Whitepaper von Arbor. Leitfaden für Unternehmen zum Schutz vor DDoS-Angriffen

Transkript

1 Whitepaper von Arbor Leitfaden für Unternehmen zum Schutz vor DDoS-Angriffen

2 Info zu Arbor Networks Arbor Networks, Inc. ist ein weltweit führender Anbieter von Lösungen für die Netzwerksicherheit und das Management von Rechenzentren in Unternehmen und für Server-Provider-Netzwerke. Wir beliefern viele Internet-Service-Provider sowie viele der derzeit größten Unternehmensnetzwerke. Die bewährten Lösungen von Arbor für die Sicherheit und das Management von Netzwerken tragen zur Erweiterung und zum Schutz der Netzwerke, der Unternehmen und der Marken unserer Kunden bei. Durch seine beispiellose und privilegierte Zusammenarbeit mit Service-Providern weltweit sowie mit den Betreibern globaler Netzwerke liefert Arbor durch das ATLAS Active Threat Level Analysis System einzigartige Einblicke und Perspektiven zu Entwicklungen bei der Sicherheit und beim Datenverkehr im Internet. Die einzigartige Zusammenarbeit mit über 270 Netzwerkbetreibern weltweit ermöglicht ATLAS die Weitergabe von Echtzeitdaten zu Sicherheit, Traffic und Routing, die für zahlreiche Geschäftsentscheidungen herangezogen werden. 1

3 Das DDoS-Problem Die Sicherheitsbeauftragten von Unternehmen bekommen es mit den verschiedensten Sicherheitsbedrohungen zu tun, deren Ziel es ist, Daten zu stehlen, den Ausfall von Diensten zu verursachen und Schaden im Netzwerk anzurichten. Distributed-Denial-of-Service- (DDoS-) Angriffe sind zwar nichts Neues, doch haben ihre Häufigkeit und ihre Raffinesse in den letzten paar Jahren drastisch zugenommen. Diese Frage ist leicht zu beantworten: DDoS-Angriffe sind inzwischen fester Bestandteil der erweiterten Bedrohungslandschaft, wobei die Art der Angriffe nach Größe, Vektor und gewünschtem Ergebnis variiert. Viele Sicherheitslösungen behaupten von sich, einen wirksamen DDoS-Schutz zu bieten. Doch wie wirksam sind diese Lösungen tatsächlich? In diesem Whitepaper sind die mit DDoS-Angriffen verbundenen Herausforderungen aufgeführt und die Funktionen einer DDoS-Abwehrlösung beschrieben, die für einen effizienten Schutz Ihres Netzwerks vor diesen Bedrohungen erforderlich sind. Die Zeiten für Sicherheitsexperten sind hart. Sehr wahrscheinlich haben Sie täglich mit den verschiedensten Angriffen auf Ihr Netzwerk zu kämpfen, die es Ihnen schwer wenn nicht gar unmöglich machen, ihre Auslöser, ihre Profile oder ihre Auswirkungen zu verstehen. Wenn Sie es nicht schaffen, diese Angriffe erfolgreich zu blockieren, können vertrauliche Daten abgerufen oder gestohlen werden, wichtige Dienste für Ihre Mitarbeiter oder Kunden können ausfallen, der Umsatz kann sinken und Ihre Marke kann empfindlichen Schaden nehmen. Wie verbreitet sind DDoS-Angriffe? Folgende Informationen finden Sie im Worldwide Infrastructure Security Report 2012 von Arbor: Vier der fünf größten Bedrohungen für den Geschäftsbetrieb aus den letzten 12 Monaten stehen mit DDoS in Zusammenhang. Die vier als am größten erachteten Bedrohungen für den Geschäftsbetrieb der kommenden 12 Monate stehen mit DDoS in Zusammenhang. Bei etwa der Hälfte der Befragten wurden im Vergleich zum Vorjahr 60 Prozent mehr Multi-Vektor-Angriffe verzeichnet. HTTP- und DNS-Dienste sind am häufigsten das Ziel von Angriffen auf Applikationsebene. 83,3 Prozent der befragten Rechenzentren erleben inzwischen pro Monat einen bis 50 Angriffe. Die bedeutendsten Bedrohungen für den Geschäftsbetrieb Befragte 80 % 70 % 60 % 50 % 40 % 30 % 20 % 76 % DDoS-Angriffe auf Kunden 61 % Ausfall der Infrastruktur (teilweise oder komplett) durch Fehler oder falsche Konfiguration 54 % DDoS-Angriffe auf Dienste(DNS, ) 52 % DDoS-Angriffe auf die Infrastruktur 43 % Ausfall der Infrastruktur (teilweise oder komplett) durch DDoS-Angriffe 36% Botnet-/Kompromittierte Hosts im Netzwerk des Service-Providers 21 % Unterkapazität für Bandbreite 20 % Botnet-/Kompromittierte Hosts im Firmen- oder Command-and-Control-Netzwerk 15 % Advanced Persistent Threat (APT) für das Firmen- oder Command-and-Control-Netzwerk 11 % Böswilliger Insider 8 % Industriespionage oder Daten-Exfiltration 2 % Andere 10 % 0 % Quelle: Arbor Networks, Inc. Laut dem Worldwide Infrastructure Security Report von Arbor Networks stellten DDoS-Angriffe 2012 eine erhebliche Bedrohung für Unternehmen dar. Quelle: Arbor Networks 1

4 Die Motivation hinter den DDoS-Angriffen hat sich weiterentwickelt. Bei den Angreifern handelt es sich nicht mehr nur um einzelne Hacker, die aus Publicity-Gründen versuchen, bekannte Websites lahmzulegen. Stattdessen werden diese Angriffe von sogenannten Hacktivisten-Gruppen organisiert und verfolgen geo-politische Ziele oder sollen Wettbewerbern schaden. Den meisten Sicherheitsexperten ist bewusst, dass Sicherheitsprobleme nicht mit der einen umfassenden Patentlösung behoben werden können. Allerdings führen komplexe Technologien, die sich nur mit einzelnen Problemen befassen, oder Produkte, die sich nicht problemlos an sich ändernde Sicherheitsanforderungen anpassen lassen, sehr schnell zu Frustration und zur Vergeudung wertvoller Ressourcen. Was also wird benötigt, um Unternehmen besser vor DDoS- Angriffen schützen zu können? Auf der Grundlage des Feedbacks von Kunden sowie von potenziellen Kunden von Arbor konnten wir die folgenden fünf Bedürfnisse von Unternehmen in Bezug auf die Sicherheit insbesondere auf Denial-of-Service identifizieren. Ich möchte mich überhaupt nicht mit DDoS-Bedrohungen befassen müssen. Mein Service-Provider soll diese Bedrohungen für mich abblocken. Von Ihrem ISP oder DDoS-Cloud-Provider angebotene Clean-Pipes sind ein guter erster Schritt im Kampf gegen DDoS- Angriffe und sollten fester Bestandteil einer Komplettlösung sein. Cloudbasierte Scrubbing-Dienste sind jedoch nicht dazu geeignet, Angriffe auf Applikationsebene zu erkennen, es sei denn, es steht vor Ort ein Gerät zur Verfügung, das diese spezielle Transparenz ermöglicht. In solchen Fällen kann es in einem Unternehmen, das Ziel eines Low and Slow -Angriffs auf Applikationsebene wird, zu einem Ausfall kommen, bis eine Telefonkonferenz mit allen nötigen Akteuren eingerichtet wurde, um über den Angriff zu debattieren. Sie können sich sicher vorstellen, dass Angriffe üblicherweise zum ungünstigsten Zeitpunkt erfolgen. Das bedeutet, dass es zusätzlichen Zeitaufwand erfordert, während eines Angriffs alle benötigten Personen ans Telefon zu bekommen, um die nächsten Schritte zu beschließen. Dieser manuelle Prozess funktioniert tadellos, wenn alle Sicherheits- und Routing-Entscheidungen von einer einzigen Person getroffen werden können, die während dem Angriff selbstverständlich auch anwesend ist. Wie Sie sich sicher vorstellen können, kann dieser Prozess bis zu einer Stunde und manchmal sogar noch länger dauern. Während zur Blockade von DDoS-Angriffen auf Applikationsebene ein Vor-Ort-Echtzeitschutz benötigt wird, kann ein perimeterbasierter Schutz nur herkömmliche volumetrische DDoS-Angriffe bis zur Kapazität der Internetverbindung blocken. Beispielsweise sollte eine perimetrische Lösung in einem 10GE-Netzwerk DDoS-Angriffe mit einem insgesamten Traffic von bis zu 10 Gbit/s abblocken können. Doch nur Cloud- und cloudbasierte Lösungen können Angriffe abwehren, deren Kapazität die der Eingangsleitung übersteigt. Eine DDoS-Lösung muss für cloudbasierten Schutz vor volumetrischen Angriffen sowie für einen dauerhaft aktiven Schutz vor DDoS-Angriffen auf Applikationsebene sorgen. Die jüngsten erweiterten und zielgerichteten DDoS-Angriffe verwendeten sowohl DDoS-Angriffe auf Applikationsebene als auch volumetrische DDoS-Angriffe. Bei einem insgesamten Traffic von über 50 Gbit/s konnte eine cloudbasierte Abwehr über 80 Prozent des schädlichen Traffic blocken. Allerdings blieben noch immer über 8 Gbit/s an Traffic, die durch den Perimeterschutz geblockt werden mussten. Unternehmen mit einer Kombination aus cloudbasiertem und perimeterbasiertem Schutz konnten selbst während Angriffsspitzen online bleiben. Ich benötige eine Sicherheitslösung, die unter dem Druck der ständigen Angriffe nicht zusammenbricht. Es ist ein schmutziges Geheimnis der Branche, dass bestimmte perimetrische Lösungen (Firewalls, IDS/IPS) für die Netzwerksicherheit bei einem DDoS-Angriff tatsächlich deaktiviert werden können. In der Tat kann die Perimetersicherheit sogar das Ziel eines DDoS-Angriffs und die Ursache für einen Netzwerkausfall sein. Perimetergeräte wie IPS und Firewalls haben einen festen Platz in der Sicherheitsinfrastruktur des Unternehmens. Sie bieten Schutz vor bekannten Angriffen und regeln den Zugriff auf interne Netzwerke. Firewalls und IPS-Geräte arbeiten jedoch zustandsbezogen. Das bedeutet, dass sie bestimmte Attribute des Netzwerkverkehrs überwachen und ermitteln, ob es sich um zulässigen Traffic oder um einen Angriff handelt. Die Fähigkeit, die Stabilität einer Sitzung aufrecht zu erhalten, macht diese Produkte wertvoll sie macht sie jedoch auch anfällig dafür, während eines DDoS-Angriffs offline genommen zu werden. Einige DDoS-Angriffe sind beispielsweise dafür bekannt, dass sie durch einfaches Senden ungültiger TCP-Pakete mit weniger als 100 Mbit/s den Ausfall leistungsstarker 10GE-Firewalls herbeiführen. Sobald die Perimetergeräte ausfallen, stehen die Unternehmen vor der schwierigen Entscheidung, dass mit einer Fail-Close-Strategie entweder das Netzwerk überlastet wird, oder dass mit einer Fail-Open-Strategie die Sicherheit nicht mehr gewährleistet ist, wodurch sensible Systeme offengelegt werden und wichtige Daten verloren gehen könnten. Um effektiv gegen DDoS-Angriffe vorgehen zu können, benötigen Unternehmen eine Lösung, die speziell für diese Aufgabe entwickelt wurde. Firewalls und IPS-Geräte bieten zwar einige DDoS-Funktionen, stellen jedoch keine umfassend funktionsfähige Lösung dar. 2

5 Die wichtigste treibende Kraft hinter dem Markt für DDoS-Abwehrlösungen sind zweifelsohne die Angriffe selbst. Von den Wahlen im Iran über Wikileaks bis hin zu Anonymous waren DDoS-Angriffe in den letzten zwei Jahren in aller Munde. DDoS Prevention Appliances, Analyse von Infonetics Research, Juni 2012 Ich benötige ein Update gegen left bracket replace after translation(aktuellsten Sicherheitsangriff einfügen)right bracket replace after translation, und zwar jetzt! Angriffe auf Unternehmensnetzwerke unterliegen einem konstanten Wandel. Häufig handelt es sich auch um eine Mischung verschiedener Angriffe, die speziell auf das Zielunternehmen abgestimmt sind. Sie reichen von DDoS-Angriffen, die die erste Linie der perimetrischen Abwehr durchbrechen sollen (wie oben beschrieben), bis hin zu Social-Engineering-Spam, die aus zahlreichen Hosts ein Botnet zusammenstellen sollen. Zur Durchführung von DDoS-Angriffen gibt es die verschiedensten Techniken und Methoden, die sich kontinuierlich an neue Infrastrukturen, neue Abwehrmechanismen und neue Datenquellen anpassen. Unternehmen benötigen daher eine Lösung, die einen breitgefächerten Schutz bietet und mit den aktuellsten Angriffen Schritt halten kann. Ich benötige eine intelligente DDoS-Lösung, die meine Applikationen und ihre Funktionsweise versteht. Netzwerksicherheitslösungen sind auf den Schutz des Netzwerks ausgerichtet. Doch in einer Welt, in der Applikationen die Visitenkarte eines Unternehmens darstellen, ist ein tiefgreifendes Verständnis des Verhaltens dieser Applikationen für eine effiziente Netzwerksicherheitslösung von entscheidender Bedeutung. Ohne intelligentes Applikationsverständnis können Sicherheits- Tools für Netzwerke eher ein Hindernis für die Dienstverfügbarkeit bzw. das Dienstverhalten darstellen. Unternehmen benötigen daher eine Lösung, die speziell auf den Schutz von Applikationen vor Angriffen ausgerichtet ist, die eine Bedrohung der Verfügbarkeit darstellen. Obwohl diese herkömmlichen Sicherheits- und Netzwerk- Tools über einige auswählbare Funktionen verfügen, können DDoS-Angriffe mit einer Handvoll IPS-Signaturen nicht effektiv zurückgeschlagen werden. Der ursprüngliche Charakter von DDoS erfordert eine Lösung, die mit dem Netzwerk skaliert und selbst gegen DDoS-Bedrohungen immun ist. Aus diesem Grund setzen die Sicherheitsbeauftragten von Unternehmen auf dedizierte DDoS-Abwehrmechanismen. Diverse Faktoren unterscheiden DDoS-Abwehrmechanismen von herkömmlichen Tools für die Netzwerksicherheit. Bei der Auswahl einer Lösung zum Schutz vor DDoS-Bedrohungen sollten Sie die folgenden wichtigen Funktionen berücksichtigen, die eine echte DDoS-Lösung von einem Tool für die Netzwerksicherheit unterscheiden, in das der DDoS-Schutz lediglich integriert ist. Mein Vorgesetzter wird der Anschaffung einer Sicherheitslösung nicht zustimmen, falls sie den Geschäftsbetrieb beeinträchtigt. Sicherheit stellt wie jede Form der Unternehmenskontrolle ein interessantes Paradoxon dar. Durch das Verhindern bösartiger Aktivitäten kann es passieren, dass eine Sicherheitslösung auch einige legitime Aktivitäten verhindert. Manche Unternehmen sind bereit, dieses Risiko einzugehen, wenn das Netzwerk ungehindert seinen Dienst tut bzw. Mitarbeiter alle Tools herunterladen können, die sie zur Ausübung ihrer Arbeit benötigen. Wo also liegt die Grenze? Unternehmen benötigen Sicherheitslösungen, die das Risiko katastrophaler Datenverluste oder von Systemausfällen senken. Diese Lösungen müssen jedoch auch an den Geschäftsbetrieb angepasst werden und müssen selbigen unterstützen. 3

6 Wie wappnet sich Ihr Sicherheitsanbieter gegen DDoS? Die Auswahl des richtigen Anbieters für den Schutz Ihres Unternehmens vor den vernichtenden Auswirkungen des Ausfalls der Dienstverfügbarkeit erfordert gründliches Nachdenken. Wenn es ausschließlich um die Verfügbarkeit geht, können Sie Ihren Dienst mit einfachen Load Balancern am Laufen halten, die eine Beschleunigung des Datenverkehrs zwischen mehreren Netzwerkpunkten ermöglichen. Das Problem wird dadurch jedoch nicht gelöst. Ebenso behaupten viele Anbieter von Netzwerksicherheitslösungen, dass die Erkennung und Blockade von DDoS-Angriffen im Funktionsumfang ihrer Produkte enthalten ist. Doch auch hiermit wird das Problem nicht angemessen angegangen. DDoS-Angriffe stellen eine sich ständig weiterentwickelnde und gefährliche Bedrohung dar, die nach einer Lösung verlangt, die speziell zum Schutz der Verfügbarkeit entwickelt wurde. Nicht zustandsbezogene Überprüfung Perimetergeräte wie Firewalls oder IPS gegen Inline-Angriffe arbeiten mit zustandsbezogener Überprüfung, um Angriffe zu blocken, die eine Gefahr für die Integrität oder die Vertraulichkeit von Daten darstellen. Obschon diese Art der Überprüfung zur Erkennung bestimmter Bedrohungen hilfreich ist, bleibt das Gerät offen für Angriffe und Ausfälle. DDoS-Angriffe können sich Sicherheitsgeräte zu Nutzen machen, die mit dieser zustandsbezogenen Erkennungsmethode arbeiten, indem sie ihren Zustand praktisch überwältigen und sie somit nutzlos machen. Auf diese Weise wird Ihre erste Verteidigungslinie von den Angreifern ausgeschaltet und Ihr Netzwerk dabei blockiert. Automatischer Schutz vor Angriffen auf Applikationsebene Die Applikationsebene des Netzwerks umfasst Webserver, die oftmals die primäre Schnittstelle eines Unternehmens zur Kommunikation mit den Kunden darstellen. Für Händler, Finanzinstitutionen oder jede Art von Online-Unternehmen stellen sie außerdem ihre Einnahmequelle dar. Leider hat sich die Applikationsebene zu einem überaus beliebten Angriffsziel für organisierte Angreifer entwickelt. Der Grund hierfür liegt darin, dass diese Angriffe praktisch unter dem Radar der cloudbasierten DDoS-Dienste stattfinden und nicht die enormen Bandbreiten und Ressourcen eines Angriffs mit 10, 50 oder 100 Gbit/s erfordern. Schon ein einzelner Hacker mit einem kleinen Botnet kann diese Angriffe problemlos mit großem Erfolg durchführen, falls keine dedizierte DDoS-Lösung vorhanden ist. Dauerhaft aktiver Schutz plus Cloud Scrubbing Bei DDoS-Angriffen handelt es sich üblicherweise nicht um ein einmaliges Ereignis. Sie umfassen häufig verschiedene Angriffe, die von volumenbasierten Angriffen, die die Dienstverfügbarkeit unterbinden sollen, bis hin zu koordinierten Angriffen mit geringeren Datenmengen reichen, die gegen perimetrische Applikationen gerichtet sind. Die optimale Lösung zur Abwehr von DDoS-Angriffen sollte nicht nur einen Vor-Ort-Schutz zur Erkennung und Blockade zielgerichteter Angriffe bieten, sondern auch Möglichkeiten zur Kooperation des Unternehmens mit Upstream-Providern einschließen. Cloudbasierte Dienste sind auf die Erkennung groß angelegter Angriffe ausgerichtet und sind eventuell nicht dazu in der Lage, kleinere und langsamere Angriffe auf Applikationsebene zu erkennen. Die daraus resultierende Koordination zwischen Unternehmen und Provider kann dazu führen, dass für das Unternehmen wichtige Applikationen eventuell nicht verfügbar sind. Unternehmen, die sich einen solchen Ausfall nicht leisten können, benötigen eine dauerhaft aktive Lösung mit Cloud-Signaling-Funktionen, um volumetrische Angriffe rasch zu entschärfen. Wenn es zu großangelegten volumetrischen Angriffen kommt, sollte das Perimetergerät für etwas Mitigation sorgen, während die Kontaktaufnahme mit dem Provider des cloudbasierten DDoS-Schutzes beschleunigt wird. Intelligente Identifikation von Webcrawlern Fortschrittliche Techniken beim Suchmaschinen-Marketing bringen zusätzliche Herausforderungen für Sicherheitsexperten mit sich. Große Suchmaschinenanbieter verwenden benutzerspezifische Webcrawler, um die Websites von Unternehmen nach Informationen oder Bedingungen für die Einordnung bzw. Platzierung dieser Websites während einer Suche zu durchforsten. Viele dieser Webcrawler verhalten sich jedoch wie Bots und sorgen dadurch für Verwirrung und mögliche falsch positive Ergebnisse durch herkömmliche Sicherheitslösungen. Um zu verhindern, dass die Website des Unternehmens bei den Suchergebnissen schlechter eingestuft wird, sollte eine DDoS-Abwehrlösung dazu in der Lage sein, zulässige Webcrawler von Suchmaschinen problemlos erkennen (durch Richtlinien) zu können und ihnen nicht den Zugriff auf die Website zu verweigern. 4

7 Paketerfassung und kundenspezifische Richtlinienerstellung DDoS ist etwas Seltsames. DDoS tritt in den verschiedensten Formen und Größen auf. Wie die jüngsten Angriffe durch Anonymous gezeigt haben, lässt sich DDoS sehr gut auf das jeweilige Netzwerk abstimmen, das Ziel des Angriffs werden soll. In diesen Fällen bleibt Ihnen keine Zeit, eine kundenspezifische Angriffsrichtlinie zu finden. Stattdessen muss der Angriff umgehend gestoppt werden. Wenn die DDoS-Abwehr einfach eine zusätzliche Funktion einer Netzwerksicherheitslösung darstellt, dann ist man mit ihr in den meisten Fällen mehr schlecht als recht auf Angriffe vorbereitet. Eine echte DDoS-Abwehrlösung kann schädliche Pakete problemlos erkennen und erfassen und diese Informationen dann umgehend zur Erstellung und Umsetzung einer entsprechenden Angriffsrichtlinie zum Schutz Ihres Netzwerks nutzen. Bot-Erkennung und Mitigation Um am Perimeter von Nutzen zu sein, muss eine Sicherheitslösung Bot-Aktivitäten nicht nur erkennen, sondern außerdem die hinter dem Bot stehende Dynamik verstehen. Die meisten Sicherheitsgeräte können Bot-Aktivitäten zwar erkennen, sind jedoch nicht dazu in der Lage, das Verhalten des Bots zu verstehen. Sie sorgen daher für einen universellen Schutz, der sich dann sogar negativ auf den Geschäftsbetrieb auswirken kann. Da sich das Bot-Verhalten abhängig vom dahinter stehenden Angreifer ändern kann, sollte man stets über die jüngsten Angriffe und Bot-Aktivitäten informiert sein. Eine echte DDoS- Abwehrlösung sollte kontinuierlich aktualisiert werden, um den Traffic der aktuellsten Botnets erkennen und blocken zu können. Asymmetrischer Traffic In den meisten Rechenzentren von Unternehmen baut man auf mindestens zwei ISPs. Durch diese und weitere Redundanzen ist nicht gewährleistet, dass eine Sicherheitslösung am Netzwerkrand sowohl den ein- als auch den ausgehenden Traffic einer einzelnen Verbindung sieht. Aus diesem Grund muss eine DDoS-Lösung Angriffe in derartigen Umgebungen effektiv blocken, indem sie asymmetrische Netzwerke unterstützt. Unterstützung von CDNs und Proxys Sobald schädlicher Traffic erkannt wird, können Sie DDoS-Angriffe sehr schnell abwehren, indem Sie schädliche Pakete einfach verwerfen oder den gesamten Traffic von den IP-Adressen des Angreifers vorübergehend blocken. Wenn der Angriff auf Ihr Netzwerk jedoch über ein CDN oder einen Proxy erfolgt, können die tatsächlichen IP-Adressen des Angreifers verborgen sein. Wenn die DDoS-Lösung daraufhin die IP-Adresse des CDN auf die Blacklist setzt, dann hat Ihr Schutz den Angriff letztendlich sogar verstärkt und auch den gesamten zulässigen Traffic geblockt. Aus diesem Grund müssen DDoS-Lösungen zuerst den Proxy und das CDN erkennen und dann für den nötigen Schutz (und die Transparenz) sorgen, ohne den zulässigen Traffic zu beeinträchtigen. Interne Bedrohungen der Netzwerksicherheit 60 % 50 % 40 % 50% 48% 22% 20% 5% 9% Botnet- oder kompromittierte Hosts im Firmennetzwerk Unterkapazität für Internetbandbreite (wegen DDoS oder anderem speziellen Ereignis) Advanced Persistent Threat (APT) für das Firmennetzwerk Böswillige Insider Industriespionage oder Daten-Exfiltration Andere Befragte 30 % 20 % 10 % 0 % Quelle: Arbor Networks, Inc. Quelle: Arbor Networks Laut dem Worldwide Infrastructure Security Report von Arbor Networks konnte die Hälfte der Befragten in ihren Netzwerken Hosts ausmachen, die entweder Bestandteil eines Botnets oder kompromittiert waren. 5

8 Der Arbor-Unterschied Pravail Availability Protection System ( Pravail APS ) von Arbor Networks wird den Anforderungen von Unternehmen gerecht, indem die Lösung einen sofortigen Schutz vor den verschiedensten DDoS-Angriffen bietet. Mit Pravail APS und dem integrierten Cloud Signaling können Unternehmen besser darauf vertrauen, dass ihre kritischen Systeme für Endbenutzer, Mitarbeiter und Partner stets verfügbar sind. Pravail APS bietet die folgenden Funktionen, die speziell auf die einzigartigen Anforderungen des jeweiligen Unternehmens abgestimmt sind. Schützen Sie Ihr Netzwerk mit Pravail APS Die Grundlage von Pravail APS bildet die zustandslose Filter- Engine. Wie der Name bereits sagt, erkennt und mitigiert die Filter-Engine den Großteil der DDoS-Angriffe, ohne den Zustand der Sitzung zu verfolgen. In Fällen, in denen eine Verfolgung erforderlich ist, speichert die Filter-Engine lediglich minimale Informationen für einen kurzen Zeitraum. Dadurch kann Pravail APS den volumetrischen Angriffen mit geringem Traffic standhalten, die andere Lösungen behindern und die Verfügbarkeit bedrohen. Außerdem eignet sich Pravail APS zur weiteren Mitigation oder Analyse, da es nicht zum Verarbeitungs-Overhead von zustandsbezogenen Überprüfungen kommt. Die zustandslose Filter-Engine ermöglicht Pravail APS außerdem das Erkennen von asymmetrischem Traffic für mehr Transparenz und verbesserte forensische Funktionen. Diese Paket-Engine erkennt Muster oder Angriffssignaturen, die auf einen Angriff hindeuten. Mit Hilfe dieser Informationen ist es ein Kinderspiel, Richtlinien für einen besseren Schutz zu erstellen und zu modifizieren. Globale Bedrohungsintelligenz fördert den DDoS-Schutz Sicherheitsbedrohungen können sich sehr schnell ändern, um Ihr Netzwerk besser infiltrieren zu können. Als Sicherheitsexperte sind Sie dafür zuständig, die Integrität Ihres Unternehmens zu schützen. Hierfür müssen Sie jedoch nicht jede Angriffsstrategie oder Bedrohung kennen, die weltweit existieren. Die Kunden von Arbor vertrauen auf das Arbor Security Engineering & Response Team (ASERT). Hierbei handelt es sich um Sicherheitsexperten aus den Bereichen der Angriffsanalyse, der Sicherheitsforschung und dem Reverse Engineering. ASERT ist für die Verwaltung von Active Threat Level Analysis System (ATLAS) zuständig, einem globalen Datennetzwerk aus über 250 ISP-Bereitstellungen, das außerdem ein Netzwerk aus Sensoren umfasst, die strategisch vor verschiedenen Tier-1-Service- Providern platziert sind, um Daten zu Angriffen zu sammeln. ASERT liefert Analysen zu verschiedenen Sicherheitsbedrohungen, auch zu Botnets, die heutzutage für einen Großteil der DDoS- Angriffe im Internet verantwortlich sind. ASERT erfasst täglich über Botnet-Stickproben. Wenn neue Botnets oder andere DDoS-Angriffe entdeckt werden, erarbeitet ASERT Gegenmaßnahmen, die über ATLAS Intelligence Feed (AIF) an Pravail APS von Arbor weitergegeben werden. Dieser Feed wird regelmäßig aktualisiert und sorgt so für einen effektiven Schutz vor DDoS-Angriffen und die Verfügbarkeit wichtiger Unternehmensapplikationen. Bedrohungs-Updates gegen die ausgefeilten Bedrohungen von heute ATLAS erfasst in Echtzeit die tatsächliche Angriffsaktivität weltweit. Diese Daten umfassen Informationen wie etwa den Ausgangspunkt und die Vorgehensweise eines Angriffs. Die ASERT-Teams verwenden diese Informationen zur Erstellung von Botnet-Profilen und von entsprechenden Gegenmaßnahmen, die das Unternehmen vor einer Vielzahl von Exploits wie Malware, Botnets und DDoS-Angriffen schützen. Da für den Großteil des wichtigen Datenverkehrs eines Unternehmens das Internet als Medium verwendet wird, kommt es sehr auf die Genauigkeit an, damit zulässiger Traffic nicht geblockt wird. Da die Botnet-Schutzmaßnahmen und -Richtlinien des AIF mit Hilfe der Informationen von ATLAS zu tatsächlichen Angriffen erstellt werden, zählen diese Gegenmaßnahmen zu den wirksamsten der Branche. Des Weiteren bietet das AIF-System eine Whitelist mit den Webcrawlern von Suchmaschinen, damit diese nicht versehentlich als Bots eingestuft werden. Dieser hohe Genauigkeitsgrad verbessert nicht nur die Sicherheit, sondern stellt außerdem sicher, dass das Unternehmen beim Ranking der Suchergebnisse nicht an Boden verliert. 6

9 Cloud Signaling bietet stufenweise Sicherheit vom Perimeter bis zur Cloud Da sich die Techniken für DDoS-Angriffe sowie die hinter den Angriffen stehende Motivation weiterentwickeln, müssen die Betreiber von Rechenzentren neue Wege zur Erweiterung des Schutzes ihrer Netzwerke finden. Pravail APS bietet Unternehmen einen dauerhaft aktiven Vor-Ort-Schutz vor Angriffen auf die Verfügbarkeit. Diesen Schutz können die Unternehmen jedoch noch weiter verbessern, indem sie auf zielgerichtetes Cloud Scrubbing durch die Cloud Signaling Coalition (CSC) setzen. Mit Cloud Signaling kann ein Unternehmen, auf das ein Angriff erfolgt ist, wichtige Informationen zu diesem Angriff als Paket zum Upstream-Schutz an seinen Service- oder Cloud-Provider senden. DDoS-Schutz mit Geschäftsfokus Zusätzlich zu einem effektiven Schutz vor DDoS-Angriffen bietet Pravail APS außerdem detaillierte Echtzeitberichte zu den Angriffen. Auf diese Weise können Sie die Vorgehensweise der Sicherheitslösung ganz einfach nachvollziehen und der Geschäftsführung die Ergebnisse präsentieren. Außer der Dokumentation zur Vorgehensweise in Audit-Protokollen stellt Pravail APS forensische Berichte zur Verfügung, in denen detaillierte Informationen zu blockierten Hosts, zu den Ursprungsländern der Angriffe und zu historischen Trends enthalten sind. Diese verständlichen Berichte können Sie für die Compliance verwenden oder um das Management über die Bedrohungen für die Dienstverfügbarkeit und die dagegen eingeleiteten Schritte aufzuklären. Arbor ist der einzige Anbieter von Sicherheitslösungen, die Unternehmen den Aufbau eines Prozesses ermöglichen, mit dem Service-Provider über DDoS-Angriffe informiert werden können. Durch einen Prozess zur Weitergabe von Angriffsinformationen an Upstream-Provider können Unternehmen eine intelligente, mehrstufige Abwehr gegen Angriffe aufbauen, bevor diese den Netzwerkperimeter überhaupt erreichen. Fazit Viele aktuelle Produkte zum Schutz der Netzwerksicherheit behaupten von sich, einen Schutz vor DDoS-Angriffen zu bieten. Allerdings ist DDoS-Schutz nicht gleich DDoS-Schutz! Arbor Networks ist bereits seit über einem Jahrzehnt auf den Schutz vor DDoS-Angriffen spezialisiert. Seine Experten haben einen beispiellosen Einblick in diese Art von Angriffen und nutzen diese Daten, um einen echten DDoS-Schutz für Ihr Netzwerk bereitstellen zu können. Weitere Informationen finden Sie auf 7

10 8

11 9

12 Firmenhauptsitz 76 Blanchard Road Burlington, MA USA Gebührenfrei (aus den USA) T Europa T Asien-Pazifik T Arbor Networks, Inc. Alle Rechte vorbehalten. Arbor Networks, das Arbor Networks-Logo, Peakflow, ArbOS, How Networks Grow, Pravail, Arbor Optima, Cloud Signaling, ATLAS und Arbor Networks: Smart. Available. Secure. sind Marken von Arbor Networks, Inc. Alle anderen Marken sind Eigentum ihrer jeweiligen Inhaber. WP/protectENT/De/0813-A4