Ein Auszug für Kunden von Frost & Sullivan s Global DDoS Mitigation Market Research Report (NDD2-72) Juli 2014 NDD2-74

Transkript

1 Analyse des weltweiten Markts zum Schutz vor Distributed Denial of Service (DDoS) Kurzfassung Der Anstieg an DDoS-Angriffen kurbelt die Nachfrage nach umfassenden Lösungen an Ein Auszug für Kunden von Frost & Sullivan s Global DDoS Mitigation Market Research Report (NDD2-72) Juli

2 Zusammenfassung CEOs Perspektive 1 DDoS-Angriffe nehmen in Häufigkeit und Schwere zu und gelten vermehrt als Top- Bedrohungen der Informationssicherheit und Geschäftskontinuität 2 Als Folge intensiverer Online-Präsenz von kommerziellen und öffentlichen Organisationen ist die Marktnachfrage nach DDoS Schutz- Lösungen größer als je zuvor 3 Erhöhtes Kundeninteresse an DDoS Schutz- Lösungen veranlasst viele Informationssicherheitsunternehmen, Lösungen zu entwickeln und zu vermarkten 4 Obwohl Organisationen aller Größen an DDoS- Lösungen interessiert sind, gibt es viele vorhandene DDoS Schutz-Optionen, die zur Fragmentierung des Marktes mit Lösungen zum Schutz vor DDoS beitragen 2

3 Markt Überblick DDoS-Angriffe bringen IT und Geschäftstätigkeiten zum Erliegen DDoS-Angriffe sind Denial-of-Service-Attacken, welche die massive, verteilte und gestohlene Rechenleistung aus infizierten Endpunkten wirksam einsetzen, um Zielnetzwerke und Web- Anwendungen mit erhöhtem Datenaufkommen zu überlasten. Das Ziel eines DDoS-Angriffs ist es, die Online-Aktivitäten einer Ziel-Organisation zu unterbrechen, indem die verfügbare Netzwerkbandbreite oder Server-Ressourcen verbraucht werden. Der Erfolg eines DDoS-Angriffs hängt von der mangelnden Verfügbarkeit von IT-Ressourcen für legitime Endnutzer ab. Die meisten DDoS-Angriffe zielen auf Web-Anwendungen und Webseiten ab. Finanz-und Regierungsorganisationen sind oft Ziele von DDoS-Angriffen, obwohl diese Organisationen auch sonst häufig als Ziele von Online-Bedrohungen gelten. Jede Organisation, die über eine bedeutende Online-Präsenz verfügt, wie E-Commerce- und Online- Gaming-Organisationen sind wahrscheinliche Ziele, genauso wie jede andere Organisation mit einer Online-Präsenz ein potenzielles Ziel darstellt. Die Akteure hinter DDoS-Angriffen sind hochqualifizierte Hacker und organisierte Hacker-Gruppen. Allerdings erweitert sich das Angreiferprofil rasant, da auch Nationalstaaten, kriminelle Organisationen und Gruppen von Hacker-Aktivisten (auch Hacktivisten genannt) DDoS-Angriffe gegen ausgewählte Ziele nutzen oder Hacker-Gruppen beauftragen, um DDoS-Angriffe gegen bestimmte Ziele durchzuführen. 3

4 Markt Überblick (Fortsetzung) Das Jahr des DDoS-Angriffs DDoS-Angriffe verbreiten und verstärken sich immer mehr waren die größten beobachteten DDoS-Angriffe 9 Gigabit pro Sekunde (Gbps) und diese Zahl stieg Arbor Networks zufolge bis 2010 auf 100 Gbps Worldwide Infrastructure Security Report. Im Dezember 2013 nutzten die Angreifer Network Time Protocol (NTP) Reflexion, um ihre DDoS-Angriffe bis auf 400 Gbps zu verstärken. Forscher haben auch festgestellt, dass sich die durchschnittliche Größe des Angriff ebenfalls erhöht hat*. DDoS Schutz Markt: Durchschnittliche Angriffsgröße, global, Angriffsgröße des Traffic Flow *Source: Verizon 2014 Data Breach Investigations Report. 4

5 Einflussfaktoren erklärt DDoS-Attacken werden immer häufiger o DDoS-Angriffe sind jetzt an der Tagesordnung, so dass einige Forschungslabors über Tausende von Angriffen pro Tag berichten. o Diese Häufung ist auf die wachsende Popularität von DDoS als Angriffswerkzeug zurückzuführen und viele Sicherheitsforschungsorganisationen postulieren, dass DDoS zur beliebtesten Angriffsart von Hackern gehört. o In erster Linie sollen durch die Bedrohung der Hacker, Organisationen aller Größen mit DDoS- Angriffen zerstört und zum Erliegen gebracht werden. o Außerdem sind DDoS-Angriffe im Vergleich zum Verfassen fortgeschrittener Malware und Kampagnen, die dem langfristigen Eindringen in Netzwerke dienen mit weniger Aufwand für die Hacker verbunden. o Die zunehmende Häufigkeit der Attacken steigert das Bewusstsein, DDoS-Angriffe als Bedrohung wahrzunehmen. Dieser Effekt wird verstärkt, wenn große Organisationen den Attacken zum Opfer fallen oder wenn ähnliche Organisationen betroffen sind. 5

6 Einflussfaktoren erklärt (Fortsetzung) DDoS-Attacken werden immer stärker o Geschichtlich betrachtet, steigern Hacker das Ausmaß von DDoS-Angriffen, indem sie eine größere Anzahl von Computern infizieren und damit größere Mengen an Datenverkehr auf der Netzwerkebene generieren. o Die Zahl der potenziell Bot-infizierten Geräte im Internet wird weiter ansteigen, betrachtet man das explosionsartige Wachstum von Smartphones und den "Internet-of-Things"-Trend, der alles von Kleingeräten bis Autos vernetzen wird. o Allerdings haben Hacker auch neue Angriffsmethoden entwickelt, aus denen sich ein starker Anstieg der Größe von DDoS-Angriffen zwischen Ende 2012 und Anfang 2014 ergab. o Zunächst steuern Hacker gezielt offene oder gefährdete Webseiten und Content-Management- System (CMS)-Server an, um DDoS-Angriffsskripte wie der Brobot DDoS-Angriff Kit auszurichten. Server haben mehr Rechenleistung als Endgeräte und werden in gehosteten, Cloud- sowie privaten Cloud-Rechenzentren mit hoher Bandbreite eingesetzt. o Als Folge können DDoS Angriffe, die beeinträchtigte Server wirksam einsetzen ein signifikantes Ausmaß erreichen. DDoS-Angriffe, die Brobot-infizierte Server wirksam einsetzten, erreichten über 100 Gbps in Operation Ababil im Jahr o 2013 erreichten DDoS-Angriffe einen neuen Höchststand im Hinblick auf das Ausmaß, indem Amplifikations- und Reflexionstechniken eingesetzt wurden. 6

7 Einflussfaktoren erklärt (Fortsetzung) DDoS-Attacken werden immer stärker (Fortsetzung) o Amplifikations-Angriffe umfassen das Senden kleiner Anfragen an Server, die deutlich größere Antworten zurückschicken. Reflexionsangriffe eignen sich für Angriffe, um die Identität des Absenders der Anfrage zu fälschen, wodurch unerwünschter Reaktions-Datenverkehr auf die IP-Adresse des Opfers gerichtet wird. o Im März 2013 verwendeten Hacker einen Domain Name System (DN) Reflexions-Angriff, um Spamhaus anzugreifen und dadurch einen Spitzenwert von 300 Gbps an böswilligem Datenverkehr zu erzeugen*. DDoS Schutz Markt: Spitzenwert DDoS Angriffsgröße, global, DDoS Angriffsgröße (Gbps) *Source: Arbor Networks. 7

8 Einflussfaktoren erklärt (Fortsetzung) DDoS-Angriffe werden immer hochentwickelter o Traditionell nutzen Hacker Transmission Control Protocol (TCP), SYN- oder UDP- Flooding, um die verfügbare Bandbreite des Zielnetzwerks mit massiven Mengen an Datenverkehr aufzubrauchen. Seit Neuestem zielen Angreifer häufiger und mit größerer Wirkung auf Protokolle und Dienste auf Anwendungsebene ab. o Zum Beispiel hat Operation Ababil Angriffe auf Anwendungsebene wirksam eingesetzt, durch das Senden von Hyper Text Transfer Protocol (HTTP) "GET"- Methoden-Anfragen für große Portable Document Format (PDF)-Dateien, wodurch die Server-Ressourcen erfolgreich mit wenigen Anfragen ausgeschöpft wurden. o Hacker können auch signifikante Latenzzeiten schaffen, indem sie auf "schwere URLs" abzielen, die komplexe Datenbankabfragen erfordern. Diese Angriffe sind schwer zu identifizieren, da sie auf der Logik basieren, Anwendungslatenz pro Anfrage anstatt massive Anfragefluten zu schaffen. o Angriffe auf Anwendungsebene (auch "Low-And-Slow"-Angriffe genannt) können einen Server mit sehr wenig Datenverkehr schnell überwältigen und sind deshalb nur schwer mit traditionellen Schwellen-basierten DDoS Schutz-Praktiken zu identifizieren. Zusätzlich wird der Datenverkehr auf Anwendungsebene oft verschlüsselt, was den Inspektionsprozess erschwert. 8

9 Einflussfaktoren erklärt (Fortsetzung) DDoS-Attacken werden immer hochentwickelter (Fortsetzung) o Hacker verschmelzen zunehmend beide Angriffstechniken, indem sie netzwerkbasierte Angriffe nutzen, um große Mengen an Datenverkehr zu erzeugen, der eine erhebliche Bandbreite und Angriffe auf Anwendungsebene erfordert, die nur schwer zu erkennen sind. o Im Wesentlichen werden bei gemischten Angriffen massive volumetrische Angriffe vorgenommen, um die "Pipes" der angegriffenen Organisation zu füllen und die Server-Ressourcen auszuschöpfen. o Zur Milderung gemischter Bedrohungen ist zumindest ein hybrider Ansatz erforderlich, bei dem Cloud-basierte Datenreinigung für volumetrische Angriffe und On-Premises- Schutz-Lösungen genutzt werden, um Angriffe auf Anwendungsebene aufzuspüren und zu verhindern. o Folglich sind Unternehmen mehr motiviert, sowohl On-Premises-DDoS Schutz- Produkte einzusetzen als auch DDoS Schutz Services für zusätzlichen Schutz zu abonnieren; eine tiefgreifende Sicherheitsstrategie. 9

10 Einflussfaktoren erklärt (Fortsetzung) Internet-Zugang und Web-Services werden für Unternehmen in jeder Branche an Bedeutung gewinnen o Das Risiko, das mit einem DDoS-Angriff verbunden ist, hängt vom Wert des Web- Services ab, der angegriffen wird. Derzeit ist die Web-Präsenz in der Unterhaltungs-, Finanz- und E-Commerce-Branche besonders wichtig. o Unternehmen in diesen vertikalen Märkten werden zu vorzeitigen Anwendern von DDoS-Schutz-Lösungen aufgrund der Bedeutung ihrer Verbindung zum Web als integraler Bestandteil ihrer Geschäftsmodelle. o In der Zukunft wird die Web-Präsenz eines Unternehmens, einschließlich Webseiten, Anwendungen und Cloud-Services an strategischer Bedeutung zunehmen. o Darüber hinaus werden Unternehmen mit jeglicher vertikaler Struktur und von jeglicher Größe eine bedeutende öffentliche Anbindung fordern, um den Zugang für Kunden und Partner zu gewährleisten. o Da der Wert von Web- und Internet-Konnektivität für eine größere Anzahl von Organisationen steigt, wird sich auch die Attraktivität einer DDoS-Schutz-Lösung erhöhen. 10

11 Einflussfaktoren erklärt (Fortsetzung) DDoS Mitigation bietet einen messbaren Return-on-Investment (ROI) o DDoS-Angriffe stören Aktivitäten und verhindern, dass Benutzer Zugriff auf kritische Web- Anwendungen erhalten. Diese Ausfallzeiten spiegeln sich im Produktivitätsverlust, in abnehmendem Besucherverkehr und verlorenen E-Commerce-Transaktionen sowie in anderen entgangenen Möglichkeiten wider. o Der Wert dieser entgangenen Möglichkeiten variieren von Unternehmen zu Unternehmen und von Branche zu Branche. Doch Unternehmen können und sollten die möglichen Schäden, die ein DDoS-Angriff in Dollar pro Stunde verursachen kann messen. o Für einige Finanz-und Web-basierte Unternehmen können DDoS-Angriffe Schäden von mehreren Millionen Dollar pro Stunde anrichten. o Durch die Messung des DDoS Risikos in Dollar können die Top-Entscheidungsträger besser das Risiko verstehen und die verfügbaren Schutz-Optionen unter deren Berücksichtigung bewerten. o Im Vergleich dazu bieten viele Sicherheitstechnologien Werte - die zwar wertvolle Betrachtungen darstellen, jedoch in Dollar nur schwer messbar sind - und deren Messung sich unter dem Aspekt des Schutzes von Kundendaten und dem Ansehen der Marke als schwierig erweist. o Dieser Einflussfaktor wird durch die hohen Kosten von DDoS Schutz-Lösungen gemildert welche die möglichen Schäden eines DDoS-Angriffs möglicherweise ausgleicht. 11

12 Wettbewerbsumfeld Wichtigste Schlussfolgerung: Sich verändernde Technologien und Kundenanforderungen ergeben ein erhebliches Potenzial für den Fortschritt im Wettbewerbsumfeld. Wettbewerbsumfeld Gesamter DDoS Schutz Markt: Global, 2013 Meets Market Demands Fortinet Verisign Huawei NSFOCUS Neustar Imperva (Incapsula) Corero Netzwerk Sicherheit Juniper Netzwerke Schwarz Lotus Akamai Radware Prolexic Arbor Networks Rio Rey Market Leader Market Contender Market Challenger Emerging Competitor Market Penetration 12

13 Produkt Segment Marktanteil Wichtigste Schlussfolgerung: Arbor Networks ist der Top-Wettbewerber auf dem Produktmarkt zum Schutz vor DDoS: Prozent des Umsatzes Produkt Segment: Global, 2013 n = 11 *A list of companies included in Others can be found in the appendix Note: All figures are rounded. The base year is

14 Produkt Segment Wettbewerbsumfeld Wichtigste Schlussfolgerung: Das Marktsegment für DDoS-Schutz-Produkte wird zunehmend wettbewerbsfähig. Wettbewerbsumfeld Produkt Segment: Global, 2013 Meets Market Demands Fortinet NSFOCUS Rio Rey Huawei Corero Netzwerk Sicherheit Juniper Netzwerke Radware Arbor Netzwerke Market Leader Market Contender Market Challenger Emerging Competitor Market Penetration 14

15 Das letzte Wort Kundenempfehlungen 1 Ein hybrider und mehrschichtiger Ansatz für DDoS Schutz wird dringend empfohlen. Unternehmen sollten multi-threaded DDoS-Schutz-Strategien vor einem Angriff einsetzen, einschließlich "Clean-Pipes"-Dienste von ISPs und CSPs, On-Premises DDoS Schutz Anwendungen und abrufbare Cloud DDoS Schutz Services. 2 Es gibt keine Patentlösung für DDoS Schutz. Vor der Auswahl einer DDoS Schutz-Lösung sollten Unternehmen die Art ihrer Aktivitäten prüfen, einschließlich Latenzempfindlichkeit, Bandbreitenanforderungen, technische In-House-Expertise und damit verbundene Kosten. 3 Unternehmen sollten DDoS-Angriffe als Bedrohung für die Integrität der Daten und die Vertraulichkeit betrachten. DDoS Schutz wird oft als ein Thema der Betriebs-oder Geschäftskontinuität betrachtet, aber Bedrohungs- Akteure setzen DDoS Angriffe zunehmend in Kombination mit unbefugtem Netzwerkzugang, Datendiebstahl und Erpressungsversuchen ein. 15