Schutzgelderpressung 2.0. Wie DDoS-Attacken Unternehmen bedrohen

Transkript

1 Schutzgelderpressung 2.0 Wie DDoS-Attacken Unternehmen bedrohen

2 Der Referent Jan Römer - Account Manager seit 2012

3 Das Unternehmen Portfolio: DDoS-Schutz, Managed Hosting, CDN Zum Patent angemeldeter DDoS-Filterschutz Größtes Deutsches DDoS-Filterzentrum

4 Agenda DDoS-Attacken Gefahr für Unternehmen Prognose Rückblick Q Schutzmechanismen

5 DDoS-Attacken 1

6 DDoS-Attacken» Überblick DDoS Ziele Opfer

7 DDoS-Attacken» DDoS 1 Distributed Denial of Service (DDoS) - Verweigerung des Dienstes 2 Überlastungsangriffe auf einzelne Webserver oder ganze Netzwerke 3 Mittlerweile eine einfach auszuführende Cyberattacke

8 DDoS-Attacken» Ziele 1 Interpräsenz / Netzwerk soll für den normalen User unzugänglich gemacht werden 2 Erpressen von Schutzgeldern bzw. herbeiführen von wirtschaftlichen Schäden 3 Gezieltes Ablenkungsmanöver während eines Datendiebstahls

9 DDoS-Attacken» Opfer 1 Ziel einer Attacke kann jedes im Internet vertretene Unternehmen sein 2 Passive Opfer sind die User & Kunden, die nicht mehr auf die Dienste zugreifen können 3 Regierungsorganisationen sind immer öfter das Opfer von politisch motivierten Angreifern

10 DDoS-Attacken» Schlagzeilen

11 DDoS-Attacken» Geschichte 1. DDoS-Attacke CNN, Yahoo, ebay, Amazon, Dell & etrade heise.de Michael Mafiaboy Calce US-Regierung (Slapper)

12 DDoS-Attacken» Geschichte Church of Scientology Spamhaus WikiLeaks Xbox Live, Playstation Network

13 DDoS-Attacken» Angriffsarten Volumetrische Attacken Protokollbasierte Attacken Applikationsbasierte Attacken

14 DDoS-Attacken» Angriffsarten» Volumetrische Attacken Volumetrische Attacken Bei Volumenattacken ist es die Zahl & Größe der Anfragen, die zeitgleich auf das Ziel treffen und so den Internetzugang und das System überlasten. Die Messung erfolgt in bit pro Sekunde (Bps /Mbps/Gbps). UDP-Floods, ICMP-Floods, Reflection-Ampflification-Attacken (DNS, NTP, SNMP usw.)

15 DDoS-Attacken» Angriffsarten» Protokollbasierte Attacken Protokollbasierte Attacken Protokollbasierte Attacken versuchen die verfügbaren Ressourcen eines Servers oder eines anderen Kommunikationsgerätes (Load Balancer, Firewall usw.) zu verbrauchen und werden in Paketen pro Sekunde gemessen. TCP SYN Floods via HTTP und HTTPS

16 DDoS-Attacken» Angriffsarten» Applikationsbasierte Attacken Applikationsbasierte Attacken Applikationsattacken zielen auf Schwachstellen der Applikation oder des Webservers an sich. Angreifer versuchen durch Schwachstellen oder möglichst authentischer Bot-Anfragen die Anwendung oder den Server zu überlasten. HTTP/S GET Flood, HTTP/S POST Flood, Low & Slow

17 Rückblick Q

18 Rückblick» Q1 2016» Überblick Anfang des Jahres werden mehrere DDoS-Erpresser von deutschen und internationalen Ermittlern festgenommen. DDoS-Attacken Die neue Erpressergruppe Gladius nimmt Online-Apotheken ins Visier. Das Vorgehen entspricht nahezu dem von DD4BC. 1/16 1/16 2/16 Am letzten Januar-Wochenende fällt das Netz des österreichischen Providers A1 immer wieder wegen massiven und lang anhaltenden DDoS-Attacken mit Bandbreiten von 60 Gbps aus.

19 Rückblick» Q1 2016» Überblick Erpressergruppierung RedDoor bedroht Online-Shops in DACH-Region. DDoS-Attacken Das Gros der deutschen Kinobetreiber wird durch eine Epresserwelle getroffen. Mehrere Anbieter gehen durch Attacken Offline. 3/16 3/16 3/16 Warnung des Swiss Governmental Computer Emergency Response Teams vor neuen Erpressungen von Schweizer Finanzinstituten und später E-Commerce Unternehmen durch Armada Collective.

20 Rückblick» Q1 2016» Angriffsanalysen 25k Angriffsdauer in Minuten 20k 15k 10k 5k 0 Oktober 2015 November 2015 Dezember 2015 Januar Februar März Summe aller mitigierten und analysierten DDoS-Attacken in Q1 betrug 779 Stunden bzw Minuten. Steigerung um 29,6% im Vergleich zu Q (613 Stunden). Alle 2 Minuten stand in Q ein Opfer in der DACH-Region unter einer DDoS-Attacke.

21 Rückblick» Q1 2016» Angriffsanalysen Attackenstärke in Gbps Durchschnittiche Attackenstärke in Q bei 3,3 Gbps - entspricht einer Steigerung um 10% im Vergleich zum vorherigen Quartal Zunahme der Hyper-Attacken von über 80 Gbps <5 Gbps 5-10 Gbps Gbps Gbps Gbps 80< Gbps Die größte beobachtete Attacke in Q kam auf einen Spitzenwert von 147,5 Gbps. Das ist eine Steigerung von 42% zu Q (104 Gbps).

22 Rückblick» Q1 2016» Angriffsvektoren Verteilung der einzelnen Vektoren ausgehend von der Gesamtzahl der Attacken Volumen-Attacken dominieren die vom LSOC untersuchten DDoS-Angriffe mit 98,1%. UDP Floods UDP Fragments TCP SYN Floods Applikationsattacken mit verschwindend 29,2% 17,2% 18,7% geringem Anteil von 1,9% (Q4 2015: 5,1%). NTP Reflection DNS Reflection ICMP Floods Der häufigste Angriffsvektor bei Volumenattacken sind UDP Floods 5,6% 10,6% 7,1% mit 29,2%. Mit insgesmt 27,8% der Attacken liegen SSDP Reflection Chargen Other DNS-Reflection-Attacken (z.b. + Fragments) auf Platz zwei. 2,9% 3,9% 4,8% 18,7% der Angriffe basierten auf TCP SYN Floods.

23 Rückblick» Q1 2016» Multivektorangriffe Anzahl von eingesetzten Vektoren in Multivektor-Attacken Fast 2/3 aller Volumenangriffe sind 2 Vektoren 3 Vektoren 4 Vektoren gefährliche Multivektor-Attacken. 26,3% 36,3% 25,5% Multivektor-Attacken machen den Großteil der untersuchten DDoS-Attacken 5 Vektoren 6 Vektoren 7 Vektoren aus: 58,8% (Q4 2015: 49,8%). 8,6% 2,5% 0,7% Die meisten Multivektor-Angriffe erfolgten über drei Vektoren (36,3%). 8 Vektoren 9 Vektoren Bei einer Multivektor-Attacke reicht meist ein erfolgreicher Vektor, um das Ziel 0.02% 0,02% offline zu nehmen.

24 t Gefahr für Unternehmen 3

25 Gefahr für Unternehmen» Wer & Warum Kunden Hacker Konkurrenten Angreifer Aktivisten ehem. Geschäftspartner Staaten

26 Gefahr für Unternehmen» Schaden Betriebsstillstand Wirtschaftsspionage Umsatzverluste Schaden Datenverlust Imageschaden Reputation

27 Schutzlösungen 4

28 Schutzlösungen Cloud Bordmittel DDoS-Appliances CDN Cloud Web-Schutz Infrastruktur- Schutz

29 Schutzlösungen» Bordmittel Bordmittel (Firewall, Router, Load Balancer, usw.) kein zusätzlicher Invest Begrenztes Schutzniveau Einhaltung der eigenen TOMs Limitierte Netzwerkanbindung Datenschutzstandards Schutzniveau = Außenanbindung hoher Wartungsaufwand

30 Schutzlösungen» DDoS-Appliances DDoS-Appliances Granulare Filterung Skalierung begrenzt gute Angriffserkennung hohe Anschaffungskosten Einhaltung der eigenen TOMs Schutzniveau = Außenanbindung Datenschutzstandards hoher Wartungsaufwand Schutz lokaler Infrastruktur aufwändige Integration

31 Schutzlösungen» Content Distribution Netzwerke Content Distribution Netzwerke (CDN) Schutz vor Volumenangriffen Limitierte Netzwerkanbindung Schutzniveau = Außenanbindung Keine Angriffserkennung von Applikationsattacken / komplexen Attacken

32 Schutzlösungen» Cloud Web-Schutz Cloud Web-Schutz Granulare Filterung Datenschutzstandards* gute Angriffserkennung Ggf. Zertifikat-Weitergabe unbegrenzte Skalierbarkeit Infrastruktur-Schutz schnelle Integration Redundanz riesige Attacken *des Landes, in dem der Filter steht, sind zu beachten.

33 Schutzlösungen» Cloud Infrastruktur-Schutz Cloud Infrastruktur-Schutz Granulare Filterung Datenschutzstandards* gute Angriffserkennung Ggf. Zertifikat-Weitergabe unbegrenzte Skalierbarkeit Applikationsschutz schnelle Integration Redundanz riesige Attacken lokale Infrastruktur *des Landes, in dem der Filter steht, sind zu beachten.

34 Schutzlösungen» Optimierte Schutzlösungen BGP Standby + Appliance DNS + CDN DNS + BGP Standby

35 Schutzlösungen» Optimierte Schutzlösungen» BGP Standby + Appliance 1 Bei ausreichender Bandbreite lokales und granulares Filtern am Standort 2 Häufiges Umschalten vermeiden 3 Hohen Datenschutzanforderungen entsprechend

36 Schutzlösungen» Optimierte Schutzlösungen» DNS + CDN 1 Schutz des Webservers 2 Verteilung der Inhalte (vorwiegend E-Commerce) 3 Webserver-Schutz vor allen DDoS-Attacken & Beschleunigung der Auslieferung

37 Schutzlösungen» Optimierte Schutzlösungen» DNS + BGP Standby 1 Größere Sicherheit durch permanenten Schutz der Webserver 2 Zusätzlicher Schutz der Infrastruktur durch einen BGP-Schwenk im Angriffsfall

38 Schutzlösungen» Web-Schutz Authoritative Name Server Client Infected Client Infected Client Infected Internet Provider DDoS-ATTACK ON SERVER IP Internet Provider Link11 DDoS Protection Cloud Datacenter Internetprovider Client Datacenter

39 Schutzlösungen» Web-Schutz Authoritative Name Server DNS REQUEST DOMAIN.DE Client Infected Client Infected RESPONSE LINK11 PROTECTED IP Client Infected Internet Provider Client Internet Provider Link11 DDoS Protection Cloud Datacenter Internetprovider Datacenter

40 Schutzlösungen» Infrastruktur-Schutz Client Client Internet Provider Client GRE TUNNEL Internet Provider Link11 DDoS Protection Cloud Datacenter Internetprovider Client Datacenter

41 Schutzlösungen» Infrastruktur-Schutz Client Infected Client Infected Client Infected Internet Provider IP ANNOUNCEMENT GRE TUNNEL Internet Provider Link11 DDoS Protection Cloud Datacenter Internetprovider Client Datacenter

42 Schutzlösungen» Infrastruktur-Schutz Client Infected Client Infected Client Infected Internet Provider Internet Provider Link11 DDoS Protection Cloud Datacenter Internetprovider Client Datacenter

43 Prognose 5

44 Prognose Großevents vernetzen die Welt Private Haushalte immer besser an das Netz angebunden Alarmierend geringer Aufwand für Täter Cyberkriminalität wird immer organisierter Aufklärungsquote zu gering

45 Question & Answer Session +49 (0) Lindleystraße Frankfurt