Ausgewählter Artikel

Sichern Sie das NÄCHSTE – Mildern Sie DDoS-Angriffe

Weltweit gibt es über 3,4 Milliarden Internetnutzer und schätzungsweise 6,4 Milliarden angeschlossene IoT-Geräte . Damit ist das Ökosystem eine wachsende Börse, an der im Sekundentakt Informationen und Transaktionen fließen. Gartner schätzt, dass es bis 2020 20 Milliarden Geräte geben wird. Das Internet der Dinge (IoT) wird ein fester Bestandteil unseres Lebens sein, von der Versorgung über den Transport bis hin zu Bürgerdiensten. All dies bietet zwar ein beispielloses Maß an Komfort, zieht aber auch unerwünschte Aufmerksamkeit von Cyberkriminellen auf sich, die ihre Fähigkeiten im Laufe der Zeit weiterentwickelt haben. Geräte in der vernetzten IOT-Welt bringen alle möglichen praktischen neuen Funktionen mit sich, aber die Leute vergessen oft, dass diese Geräte auch mit dem Netzwerk verbunden sind. Von primitiven Würmern und Spyware in der Vergangenheit sind Menschen und Unternehmen heute komplexen Bedrohungen wie Cyber-Spionage, Ransomware, hochentwickelter Malware und den allgegenwärtigen DDoS-Angriffen ausgesetzt.

Distributed Denial of Service (DDoS) ist eine Form eines Cyberangriffs aus mehreren Quellen, der darauf abzielt, die Netzwerkressourcen/-dienste für die vorgesehenen Benutzer zu stören. Die Technologie ist mittlerweile so ausgefeilt, dass sie alle möglichen Arten von Schaden anrichten kann, zum Beispiel Betrug und Erpressung. DDoS-Angriffe überlasten in der Regel die Netzwerkressourcen allein durch das Datenverkehrsaufkommen mehrerer kompromittierter Systeme oder Geräte, die sich als Bots ausgeben. DDoS-Angriffe können weiter in die folgenden Typen unterteilt werden:

  • Volumetrisch : verweigert legitimen Benutzerdatenverkehr den Zugriff durch Überlastung der Netzwerkressourcen und beeinträchtigt insbesondere die Fähigkeit, Verbindungen pro Sekunde (CPS) zu verarbeiten.
  • Asymmetrisch : Eine kleine Menge bösartiger Daten, die darauf ausgelegt sind, Speicher zu verbrauchen und das Netzwerk so weit zu verlangsamen, dass es nur noch minimale Leistung bringt.
  • Rechenbezogen : Entwickelt, um CPU-Ressourcen und Speicher zu verbrauchen
  • Schwachstelle : nutzt Schwachstellen aus
  • Hybrid : eine Kombination aus einem oder mehreren verschiedenen DDoS-Angriffstypen

 

Eine größere Bedrohung als je zuvor

Während DDoS-Angriffe seit Ende der 2000er Jahre weit verbreitet sind, hat das Angriffsvolumen in den letzten Jahren deutlich zugenommen. Neue Protokoll-Exploits und Amplification-Angriffe sind für die meisten Organisationen zu groß geworden, um sie ohne die Unterstützung eines Cloud-basierten DDoS-Scrubbing-Dienstes bekämpfen zu können. Im Jahr 2013 wurde berichtet, dass die SpamHaus-Dienste infolge eines 300-Gbit/s-Angriffs zum Erliegen gekommen waren, und im Jahr 2014 wurde ein Angriff mit einer Spitzengeschwindigkeit von 400 Gbit/s verzeichnet. Der weltweit größte DDoS-Angriff aller Zeiten wurde jedoch im Jahr 2015 mit einem Spitzenwert von 500 Gbit/s verzeichnet. Und da die Bandbreitenkosten sinken, ist es erschwinglicher geworden, Angriffe in großem Maßstab zu starten, und wir können davon ausgehen, dass wir bald Angriffe im Terabyte-Bereich erleben werden. 

Moderne Denial-of-Service-Angriffe unterbrechen oder legen nicht nur Dienste lahm, sondern lenken die Sicherheitsteams mit einem Mix aus Bedrohungen ab, die unterschiedliche Auswirkungen auf die Infrastruktur haben. Häufigkeit, Umfang und Raffinesse solcher Angriffe nehmen zu. Angreifer kombinieren volumetrische, teilweise Sättigungs-, authentifizierungsbasierte und application Angriffe, bis sie das schwächste Glied in der Befehlskette finden. Diese Bedrohungen, gegen die man sich immer schwerer verteidigen kann, sind oft Vorläufer von Advanced Persistent Threats (APT). Wie schnell ein Unternehmen diese Bedrohungen erkennen und stoppen kann, ist entscheidend für die Gewährleistung der Servicekontinuität. Darüber hinaus erfordert die Allgegenwärtigkeit volumetrischer DDoS-Angriffe und die potenzielle Zunahme von Bots eine hybride DDoS-Strategie, die lokale WAF mit Cloud-basierten Scrubbing-Diensten kombiniert.

 

Abschwächung eines DDoS-Angriffs

Wenn ein Unternehmen feststellt, dass es von seiner lokalen WAF aus einem DDoS-Angriff ausgesetzt ist, leitet es den eingehenden Datenverkehr an einen Cloud-basierten DDOS-Scrubbing-Dienst um, wie ihn beispielsweise F5 Silverline anbietet, um den Datenverkehr zu erkennen und zu bereinigen. Sobald der Datenverkehr bereinigt ist, wird er von Silverline an das Unternehmen gesendet. Während dieser Zeit führt das Unternehmen seinen Betrieb wie gewohnt weiter. Der Scrubbing-Dienst wehrt DDoS-Angriffe, deren Ziel darin besteht, Dienste lahmzulegen, wirksam ab und ermöglicht dem Unternehmen gleichzeitig die Weiterführung seines Betriebs.

Für Unternehmen ist es wichtig, ihre Infrastruktur vor groß angelegten und anhaltenden Angriffen zu schützen, ohne dabei die Leistung zu beeinträchtigen. Dies lässt sich durch detaillierte DDoS-Regeln und -Richtlinien in Verbindung mit kontextbezogenem Wissen über Identitäten und Benutzerzugriffe auf Applications und Daten erreichen. Dies wird durch die automatische Erfassung und Analyse von Daten in allen Bereitstellungsumgebungen ermöglicht – Daten, die SSL-Prüfung, Verhaltensanalysen, Bandbreitennutzung, Integritätsüberwachung und andere Statistiken umfassen.

Dadurch wird sichergestellt, dass Angriffe, beispielsweise HTTP/S, SMTP, FTP, DNS und SIP, früher erkannt und Gegenmaßnahmen rasch und präzise über die Hardware, Upstream oder über Cloud-basierte Dienste aktiviert werden können. Unternehmen können so sicher sein, dass der Betrieb reibungslos und umgehend wieder aufgenommen wird, sobald der Angriffsverkehr auf ein beherrschbares Maß zurückgegangen ist.

 

Einführung des F5 DDoS Hybrid Defender

F5® DDoS Hybrid Defender™ bietet umfassenden DDoS-Schutz in einem einzigen Gerät und zielt darauf ab, DDoS-Abwehr zu bieten, die Schutz der Schichten 3 bis 7 mit Verhaltensanalysen zur Identifizierung und Eindämmung von Angriffen sowie maschinellem Lernen zur Erkennung ausweichender Bedrohungen oder Verkehrsanomalien kombiniert. Das Gerät ermöglicht außerdem Cloud-basiertes Scrubbing (F5 Silverline) auf Abruf in einem Hybridmodell und leitet volumetrischer Angriff nahtlos um, um den Overhead zu reduzieren und die Nutzung der Netzwerkbandbreite deutlich zu verbessern. Die Infrastruktur wird durch die Kombination einer mehrschichtigen DDoS-Abwehr über Netzwerk-, Sitzungs- und Application hinweg geschützt, um die externe Cloud-Bereinigung intelligent in einem praktischen All-in-One-Formfaktor zu integrieren.

Auf Application profitieren Unternehmen von der Application auf Layer-7-Angriffe mit detaillierter Application auf Grundlage der Datenstromlogik, aggregierter Signale von HTTP sowie der Merkmale von TCP-Anfragen, Transaktionen und der allgemeinen Serverintegrität. Eine Vollproxylösung bietet DDoS-Schutz auf allen Ebenen, schützt Protokolle (einschließlich solcher mit SSL- und TLS-Verschlüsselung) und stoppt DDoS-Bursts, zufällige HTTP-Floods, Cache-Bypass und andere Angriffe, die das Application stören können.

 

Abschluss

DDoS-Angriffe werden immer ausgefeilter und wirkungsvoller, möglicherweise begünstigt durch die zunehmende Zahl an online gehenden IoT-Geräten. Ein hybrider Minderungsansatz ist heute nötiger denn je.  Die Fähigkeit zur enormen Verstärkung und schnellen Skalierung macht es für einen Angriff leicht, den Betrieb eines Unternehmens lahmzulegen, seine Applications unbrauchbar zu machen und Zugriff auf kritische Daten zu erlangen. Deshalb müssen Sicherheitslösungen umfassend genug sein, um das Problem der Angriffsfähigkeiten sowie hybrider Umgebungen zu lösen und gleichzeitig DDoS-Bedrohungen abzuwehren, selbst wenn diese das Netzwerk treffen.