führen, daher ist ein spezieller DoS-Schutz der Anwendung von entscheidender Bedeutung.

Sicherheitslösungen für Web-Anwendungen entwickeln sich ständig weiter, um mit den neuen Angriffen Schritt zu halten, wie sie beispielsweise in den OWASP Automated Threats to Web Applications beschrieben werden. Sie benötigen jedoch einen Schutz, der sich nativ in die Laufzeit Ihrer Anwendung integrieren lässt. Etwas Dynamisches. Etwas Anpassungsfähiges. Während andere DoS-Lösungen für Netzwerk-DDoS-Angriffe wie SYN- Floods konzipiert sind, ist die DoS-Lösung NGINX App Protect auf Layer-7-Angriffe spezialisiert, die die Anwendungsressourcen belasten. Durch die Kombination von WAF- und Layer-7-DoS-Lösungen wird sichergestellt, dass Anwendungen sowohl vor der Ausnutzung von Sicherheitslücken als auch vor Missbrauch der Geschäftslogik geschützt sind. Auf diese Weise werden Kompromittierungen sowie Latenzen, Leistungseinbußen und Ausfallzeiten verhindert.

Der Handel findet heute größtenteils online statt. Die Leute sind heutzutage hauptsächlich online. Sie müssen dafür sorgen, dass es ein sicherer und geschützter Ort ist. Durch die Kombination der Module NGINX App Protect WAF und NGINX App Protect DoS erhalten Sie einen robusten Schutz, der für Ihre Umgebung, Anwendungen und Ihr Unternehmen sinnvoll ist.

Probieren Sie NGINX App Protect selbst aus – starten Sie noch heute Ihre kostenlose 30-Tage-Testversion oder kontaktieren Sie uns, um Ihre Anwendungsfälle zu besprechen .