Effektive Verteidigung ist keine Frage von »Entweder-oder«. Aktuelle Best Practices fordern sowohl IDMS vor Ort als auch cloud-basierte Abwehrmaßnahmen. Ein mehrschichtiger, hybrider Ansatz bei der DDoS-Abwehr ist die angesagte Strategie.
Noch nie zuvor waren vernetzte Geräte derart stark dem Risiko eines Angriffs ausgesetzt. Aufgrund der zunehmenden Risiken, die letztes Jahr im Zusammenhang mit diesen Geräten entstanden sind, war eine Gruppe Internet-Krimineller in der Lage, die Geräte als Waffen einzusetzen und etliche Webseiten und Services mit Hilfe von DDoS-Attacken lahmzulegen. Im vergangenen Jahr wurden wir Zeuge, wie zahlreiche Organisationen derartigen Angriffen zum Opfer fielen, darunter auch die Olympiade in Rio. Laut dem jüngsten Worldwide Infrastructure Security Report von Arbor Networks wuchs durch die Nutzung von IoT-Geräten als Angriffswaffe der Umfang von DDoS-Attacken um mehr als 60 Prozent an. Die Kombination aus DDoS und IoT-Geräten wird zweifelsohne auch 2017 weiter Schlagzeilen machen, da immer umfangreichere Attacken Serviceanbieter und Unternehmen gleichermaßen vor Probleme stellen.
Organisationen können sich gegen DDoS-Angriffe wappnen, indem sie die aktuellsten Best Practices für die DDoS-Abwehr einsetzen. Dazu gehören unter anderem die Härtung der Netzwerkinfrastruktur, die Gewährleistung der kompletten Visibilität für den gesamten Datenverkehr im Netzwerk, die Implementierung ausreichender Kapazitäten für die DDoS-Abwehr (entweder vor Ort oder mit cloud-basierten DDoS-Abwehrservices, oder beides) sowie ein DDoS-Verteidigungsplan, der stets auf dem aktuellen Stand gehalten und regelmäßig überprüft wird. Unternehmen haben dabei drei grundlegende Optionen für den Schutz gegen DDoS-Angriffe: einen cloud-basierten Service, vor Ort installierte Schutzmaßnahmen, oder einen gestaffelten, hybriden Ansatz, der beides kombiniert.
- Cloud-basierte Abwehrdienste. CDN-Anbieter, die Schutzmaßnahmen gegen DDoS anbieten, versprechen einen komfortablen Service: man nutzt den Always-on-Service mit seiner automatisierten Erkennung, und die DDoS-Probleme sind gelöst. Das klingt großartig, bis man sich der Konsequenzen bewusst wird.
- Beeinträchtigung beim Benutzererlebnis: Beim Always-on-DDoS-Abwehrservice muss der Datenverkehr permanent über das Netzwerk des Serviceanbieters umgeleitet werden, unabhängig davon, ob gerade ein Angriff erfolgt oder nicht. Diese Umleitung kann aufgrund der erhöhten Latenz das Benutzererlebnis beeinträchtigen.
- Einschränkung bei den Protokollen: Viele CDN-Serviceanbieter nutzen Reverse Proxies, um den verdächtigen Datenverkehr in Empfang zu nehmen. Dabei ist die Schutzwirkung meist auf die HTTP- beziehungsweise HTTPS-Protokolle (SSL) beschränkt. Doch moderne DDoS-Angriffe können vielfältige Formen annehmen, den Angriffsvektor auf andere Protokolle als HTTP verlagern und somit einzelne Proxy-Knoten derart überfordern, dass diese teilweise ausfallen.
- Permanente Schwachstellen: Ein Proxyserver muss stets seinen Zielservice erreichen können, um Inhalte abzuholen und Benutzerdaten bereitzustellen. Das bedeutet, dass der Zielservice immer noch mit dem Internet verbunden und somit anfällig für Angriffe ist, wenn ein Angreifer dessen wahre Adresse herausfindet und er so das Cloud-Abwehrnetzwerk des Anbieters vollständig umgehen kann.
- Hohe Kosten: Always-on-Abwehrservices müssen bei ihrer Kostenkalkulation jegliche DDoS-Attacken mit einberechnen, egal, wie gering diese ausfallen. Die Kostenberechnung für den Service geht zwangsläufig davon aus, dass jeder Kunde regelmäßig angegriffen wird. Das führt zu hohen monatlichen oder jährlichen Gebühren und insgesamt unvorteilhaften Gesamtbetriebskosten (TCO) für den Kunden.
Abwehrsysteme vor Ort. Zahlreiche Firewall-Hersteller bieten heute ebenfalls einen DDoS-Schutz an, doch damit wird den Kunden lediglich ein trügerisches Gefühl von Sicherheit suggeriert. Zwar stoppen Firewalls einige DDoS-Angriffe, aber längst nicht alle, und oft werden sie auch selbst zu Angriffszielen. Firewalls sind effektive Werkzeuge für die Integrität und Vertraulichkeit eines Netzwerks, erzeugen aber, wenn es um DDoS geht, ein falsches Sicherheitsgefühl, da sie das grundlegende Problem bei DDoS-Attacken nicht lösen – die Netzwerkverfügbarkeit. Damit ist klar: rein auf Firewalls zu setzen, kann sich als extrem kostspielig herausstellen.
Da die Mehrheit der Angriffe vor Ort gemanaged werden kann, zahlt sich die einmalige Ausgabe für IDMS für viele DDoS-Zwischenfälle aus, auch für die Zukunft. Je nach Intelligenz- und Automatisierungsgrad – und der Beschaffenheit Ihres Unternehmens – liegen die Gesamtbetriebskosten für IDMS unterhalb der Kosten für eine cloud-basierte Abwehr, sind aber definitiv niedriger als bei CDN-basierten Always-on-Services. Und dadurch, dass der Datenverkehr von externen Netzwerken ferngehalten wird und einzig und allein mit dem Internet verbunden ist (im Gegensatz zu einem CDN), bleiben auch die idealen Routen erhalten, die der Datenverkehr nehmen kann, um jederzeit, wenn ein Service nicht gerade angegriffen wird, ein optimales Benutzererlebnis zu gewährleisten.
Mehrschichtige Hybrid-Lösungen. Natürlich dominieren volumetrische Angriffe die Schlagzeilen – man denke nur an Miraj. Nach Angaben der Befragten im WISR 2016 von Arbor lag das Volumen des größten Angriffs 2016 bei 800 Gbps. Attacken im Bereich von mehreren Hundert Gbps sind mittlerweile gang und gäbe. Nachdem die Hacker angefangen haben, IoT-Geräte in ernsthaftem Umfang für ihre Zwecke auszunutzen, prognostizieren Experten, dass Angriffe mit mehr als 1 Tbps gar nicht mehr allzu weit entfernt sind. In diesem Punkt sind sich die Branchenexperten einig. Aktuelle Best Practices fordern derzeit sowohl IDMS vor Ort als auch cloud-basierte Abwehrmaßnahmen. Effektive Verteidigung ist keine Frage mehr von »Entweder-oder«. Führende Unternehmen haben die Botschaft bereits verstanden: die Antworten der Befragten in der WISR-Umfrage 2016 deuten darauf hin, ein mehrschichtiger, hybrider Ansatz bei der DDoS-Abwehr sei mit einem Anstieg um 30 % im letzten Jahr die am stärksten wachsende Strategie.
Das Vorhandensein dieses mehrschichtigen Ansatzes ist die richtige Architektur – doch der Schlüssel zum Erfolg besteht in der engen Integration zwischen Vor-Ort-Lösungen und den Cloud-Services. Sobald ein DDoS-Angriff die Kapazitäten für eingehenden Internetverkehr sättigt, sollte von der Technologie vor Ort sofort das Signal an die Cloud-Komponente erfolgen, den Verkehr zeitweise auf eine oder mehrere Scrubbing-Einrichtungen umzuleiten. Bei diesem Scrubbing können bereits ganze Terabits an Angriffs-Datenverkehr herausgefiltert werden, bevor der saubere Datenverkehr sicher an das Netzwerk übergeben wird. Eine derartige Integration muss zügig arbeiten, die Skalierungsvorteile der Cloud für hochvolumige Angriffe nutzen, und dem Angriffsverkehr die Möglichkeit nehmen, die Verteidigungsmaßnahmen vor Ort zu überwältigen. Vor dem Hintergrund, dass die Mehrzahl der DDoS-Angriffe von der IDMS-Technologie vor Ort abgewehrt werden kann, sollte eine sorgfältig integrierte Komponente als Zusatzversicherung begriffen werden anstatt als erste Verteidigungslinie.
Die aktive und kontinuierliche Zusammenarbeit zwischen den Netzwerkbetreibern im Unternehmen, den ISPs und den MSSPs ist der Schlüssel zum Erfolg bei der DDoS-Abwehr. Ebenfalls wichtig ist es, dass der Netzwerkbetreiber bei der Messung von DDoS-Volumina die Grundlast durch den normalen Netzwerk-Datenverkehr berücksichtigt, um das Ausmaß des Datenverkehrs, der bei dem Angriff die Netzwerke und die Kunden beeinträchtigt, weder zu unter- noch zu überschätzen.
Christian Reuss,
Sales Director DACH,
Arbor Networks