Arbor Networks: Die fünf größten Irrtümer über DDoS- Angriffe

Transkript

1 Arbor Networks: Die fünf größten Irrtümer über DDoS- Angriffe Autor: Arbor Networks, April 2015 Risiken für Unternehmen durch DDoS-Angriffe Die Abwehr von DDoS-Angriffen zum Schutz von Unternehmensnetzwerken war schon immer eine anspruchsvolle Herausforderung und gestaltet sich angesichts der wachsenden Cyberkriminalität zunehmend schwieriger. Berichte über DDoS-Angriffe, Datendiebstahl und andere Sicherheitsvorfälle beherrschen fast täglich die Schlagzeilen. Und trotzdem sind viele Unternehmen der Überzeugung, dass ihre häufig vor Jahren implementierten DDoS-Schutzmechanismen auch in der sich dynamisch verändernden Bedrohungslandschaft von heute ausreichenden Schutz bieten. Mit dieser Einstellung stellen viele Unternehmen jedoch die Verfügbarkeit ihrer Netzwerke aufs Spiel. Es ist daher an der Zeit, mit einigen überholten Meinungen und Fehleinschätzungen zu DDoS-Angriffen aufzuräumen. Irrtum 1: Firewalls, IPS oder CDN (Content Delivery Networks) sind eine ausreichende Lösung Die Erweiterung von IT-Infrastrukturen und die Abhängigkeit von Cloud-Lösungen externer Anbieter haben zur Bildung komplexer Netzwerkumgebungen geführt, in denen es praktisch keine Perimeter also klar definierte Netzwerksegmente an Schnittstellen mehr gibt. Traditionelle perimeterorientierte Sicherheitslösungen wie Firewalls und IDS (Intrusion Detection Systeme) beziehungsweise IPS (Intrusion-Prevention Systeme) sind zwar nach wie vor ein wichtiger Teil einer umfassenden Sicherheitsstrategie aber für bestimmte Arten von DDoS-Angriffen anfällig und manipulierbar. Unter Umständen können sie sogar zu einer Verschärfung von Angriffen beitragen. Grund dafür ist, dass diese perimeterorientierten Lösungen mit einer so genannten Stateful-Inspection, einer dynamischen Paketfilterung anhand des Verbindungsstatus, arbeiten. Viele Unternehmen halten irrtümlicherweise auch CDNs (Content Delivery Networks) für ein probates Mittel zur Abwehr von DDoS-Angriffen. Tatsächlich aber reagieren CDNs nur auf die Symptome eines DDoS-Angriffs. Durch das Absorbieren der riesigen Datenmengen eines DDoS-Angriffs trägt ein CDN sogar dazu bei, dass alle Daten in das Netzwerk gelangen, darin verteilt werden und den Angreifern sozusagen Tür und Tor öffnen. Die meisten CDN-basierten Lösungen für den DDoS-Schutz sind zudem nur für Angriffe über die Protokolle HTTP und HTTPS ausgelegt. Andere mittlerweile häufige Angriffsarten wie zum Beispiel Verstärkungsangriffe über Netzwerkinfrastruktur-Komponenten wie Domain Name Server (DNS) und Network Time Protocol (NTP) werden überhaupt nicht beachtet. Stand: Seite 1 von 5

2 Irrtum 2: DDoS-Schutz auf einer Ebene ist ausreichend Heutige DDoS-Angriffe setzen sich aus mehreren, dynamisch kombinierten Vektoren zusammen: volumetrische Angriffe, TCP-Überlastungsangriffe (State Exhaustion) und Angriffe auf der Applikationsebene. Vor diesem Hintergrund empfehlen Sicherheitsexperten als Best Practice zur Abwehr von DDoS-Angriffen den Einsatz eines mehrstufigen Schutz-Verfahrens. Massive Flooding-Angriffe lassen sich am besten abwehren, wenn der Schutzmechanismus upstream in der Cloud des Service-Providers implementiert ist. So werden die lokale Internet-Konnektivität und lokal installierte DDoS-Schutzsysteme erst gar nicht in Mitleidenschaft gezogen. Umgekehrt lassen sich verdeckte Angriffe auf der Applikationsebene am besten abwehren, wenn sich die Schutzmechanismen auf den Kundensystemen vor Ort und damit in räumlicher Nähe zu den Schlüsselapplikationen und Diensten befinden. Entscheidend dabei ist, dass diese beiden Ebenen auf intelligente Weise miteinander kommunizieren und ständig mit aktualisierten Informationen über neue maliziöse Aktivitäten und Angriffsarten versorgt werden. Nur mit solchen dynamisch kombinierten Vektoren lassen sich DDoS-Angriffe wirksam abwehren. Viele Unternehmen beschränken ihren DDoS-Schutz jedoch nach wie vor auf eine einzige Ebene, wodurch das Abwehrsystem lückenhaft bleibt. Irrtum 3: Wir sind als Angriffsziel uninteressant, das Risiko ist überschaubar Die dramatische Zunahme der Anzahl von DDoS-Angriffen lässt sich im Wesentlichen auf zwei Faktoren zurückführen: die Einfachheit der Ausführung und die Vielfältigkeit der Motive hinter den Angriffen. Nie zuvor war es so simpel, einen DDoS-Angriff auszuführen. Gegen eine geringe Gebühr oder sogar kostenlos kann jeder aus dem Internet geeignete Tools laden, um selbstständig einen DDoS-Angriff in Form eines Dienstes zu starten. Doch während sich die Kosten für das Initiieren eines Angriffs höchstens auf ein paar Euro belaufen, kann der Schaden, der dem Unternehmen daraus entsteht, in die Millionen gehen. Auch die Motive für DDoS-Angriffe sind vielfältig. Längst schon werden DDoS- Angriffe nicht mehr nur aus finanziellen Interessen oder durch staatlich unterstützte Organisationen inszeniert. Heute kann schon eine konträre Meinung, eine politische Einstellung oder eine bestimmte Haltung zu einem gesellschaftlichen Thema Anlass für einen DDoS-Angriff sein. Dafür steht den Angreifern ein ständig wachsender Pool an Tools und Diensten zur Verfügung. Noch gefährlicher wird die Situation, wenn Dienste in einer gemeinsamen Cloud- Umgebung gehostet werden. Bei dieser Konstellation kann ein Unternehmen in Mitleidenschaft gezogen werden, ohne dass es selbst Ziel des Angriffs ist. Wer bis heute Stand: Seite 2 von 5

3 noch nicht Opfer eines DDoS-Angriffs geworden ist, muss sich fragen: Habe ich bisher nur Glück gehabt? Irrtum 4: Der Schaden durch einen DDoS-Angriff rechtfertigt nicht die Kosten einer Sicherheitslösung Ein DDoS-Angriff kann unmittelbaren und schweren Schaden verursachen. Leider gibt es in vielen Unternehmen kein effizientes Risikomanagement und keine Analyse potenzieller Abwehrmaßnahmen, die den Kauf einer umfassenden DDoS-Sicherheitslösung rechtfertigen würden. Auch wenn der zeitweilige Ausfall eines kostenpflichtigen Dienstes als verkraftbar eingeschätzt wird, dürfen die Folgekosten eines DDoS-Angriffs nicht vergessen werden. Viele indirekt entstehende Kosten werden fast schon routinemäßig in Kauf genommen: Kosten im Rahmen von Service-Level-Agreements (SLAs), Honorare oder Gebühren für Rechtsbeistände, PR-Kosten zur Reduzierung von Imageschäden, verstärkte Kundenabwanderung und vieles mehr. Es sind sogar Fälle bekannt, in denen Mitglieder des Vorstands oder Aufsichtsrats mit der Begründung entlassen wurden, dass das Unternehmen nicht adäquat auf die Abwehr von DDoS- und anderen Angriffen vorbereitet war. Irrtum 5: DDoS-Angriffe sind keine komplexen Bedrohungen Technisch betrachtet sind DDoS-Angriffe tatsächlich nicht sehr komplex. Jüngste Studien über Botnets und DDoS-Angriffe zeigen aber, dass DDoS-Angriffe häufig eng mit komplexen Bedrohungsszenarien verzahnt sind, die sich Malware, RATs (Remote Access Trojan) und andere Systeme zu Nutze machen. Aktuelle Beispiele zeigen, dass DDoS-Angriffe in folgenden Phasen eingesetzt werden: - In der Auskundschaftungsphase: Hier wird das Abwehrverhalten von Unternehmen bei einer Bedrohung ausgespäht. - In der Aufrüstungphase, während des Einschleusens der Malware: Hier werden forensisch verwertbare Produktprotokolle und Datendateien mit Informationen überschwemmt, um so die Suche nach eingeschleuster Malware zu erschweren. - In der Phase des Datendiebstahls: Hier wird durch DDoS-Angriffe vom eigentlichen Angriffsziel abgelenkt. Diese Erkenntnisse setzen DDoS-Angriffe in ein neues Licht und werfen die Frage auf: Handelte es sich bei einem verzeichneten DDoS-Angriff um ein isoliertes Ereignis oder war er Bestandteil eines komplexeren Angriffs auf ein Unternehmen? Stand: Seite 3 von 5

4 Die Empfehlung Für den maximalen Schutz der eigenen Daten und Informationen empfiehlt es sich, weltweit gewonnene Informationen über Bedrohungsaktivitäten zu nutzen und gezielt nach Anzeichen für einen möglichen Datendiebstahl oder einen anderen Sicherheitsvorfall zu suchen bevor das Unternehmen tatsächlich angegriffen und schwer geschädigt wird. Es ist höchste Zeit für eine intelligente, mehrstufige Lösung zur Abwehr von DDoS- Angriffen. Das Vertrauen auf herkömmliche Sicherheitslösungen wie Firewalls oder IPS oder auch das Nichtstun in der Annahme, dass das eigene Unternehmen für Cyberkriminelle und Hacker uninteressant ist birgt ein enormes Gefahrenpotenzial. Jeder Unternehmer steht vor der Frage, ob er sich den Ausfall oder die Nicht-Verfügbarkeit geschäftskritischer Applikationen leisten kann und ob er die finanziellen Folgen eines Diebstahls vertraulicher Daten seiner Kunden tragen könnte. Bei realistischer Betrachtung liegt es auf der Hand, dass jedes Unternehmen sein Netzwerk mit einer integrierten, mehrstufigen Lösung umfassend und zu jedem Zeitpunkt vor DDoS-Angriffen sichern sollte. Über Arbor Networks: Arbor Networks, Inc. unterstützt große Unternehmen und Service-Provider weltweit beim Schutz ihrer Netzwerke vor DDoS-Angriffen und komplexen Bedrohungen (APTs). Nach Angaben von Infonetics Research ist Arbor der führende Anbieter von Lösungen für den DDoS-Schutz in den Marktsegmenten Enterprise, Carrier und Mobile. Die Lösungen von Arbor zur Bekämpfung von APTs liefern durch eine Kombination aus Paket Capture und NetFlow-Technologie eine weitreichende Netzwerktransparenz. Dadurch wird eine schnelle Erkennung und Bekämpfung von Malware und Insider-Missbrauch ermöglicht. Arbor stellt auch marktführende Analysedaten für die dynamische Reaktion auf Sicherheitsvorfälle bereit sowie eine historische Analyse, eine Visualisierung und gerichtlich verwertbare Daten. Darüber hinaus sieht Arbor seine Aufgabe darin, Netzwerk- und Sicherheitsverantwortliche zu Experten zu machen. Unser Ziel ist es, einen besseren Einblick in Netzwerke zu ermöglichen und mehr Hintergrundinformationen zur Sicherheit zu liefern, damit die Kunden Probleme schneller lösen und dadurch die Risiken für ihre Unternehmen reduzieren können. Weitere Informationen über Produkte und Dienste von Arbor Networks gibt es unter Forschungsergebnisse sowie Analyse- und Detailinformationen stehen zusammen mit den via ATLAS weltweit erhobenen Daten über Bedrohungen im ATLAS Threat Portal ( zur Verfügung. Stand: Seite 4 von 5

5 Markenrechtliche Hinweise: Arbor Networks, das Arbor Networks Logo, Peakflow, ArbOS, Pravail, Cloud Signaling, Arbor Cloud, ATLAS, We see things others can t.tm und Arbor Networks. Smart. Available. Secure. sind Marken von Arbor Networks, Inc. Alle anderen Produkte und Dienstleistungen können Warenzeichen/Marken der jeweiligen Eigentümer sein. Pressekontakt Michael Tullius Arbor Networks Country Manager DACH Tel (0) Team Presse und PR etage3 / griffith pr Tel (0) arbor.presse@etage3.com Stand: Seite 5 von 5