Apps im Fokus: Die anhaltende Macht von DDoS-Angriffen
Bewerbungen sind das Gesicht Ihres Unternehmens. Die Gunst der Kunden kann heutzutage im Handumdrehen gewonnen oder verloren werden, daher sind Ausfallzeiten jeglicher Art keine Option. Jede Sekunde, in der Sie außer Gefecht sind, kann zu finanziellen Verlusten und/oder einem Reputationsverlust führen.
Obwohl es eine Vielzahl neuer, ausgefallener Cyberangriffe gibt, die stören und Schaden anrichten können, ist es eine ausgesprochen „altmodische“ Bedrohung, die nach wie vor zu den bekanntesten (und störendsten) gehört.
Distributed-Denial-of-Service-Angriffe (DDoS) sind nichts Neues. Der erste bekannte Vorfall, der einem Denial-of-Service-Angriff ähnelte, ereignete sich Berichten zufolge im Jahr 1974, als ein 13-Jähriger an der University of Illinois einen Raum voller Terminals lahmlegte, die an ein Lernmanagementsystem angeschlossen waren.
Die Zeiten haben sich seitdem geändert, doch DDoS-Angriffe haben sich weiterentwickelt, sind aggressiver geworden und haben verheerende Schäden angerichtet. Dies gilt insbesondere im Zuge von COVID-19, da zahlreiche Branchenberichte der letzten beiden Quartale erhebliche Spitzen auf der ganzen Welt aufzeigen.
Doch schon vor der Pandemie war die DDoS-Bedrohung auf einem Aufwärtstrend. So ergab beispielsweise eine kürzlich durchgeführte Analyse der Daten des F5 Security Incident Response Teams , dass 77 % aller Angriffe auf Dienstanbieter im Jahr 2019 DDoS-bezogen waren. Im Jahr 2017 lag dieser Anteil bei rund 30 %.
Was sind die Risiken?
DDoS-Angriffe treten typischerweise in drei Formen auf. Am häufigsten sind Angriffe mit hoher Bandbreite, auch als volumetrische Fluten bekannt. Es wird eine enorme Menge an Datenverkehr an das Netzwerk des anvisierten Opfers gesendet, mit dem Ziel, so viel Bandbreite zu verbrauchen, dass den Benutzern der Zugriff verweigert wird.
Darüber hinaus gibt es Protokollangriffe (manchmal auch „Computer-“ oder „Netzwerk“-Angriffe genannt), die den Dienst verweigern, indem sie entweder Schwächen in Protokollen oder das normale Verhalten von Protokollen ausnutzen. Dies sind typischerweise Protokolle der OSI-Schicht 3 und 4 wie ICMP (Internet Control Message Protocol), TCP (Transport Control Protocol), UDP (User Datagram Protocol) und andere. Das Ziel besteht darin, die Rechenkapazität des Netzwerks oder zwischengeschalteter Ressourcen (z. B. Firewalls) zu erschöpfen und einen Denial-of-Service-Angriff zu erreichen.
Schließlich und wohl am schwierigsten sind Angriffe auf Anwendungsebene (auch als OSI-Schicht-7-Angriffe bekannt), die auf Webserver, Webanwendungsplattformen und bestimmte webbasierte Anwendungen und nicht auf das Netzwerk selbst abzielen. Dabei versuchen Angreifer, den Server zum Absturz zu bringen und eine Website oder Anwendung unzugänglich zu machen. Diese Angriffe können auf bekannte Schwachstellen der Anwendung oder die zugrunde liegende Geschäftslogik abzielen oder höherschichtige Protokolle wie HTTP/HTTPS (Hypertext Transfer Protocol/Secure) und SNMP (Simple Network Management Protocol) missbrauchen. Angriffe dieser Art nutzen häufig weniger Bandbreite und weisen nicht immer auf einen plötzlichen Anstieg des Datenverkehrs hin. Dadurch sind sie viel schwieriger zu erkennen und einzudämmen, ohne dass es zu Fehlalarmen kommt. Angriffe auf Anwendungsebene werden in Anfragen pro Sekunde gemessen.
Eine der größten Herausforderungen für Sicherheitsteams besteht darin, dass DDoS-Angriffe so einfach gestartet werden können. Aufgrund der Vielzahl an Online-Ressourcen kann praktisch jeder mit nur einem Mausklick zum Cyberkriminellen werden. Es gibt auch kostenpflichtige Dienste, die das Ziel Ihrer Wahl angreifen. Jeder macht mit, ob es sich nun um Hacktivisten, verärgerte ehemalige Mitarbeiter, „Script-Kiddies“, die vorgefertigten Code ausnutzen, oder staatliche Akteure handelt.
Leider können Sie nicht völlig vermeiden, zum Angriffsziel zu werden. Sie können jedoch verschiedene Schritte unternehmen, um Ihr Unternehmen besser zu schützen.
Sicherheit
Zunächst einmal ist es entscheidend, einen DDoS-Reaktionsplan zu haben. Dies sollte ein Spielbuch sein, in dem jeder Schritt zur Reaktion auf Vorfälle (Personen, Prozesse, Rollen, Verfahren usw.) beschrieben wird.
Um app-basierte DDoS-Angriffe wirksam abzuwehren, müssen alle Organisationen:
- Lernen Sie typisches Verkehrsverhalten kennen und nutzen Sie die Erkenntnisse, um Anomalien auszumerzen.
- Seien Sie präzise. Wenn Sie in der Lage sind, legitime Aktivitätsspitzen von Angriffen zu unterscheiden, können Sie das gewünschte Benutzererlebnis aufrechterhalten, ohne zusätzliche Risiken einzugehen. Es ist sehr wichtig, Einblick in die Leistung des beeinträchtigten Systems zu haben.
- Finden Sie den Übeltäter. Bei Angriffen auf Anwendungsebene muss eine Verbindung hergestellt werden. Dadurch besteht die Möglichkeit, die Quelle des Angriffs zu finden.
- Generieren Sie eine Angriffssignatur. Durch das Blockieren der Angriffsquelle kann der Zugriff legitimer Benutzer unterbrochen werden, wenn große Proxyserver beteiligt sind. Mit einer eindeutigen Signatur für einen Angriff können Sie diesen auf granularer Ebene blockieren. Sie können die Schwachstellen des Angriffs finden und diese gegen die Bedrohungsakteure einsetzen.
Wenn es um die Implementierung spezifischer DDoS-Schutzlösungen geht, sollten Sie sich dabei immer an der Häufigkeit (oder der Wahrscheinlichkeit) von Angriffen auf Ihr Unternehmen, Ihren internen Fähigkeiten zur Abwehr eines Angriffs, den verfügbaren Budgets sowie der Kapazität und den Einschränkungen Ihres Netzwerks orientieren. Zu den Bereitstellungsoptionen gehören:
- Vor Ort. Eine DDoS-Lösung vor Ort kann funktionieren, wenn Ihre Netzwerkkapazität moderate Angriffe (im Bereich von 10 bis 50 Gbit/s) bewältigen kann, regelmäßig angegriffen wird und Sie über qualifiziertes internes Personal zur DDoS-Abwehr verfügen.
- Eine ausgelagerte Lösung. Wenn Ihre Netzwerkverbindungen einem Angriff mit mehr als 10 Gbit/s nicht standhalten können, das Angriffsrisiko gering ist und Sie nicht über die nötige interne Expertise zur Verwaltung einer Lösung vor Ort verfügen, empfiehlt sich ein DDoS-Scrubbing-Center (ausgelagerter Dienst).
- Hybrider DDoS-Angriff. Wenn Sie anfällig für häufige oder groß angelegte DDoS-Angriffe sind, die die Kapazität Ihres Netzwerks übersteigen, und über begrenzte interne Expertise zur Abwehr solcher Angriffe verfügen, können Sie sich für ein Hybridmodell entscheiden und einen verwalteten Dienst in Kombination mit einer DDoS-Lösung vor Ort verwenden.
Zusätzlich zu diesen Empfehlungen sollten Sie auch sicherstellen, dass Ihre Netzwerkinfrastruktur durch Firewalls und Intrusion Detection-Systeme geschützt ist, die den Netzwerkverkehr überwachen und analysieren. Darüber hinaus empfiehlt sich der Einsatz von Antivirenlösungen zur Eindämmung von Malware-Infektionen sowie die Nutzung von Lastausgleich und Redundanz zur Aufrechterhaltung der Verfügbarkeit.
Gleichzeitig ist es wichtig, technische und administrative Kontrollen nicht zu vernachlässigen, wie etwa die Beschränkung der Remote-Administration auf ein Verwaltungsnetzwerk (anstelle des gesamten Internets) und das häufige Scannen der mit dem Internet verbundenen Netzwerk-Ports und -Dienste.
Jeder sollte DDoS ernst nehmen, damit rechnen, irgendwann angegriffen zu werden und Pläne und Abwehrmaßnahmen bereithalten, die eng auf die Geschäftsziele abgestimmt sind.