In den vergangenen Jahren haben Umfang und Schwere von DDoS-Angriffen exponentiell zugenommen. Die möglichen Folgen eines erfolgreichen Angriffs für Unternehmen sind enorm – vielfach sogar existentiell. Und viele Firmen sind nicht darauf vorbereitet, moderne DDoS-Angriffe abwehren zu können.
Durch den Einsatz neuester Technologien wie künstliche Intelligenz und maschinelles Lernen ist es möglich, digitale Werte und Strukturen selbst vor den gefährlichsten DDoS-Angriffen zu schützen, ohne dass der legitime Datenverkehr davon betroffen ist. Dieser Artikel beschäftigt sich mit dem Risiko, das von komplexen Attacken ausgeht, und erläutert, wie Unternehmen sich gegen diese Bedrohung zur Wehr setzen können.
Es gibt ein paar hartnäckige Missverständnisse über diese Form von Cyber-Attacken, die an dieser Stelle erläutert und ausgeräumt werden sollen.
Es stimmt, dass Flooding Attacken das häufigste Problem sind. Als DDoS-Angriff zählt jedoch jeder Angriff aus verteilten Quellen, der legitime Benutzer daran hindert, auf eine Ressource zuzugreifen. Je nach verwendeter Angriffstechnik kann ein Angriff auch mit einem relativ geringen Volumen erfolgreich sein.
Das Wort „Ressource“ wurde oben bewusst verwendet. DDoS-Angriffe zielen nicht nur auf Webseiten. Sie können auch E-Mail-Server, Datenbanken, Telefonsysteme und jeden anderen Endpunkt mit Netzwerkverbindung ins Visier nehmen.
DDoS-Angreifer zielen vielfach darauf ab, Schaden und Störungen zu verursachen. Daneben gibt es noch andere Motive. Bei vielen Attacken geht es darum, Geld zu verdienen. Cyberkriminelle greifen ein Unternehmen an, um zu zeigen, dass sie Teile der IT-Infrastruktur lahmlegen können. Dann drohen sie mit einem noch größeren, verheerenderen Angriff, wenn kein Lösegeld gezahlt wird.
Sehen Sie sich das on-demand Webinar von NimbusDDoS und Link11 zu den größten Fehlern bei der Abwehr von DDoS-Attacken an (in Englisch).
In den vergangenen drei Jahren ist die Zahl der registrierten Angriffe drastisch gestiegen. Die mittlere Angriffsbandbreite hat sich um 600 % erhöht. Der Mittelwert hat nach 1 Gbps im Jahr 2016 inzwischen 5 Gbps im Jahr 2019 erreicht. Im vergangenen Jahr stoppten die größten Einzelangriffe im Link11 Netzwerk bei über 700 Gbps.
Unternehmen sind heutzutage in zunehmendem Maße von ihrer digitalen Infrastruktur abhängig, eine Unterbrechung vernetzter Prozesse kann verheerende Folgen haben. Zu den Folgen von DDoS-Attacken zählen:
Für Unternehmen, die auf die ständige Verfügbarkeit ihrer IT-Systeme angewiesen sind, können DDoS-Angriffe zu einer existenziellen Bedrohung werden.
Bislang wurden Firewalls und hardware-basierte Intrusion Detection Systeme (IDS) für die Abwehr von DDoS-Angriffen eingesetzt. Den aktuellen, komplexen Attacken halten diese Schutzlösungen nicht mehr Stand.
Firewalls und IDS-Geräte verwenden Regeln, die definieren, welche Verbindungen nach außen zugelassen und welche blockiert werden sollen. Herkömmliche Firewalls lassen sich leicht durch Flooding Attacks überlasten, die zu einem plötzlichen und sehr heftigen Anstieg der Zahl der Anfragen (um das 10.000-fache oder mehr) führen. Die Überprüfung jeder einzelnen Anfrage übersteigt die Ressourcen einer Firewall, so dass sie komplett ausfallen.
IDS-Systeme hingegen sind darauf ausgelegt, den Datenverkehr zu überwachen. Wenn ein ungewöhnlicher Anstieg der Aktivität auftritt, begrenzt oder blockiert das Gerät den als bösartig eingestuften Datenverkehr. Es gibt jedoch zwei große Probleme, wenn man sich bei der DDoS-Abwehr auf ein IDS verlässt:
1. Konfiguration und Wartung von IDS-Geräten erfordern Spezialwissen, über das die meisten Unternehmen im eigenen IT-Team nicht verfügen.
2. IDS-Geräte sind nur dann effektiv, wenn die Angriffe auf die Anwendungsebene (z.B. Webserver) oder die IT-Infrastruktur (z.B. Router und Firewalls) abzielen. Wenn ein Angriff ein so hohes Volumen erreicht, dass er die Außenanbindung des Unternehmens überschreitet, werden alle internen Sicherheitsvorkehrungen unbrauchbar.
Und es gibt noch einen weiteren Grund, warum traditionelle Sicherheitsvorkehrungen nicht ausreichen, um moderne DDoS-Angriffe abzuwehren: Die Angriffserkennung ist alles andere als einfach.
Nicht alle DDoS-Angriffe haben offensichtliche „Tells“, anhand derer man sie leicht identifizieren kann. Da traditionelle Sicherheitslösungen oft nicht in der Lage sind, DDoS-Angriffsmuster zu erkennen, sind sie für den Schutz nahezu nutzlos.
Künstliche Intelligenz (KI), maschinelles Lernen (ML) und das Internet der Dinge (IoT) werden eingesetzt, um die Zerstörungskraft von DDoS-Angriffen zu erhöhen.
Das IoT besteht aus Milliarden von weltweit verteilten Geräten – von CCTV-Kameras bis hin zu intelligenten Kühlschränken. Alle IoT-Geräte haben zwei Eigenschaften gemeinsam:
1. Sie verfügen einen Internetanschluss.
2. Diese sind meist hochgradig unsicher.
Das macht sie zu einer leichten Beute, um sie zu kapern und in Botnetze aufzunehmen. Die Medien sind voll von Meldungen, dass IoT-Botnetze zur Durchführung von DDoS-Attacken in einem noch nie dagewesenen Ausmaß eingesetzt werden. Man schätzt, dass das Mirai-Botnet, die Mutter aller IoT-Botnetze, bis zu 2,5 Millionen Einzelgeräte umfasst. Das ist mehr als genug, um jede Infrastruktur auf dem Planeten zu überfluten.
In der Zwischenzeit werden KI und ML dazu verwendet, intelligentere DDoS-Angriffe zu starten. Mithilfe selbstlernender Algorithmen analysieren diese automatisierten Angriffe das Verhalten des Zielsystems, „erraten“, welche Sicherheitslösungen im Einsatz sind, und wählen die Angriffsmethoden entsprechend aus. Die Bedrohung, die von „intelligenten“ DDoS-Angriffen ausgeht, übersteigt alles, was IT-Sicherheitsexperten in der Vergangenheit gesehen haben.
On-premise-Lösungen sind nicht in der Lage, moderne Angriffe zu stoppen. Wenn ein Angriff erst die IT-Systeme eines Unternehmens erreicht, ist es schon zu spät. Auf der anderen Seite können Cloud-basierte Lösungen den Datenverkehr filtern, analysieren und sogar blockieren, bevor dieser auch nur in die Nähe der IT-Systeme eines Unternehmens gelangt. Aus diesem Grund ist eine konsequente Abwehr von DDoS-Angriffen nur mit Cloud-basierten Lösungen möglich.
Ein Beispiel dafür ist die Cloud Security Plattform von Link11. Die Plattform verfolgt einen dreistufigen Ansatz zur Identifizierung und Bekämpfung von DDoS-Angriffen:
Der eingehende Datenverkehr wird analysiert, und jedem Client wird ein spezifischer „Fingerpint“ zugewiesen. Jeder Fingerabdruck setzt sich aus Hunderten von eindeutigen Eigenschaften zusammen und ist weit spezifischer als eine IP-Adresse. Dadurch wird sichergestellt, dass legitime User jederzeit auf Daten zugreifen können. Zugriffe von Benutzern mit Fingerprints, die bekannte Angriffsmuster enthalten, werden hingegen blockiert.
Es reicht nicht aus, bekannte Angriffsarten nur zu blockieren. Das selbstlernende KI-Modul der Plattform analysiert den Datenverkehr auf böswillige Aktivitäten und ist sogar in der Lage, KI-gesteuerte Angriffe zu identifizieren. Das Modul unterbricht Angriffe auch aktiv, indem es falsche Informationen an Angreifer sendet. Zum Beispiel signalisiert es Angreifern, dass ein Ziel „offline genommen wurde“, obwohl es in Wirklichkeit weiterhin für legitime Benutzer zugänglich bleibt.
Schließlich vergleicht die Plattform den gesamten Datenverkehr mit Echtzeitinformationen zur Bedrohungslage, um festzustellen, ob er mit bekannten bösartigen Angriffsmustern übereinstimmt. Auf diese Weise kann die Plattform Angriffsversuche blockieren und gleichzeitig legitime Anfragen akzeptieren.
Entscheidend ist, dass jedes Mal, wenn die Plattform eine neue Bedrohung identifiziert hat, die Angriffssequenz in einer Datenbank gespeichert wird, um sie für zukünftige Fälle zu verwenden. Wenn dieselbe Angriffssequenz erneut erkannt wird, wird sie sofort blockiert.
In der Vergangenheit basierten DDoS-Schutzlösungen auf manueller Interaktion – entweder durch die unternehmenseigene IT-Abteilung oder einen externen Sicherheitsdienstleister.
Ein typischer manueller Arbeitsablauf besteht aus folgenden Schritten:
1. Ein Sicherheitsvorfall wird erkannt und gemeldet, z.B. durch eine E-Mail an das SOC
2. Das SOC leitet die Reaktion auf den Vorfall ein.
3. Validierung durch das SOC ist abgeschlossen und der Schutz aktiviert.
Im Durchschnitt dauert dieser Prozess von Anfang bis Ende etwa 35 Minuten. Die oberen 5 % der Sicherheits-Teams können ihn in 20 Minuten abschließen, während die unteren 5 % mehr als 100 Minuten benötigten.
Und hier ist nur vom Ablauf bis zur Erreichung der Validierungs-Stufe die Rede. Die manuelle Mitigierung kann etwa 15 Minuten dauern und erfordert oft mehrere Durchgänge, um eine Blockade des legitimen Datenverkehrs zu vermeiden. Der Ansatz ist außerdem anfällig für menschliche Fehler.
Im Vergleich dazu ein automatisierter Workflow:
1. Der Vorfall wird automatisch erkannt.
2. Die Mitigation wird aktiviert.
3. Das System hat aus diesem Angriff bereits für den nächsten Angriff gelernt.
Bei einer branchenführenden DDoS-Schutzlösung wie der Cloud Security Plattform von Link11 ist der gesamte Prozess von der Erkennung bis zur vollständigen Abwehr in Sekundenschnelle abgeschlossen – selbst bei unbekannten Bedrohungen.
Um Ihr Unternehmen vor DDoS-Angriffen zu schützen, benötigen Sie eine Lösung, die den Einsatz von KI und Automatisierung einschließt. Die Cloud Security Plattform von Link11 verwendet selbstentwickelte KI- und ML-Algorithmen, um neue Bedrohungsmuster in Echtzeit und ohne menschliche Interaktion zu identifizieren.
So profitiert Ihr Unternehmen:
Erfahren Sie mehr über die https://www.link11.com/de/services/ddos-schutz/branchenführenden DDoS-Schutzlösungen von Link11 und informieren Sie sich über die Produkte.
