Schnelles Handeln ist entscheidend

So klappt die DDoS-Abwehr

Vor Distributed-Denial-of-Service-Angriffen (DDoS) ist kaum ein Unternehmen gefeit. Doch mit der Erkennung, Automatisierung und den entsprechenden Reaktionen auf solche Sicherheitsvorfälle können die Verantwortlichen wichtige Schritte zur DDoS-Abwehr einleiten.

Schutz vor Distributed-Denial-of-Service-Angriffen (DDoS)

Distributed-Denial-of-Service-Angriffe (DDoS) bergen enorme Risiken für Unternehmen. Daher sollten sie auf solche mehrstufigen Angriffe schnell reagieren können.

Die Zahl der Cyber-Angriffe auf Unternehmen in der DACH-Region steigt und Attacken werden immer komplexer. Gerade sogenannte Distributed-Denial-of-Service-Angriffe (DDoS) bergen enorme Risiken für Unternehmen, die auf Netzwerke und Webseiten als integrale Bestandteile ihrer Geschäftstätigkeit angewiesen sind. Und dies trifft heute im Prinzip auf fast alle Unternehmen und deren Dienste zu, ob Online-Banking, Internet-Handel, Reisebuchungen, Patientenportale, Telekommunikation oder B2B-Lösungen. Nahezu jedes Geschäftsmodell umfasst einen Bereich, der in erheblichem Maße – und mitunter fast vollständig – auf Online-Transaktionen basiert.

Im Jahr 2017 wurden Unternehmen in Deutschland, Österreich und der Schweiz mit 22 DDoS-Angriffen pro Stunde konfrontiert. Insbesondere sogenannte Massive-Fast-Flood-Attacken können wie aus dem Nichts kommen und binnen Sekunden auf eine Größe von mehreren Hundert Gigabit anwachsen. Die größte je gemessene DDoS-Attacke erreichte kürzlich einen Spitzenwert von bis zu 1,7 Terabit pro Sekunde und wurde von Cyber-Kriminellen über offene Memcached-Server ausgeführt. Solche hochvolumigen Angriffe sind in der Lage, die gesamte IT-Infrastruktur über Tage und Wochen lahmzulegen. Und DDoS-Attacken richten sich oft gegen mehrere Ziele gleichzeitig – von der Bandbreite über Anwendungen bis hin zur vorhandenen Infrastruktur in Form von Netzwerk-Firewalls, Web Application Firewalls (WAF) und Intrusion-Prevention-Systeme-Komponenten (IPS).

Ob es Unternehmen gelingt, sich zu schützen und die Verfügbarkeit ihrer Dienste aufrechtzuerhalten, hängt entscheidend davon ab, wie schnell sie auf solche mehrstufigen Angriffe reagieren können. Für die Fähigkeit, schnell zu reagieren, sind die folgenden drei Faktoren entscheidend:

  • Erkennung
  • Automatisierung
  • Reaktion auf Sicherheitsvorfälle

Erkennung: Das frühzeitige Erkennen eines DDoS-Angriffs ist die Grundvoraussetzung für eine schnelle Abwehr

IPS-Syteme, Firewalls und andere Sicherheitsprodukte sind unverzichtbare Elemente einer mehrstufigen Abwehrstrategie. Sie wurden aber für Sicherheitsaspekte konzipiert, die sich fundamental vom Ansatz dedizierter Produkte für die Erkennung und Abwehr von DDoS-Angriffen unterscheiden. IPS-Systeme sind beispielsweise in der Lage, Eindringversuche zum Zweck des Datendiebstahls zu blockieren, während Firewalls die Einhaltung von Richtlinien erzwingen, um den Datenzugriff durch Unbefugte zu unterbinden. Allerdings sind diese Sicherheitsprodukte nur im Hinblick auf die Netzwerkintegrität und Vertraulichkeit effektiv. Sie adressieren aber nicht das fundamentale Problem bei DDoS-Angriffen – und zwar die Verfügbarkeit der Netzwerke. Aus diesem Grund sollten Unternehmen den Einsatz einer intelligenten Lösung für die Abwehr von DDoS-Angriffen in Betracht ziehen, auch Intelligent-DDoS-Mitigation-System (IDMS) genannt. Bereits 88 Prozent der Service-Provider weltweit nutzen IDMS-Lösungen.

•    Eine IDMS-Lösung ist „stateless“ – das bedeutet, dass keine Protokollierung des Zustands (State) aller Verbindungen erfolgt. Komponenten, die hingegen mit Stateful Inspection arbeiten, wie Firewalls und IPS-Systeme, sind anfällig für DDoS-Angriffe und tragen zur Verschärfung des Problems bei.
•    Die Lösung ist nicht von Signaturen abhängig, die erst verfügbar sind, nachdem bereits ein Angriff auf die Ziele stattgefunden hat, sondern unterstützt verschiedene Gegenmaßnahmen. Dadurch ist der Schutz vor den meisten Angriffstypen sofort ab der Inbetriebnahme gegeben.
•    IDMS unterstützt unterschiedliche Implementierungskonfigurationen, bei Bedarf speziell auch „Out-of-Band“-Implementierungen. Dank dieser Flexibilität lässt sich die Skalierbarkeit der Lösung erhöhen, was angesichts der immer hochvolumigeren DDoS-Angriffe unverzichtbar ist. Hierbei kann die notwendige Mitigationskapazität an zentraler Stelle zur Verfügung gestellt werden und muss nicht in einzelne Anbindungen integriert werden. Einfache Abwehrmaßnahmen lassen sich zum Beispiel auch mittels Flowspec in Router integrieren.
•    Großangelegte Angriffe werden von IPS-Systemen nicht erkannt, da hier Einzelsegmente die Basis für die Erkennung bilden. Eine IDMS-Lösung ist hingegen umfassend integriert und unterstützt Methoden, mit denen verteilte DDoS-Angriffe erkannt und adressiert werden.

Automatisierung: Die DDoS-Automatisierung ist der Schlüssel zu mehr Sicherheit

Eine Automatisierung der DDoS-Abwehr kann helfen, Personalengpässe zu kompensieren und erweist sich als unverzichtbar für schnelle Reaktionszeiten. Mehr als ein Drittel (36 Prozent) der Unternehmen weltweit nutzt Technologien für die automatisierte DDoS-Abwehr. Auch hier können IDMS-Lösungen weiterhelfen. Sie können Angriffe automatisch erkennen und Abwehrmaßnahmen automatisch einleiten – oft lange bevor IT-Sicherheitsteams auf einen Angriff aufmerksam werden. Eine IDMS-Lösung umfasst zudem eine Vielzahl bereits integrierter, automatisierter Gegenmaßnahmen, von denen jede auf einen bestimmten DDoS-Angriffstyp ausgelegt ist.

Setzen Unternehmen zudem auf hybride Lösung für die DDoS-Abwehr – bei der On-Premise und cloud-basierte Lösungen kombiniert werden – kann ein IDMS-Element mittels eines Signals automatisch cloud-basierte Gegenmaßnahmen einleiten, sobald die Größe eines Angriffs den definierten Schwellenwert überschreitet. Dies ist von zentraler Bedeutung, da Angriffe im Terabit-Bereich, wie diese kürzlich über Memcached-Server erfolgten, von On-Premise-Installationen nicht mehr bewältigt werden können.

Reaktion auf Sicherheitsvorfälle: Notfallablaufplan in der Schublade haben und üben, üben, üben ...

Auch wenn verschiedene Aspekte der DDoS-Abwehr automatisiert sind, spielt ab einem gewissen Punkt der Faktor Mensch eine wichtige Rolle. So gehört neben einem zuverlässigen technischen Schutz zur Erkennung und Abwehr von DDoS-Angriffen auch ein Incident-Response-Plan (IRP), zu deutsch Vorfall-Reaktionsplan. Dieser enthält Handlungsabläufe, die im Falle eines DDoS-Angriffs sofort durchgeführt werden sollten. In dem Plan sind unter anderem Eskalationsschritte organisationsweit klar geregelt und welche Netzwerk-, Anwendungs- und Serviceteams bei einem Angriff welche Maßnahmen einleiten. Es müssen also schon im Vorfeld ein dediziertes Team und Verantwortlichkeiten verbindlich festgelegt werden.

Dazu sollten Unternehmen bidirektionale Informations- und Kommunikationsströme aufsetzen – also wer wen und wann benachrichtigen sollte. Weiterhin sollte der IR-Plan folgende Aspekte beinhalten:

•    Um angemessen reagieren zu können, sollten sich Unternehmen mit der Motivation, den Angriffsvektoren und den Techniken der Angreifer auseinandersetzen.
•    Wird ein Angriff festgestellt, müssen Unternehmen schnellstmöglich identifizieren, welcher Art dieser ist. Denn erst so kann beurteilt werden, wie sich der Angriff voraussichtlich entwickelt. Und erst darauf basierend können die passenden Gegenmaßnahmen eingeleitet werden.
•    Nur mit den gewonnenen Informationen über eine Attacke können Unternehmen sicherstellen, das sie die für den jeweiligen Angriff am besten geeignetste Abwehrmaßnahme ergreifen. Denn eine universelle Lösung, die alle Angriffe abwehrt, gibt es nicht.
•    Festlegen, welche Kommunikationsmaßnahmen für Kunden, Investoren und Partner im Ernstfall unternommen werden: müssen diese Stakeholder informiert werden, und wenn ja, wann und wie.
•    Unternehmen sollten zudem einen zeitlichen Ablaufplan für regelmäßige Schulungen und Notfallübungen aufstellen. So ist das vorab definierte Team für den Ernstfall vorbereitet. Anschließend heißt es, den Ernstfall kontinuierlich zu üben

Ein IR-Plan sollte fortlaufend aktualisiert und dadurch verbessert werden. Existiert ein solcher Notfallplan nicht, können sich die getroffenen Investitionen in technische Schutz- und Abwehrmechanismen als teilweise oder sogar vollkommen nutzlos erweisen.

* Der Autor Guido Schaffner ist Channel Sales Engineer bei Netscout Arbor, ein Anbieter von Business Assurance-, Cyber-Sicherheits- und Business-Intelligence-Lösungen.

Bildquelle: Thinkstock/iStock

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok