IT-Sicherheitslage bleibt prekär

Cloudbasierter Schutz gegen DDoS-Attacken

Die Sicherheitslage im Internet unterliegt einem permanenten Wandel. IT-Sicherheitsverantwortliche stehen daher vor zwei großen Aufgaben: Sie sollten sich erstens optimal auf die bekannten Angriffsvektoren einstellen und zweitens einen Notfallplan für potentiell sehr groß angelegte Mega-Attacken entwickeln.

Von Entwarnung kann keine Rede sein. Viele führende Marktbeobachter verzeichnen seit einiger Zeit schon übereinstimmend einen kontinuierlichen Anstieg bei Distributed-Denial-of-Service (DDoS)- und Web-Application-Attacken.

So stellte Content-Delivery-Anbieter Akamai fest, dass im vierten Quartal 2015 die verzeichneten Angriffe auf Webanwendungen gegenüber dem vorangegangenen Quartal um 28 Prozent und die DDoS-Attacken sogar um 40 Prozent zugenommen haben. Vielfach kam es zu wiederholten Angriffen auf das gleiche Ziel, durchschnittlich waren es 24 Attacken auf die jeweils betroffenen Unternehmen.

Ein Großteil der DDoS-Angriffe erfolgte via Booter-/Stresser-basierten Botnetzen. Um die Wirkung zu verstärken, kommen dabei Reflection-Technologien zum Einsatz. Statt selbst Botnetze aufzubauen nutzten die Angreifer Booter-/Stresser-Tools, um unsichere Geräte aufzuspüren und für ihre Aktivitäten einzuspannen.

Aktiv war in letzter Zeit auch immer wieder das XOR-Botnetz. Angreifer haben dabei ein Botnet aufgebaut, bei dem mit einer Trojaner-Malware Linux-Systeme gekapert werden, um mit ihnen DDoS-Angriffe zu starten.

Der erste Schritt, um sich vor DDoS-Attacken und Angriffen auf Webanwendungen zu schützen, besteht darin, die Gefahren und Risiken zu erkennen und einen Abwehrplan zu entwickeln. Unternehmen sollten heute einen Ansatz verfolgen, bei dem sie die traditionellen internen Sicherheitsmaßnahmen um Cloud-basierte Services erweitern. Diese bieten dort einen Schutz, wo die Gefahren entstehen, nämlich im Web. Mit mehrstufigen IT-Sicherheitslösungen können Unternehmen die Verfügbarkeit ihrer Websites bei DDoS-Angriffen sicherstellen sowie ihre IT-Infrastruktur und Web-Anwendungen besser schützen.

Von guten und bösartigen Bots

Ein gutes Beispiel für einen cloudbasierten Service ist das Bot-Management. In vielen Unternehmen, beispielsweise bei Onlineshops, besteht Schätzungen von Akamai zufolge bis zu 40 Prozent des aus dem Internet eingehenden Datenverkehrs aus Bots. Wichtig ist es zunächst einmal, die „gutartigen“ von den potenziell schädlichen und den tatsächlich gefährlichen zu unterscheiden. Nur dann lassen sich auch die am besten geeigneten Maßnahmen ergreifen, um den Bot-Datenverkehr besser überwachen zu können.

Zu den gutartigen und nützlichen Bots zählen Suchmaschinen wie GoogleBot oder BingBot. Web-Scraper dagegen können durchaus einen Schaden anrichten, indem sie über automatisierte Klicks Werbeeinnahmen mit betrügerischer Absicht erhöhen oder Websites durchforsten, um vertrauliche Daten zu stehlen. Richtig gefährlich werden sie als Teil von DDoS-Angriffen.

Ein guter Ausgangspunkt ist es, sich einen Einblick in die unterschiedlichen Arten von Bot-Verkehr zu verschaffen, von denen die Website eines Unternehmens betroffen ist. Der Cloud-Service für das Bot-Management sollte beispielsweise über ein Verzeichnis mit bekannten Bot-Signaturen und Web-Services verfügen, die Bots nutzen, damit der durch Bots verursachte Datenverkehr zügig analysiert werden kann.

Hilfreich ist es, wenn Unternehmen darüber hinaus in der Lage sind, selbst Bot-Signaturen und -Kategorien zu definieren, mit denen sie neue Bots, die auf ihre Website treffen, künftig besser identifizieren können. Eine pauschale Blockade aller Bots – und damit auch der Search-Bots – kann zu einer verringerten Sichtbarkeit in den Suchmaschinenergebnissen führen; das ist sicherlich nicht erstrebenswert. Das heißt, es muss Regeln geben, wie mit den verschiedenen Arten von Bots umgegangen wird. Dass gefährliche Bots sofort blockiert werden, versteht sich von selbst. Aber die Regeln dafür müssen immer wieder aktualisiert werden.

Der Bot-Datenverkehr kann im Einzelfall eine erhebliche Last für eine Website mit sich bringen. Ein Cloud-basiertes Bot-Management sollte daher in der Lage sein, mit entsprechenden Maßnahmen zu antworten. Der Bot darf beispielsweise erst nach einer Verzögerung von einigen Sekunden die Website wieder aufrufen oder die Anfrage wird an eine andere Website umgeleitet.

Maßnahmen zum Schutz vor DDoS-Angriffen aktualisieren

Da sich die Bedrohungslandschaft ständig weiterentwickelt, müssen auch die Schutzmaßnahmen permanent angepasst werden. Eine wichtige Rolle dabei spielt, die automatisierte DDoS-Prophylaxe mit einer hochskalierbaren Web Application Firewall zu kombinieren, um Websites und Web-Applikationen vor Angriffen auf Anwendungsebene zu schützen.

Aktuell geht es etwa um Regeln zum Umgang mit IPv6-Angriffen, dem Schutz vor Sicherheitslücken in HTTP.sys, Möglichkeiten, um HTTP-Anfragen, welche die nichtstandardkonforme XML-RPC API nutzen, zu überprüfen und zu blockieren sowie den Schutz vor Server Side Template Injection.

Viele IT-Sicherheitsrisiken lassen sich heute bereits absehen. Unternehmen sollten sich daher bestmöglich auf bekannte Gefahren einstellen und sich flexibel genug aufstellen, um für neue Angriffe gewappnet zu sein. Darüber hinaus empfiehlt es sich, einen Notfallplan zu entwickeln für den Fall, dass ein großvolumiger Angriff die gesamte IT-Infrastruktur lahmlegt.

* Jürgen Metko ist Regional Vice President Central Europe bei Akamai in Garching bei München

 

 

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok