Einsatz von Risikomodellen zum Schutz gegen DDoS-Attacken – Dienst nicht verfügbar

Einsatz von Risikomodellen zum Schutz gegen DDoS-Attacken

Welche Distributed-Denial-of-Service-Attacken gibt es und wie lassen sich die bestehenden Risikomodelle verbessern, um diesen Angriffen im Vorfeld zu begegnen?

Aktuelle Risikomanagement-Modelle und -Verfahren konzentrieren sich auf die Vertraulichkeit von Daten und die Datenintegrität. Wenn Sie einen IT-Security-Manager in einer Firma hinsichtlich seiner wichtigsten Prioritäten befragen, wird er diese beiden Punkte innerhalb seiner Top-Prioritäten -nennen. Allerdings schützen viele Risikomanagement-Modelle Unternehmen nicht -gegen verfügbarkeitsbasierte Bedrohungen wie beispielsweise DDoS-Attacken gegen Webanwendungen und die dazugehörige Infrastruktur.

In den letzten beiden Jahren konnten viele Ausfälle von wichtigen Banken- und Behörden-Webseiten, auch über mehrere Tage hinweg, beobachtet werden. Beliebte und populäre Social-Media-Seiten leiden unter regelmäßigen Ausfällen oder unter sehr langen Antwortzeiten durch Angriffe von Hacktivisten. Sobald ein Anwender etwas Umstrittenes schreibt, kann jeder der anderer Meinung ist, sehr einfach einen Denial-of-Service-Angriff gegen diesen Benutzer starten. Im Ergebnis wird hier nicht nur der jeweilige Nutzer angegriffen und unter Umständen deaktiviert, es wird auch die dazugehörige Webseite oder sogar die gesamte Infrastruktur offline gesetzt, mit -gravierenden Folgen auch für den Service Provider.

Das Umsetzen von bisherigen Risikomodellen in Verfahren und Werk-zeuge ermöglichte es Firmen bislang, für den nächsten Verlust von Daten bereit zu sein, allerdings nicht für einen vollständigen Shutdown von kompletten Diensten und Anwendungen. Wie am Anfang beschrieben, beobachtet Radware aktuell eine sehr starke Zunahme von DDoS-Attaken, faktisch eine Verdoppelung alle sechs Monate. Im Schnitt hatten 65 Prozent der von Radware befragten Organisationen drei DDoS-Attacken in den letzten zwölf Monaten mit einer durchschnittlichen Ausfallzeit von 54 Minuten während einer einzelnen Attacke [1].

Diese Tatsache macht es für Risikomanager zwingend notwendig, die bestehende Architektur ihrer Risikomodelle zu überprüfen und falls nötig zu justieren. Dies ist eine der Schlüsselkomponenten, um Unternehmen gegen diese neue Art von IT-Sicherheitsbedrohungen besser zu schützen.

Dieser Artikel bietet IT- und Risikomanagern sowie Security Professionals einen Überblick sowohl über anwendungsbasierende als auch weitere aktuelle DDoS-Angriffsmethoden und zeigt die möglichen Schritte, um bestehende Risikomodelle zu verbessern. Das Fokussieren auf die wichtigen Fragen ermöglicht es Sicherheitsmanagern, die optimale Sicherheitsstrategie zu entwickeln.

  • Wie sind die Verantwortlichkeiten für verfügbarkeitsbasierende Risiken?
  • Gibt es einen Testplan der internen Verfügbarkeits-Schutzmechanismen und -Verfahren?
  • Hinterfragen von bestehenden Sicherheitsverfahren und -systemen.

Was ist eine Denial-of-Service-Bedrohung: die aktuellen Sicherheitsrisiken. Ein Denial-of-Service-Angriff (DoS) ist ein gezielter Angriff auf die Verfügbarkeit von Web-Anwendungen und die dazugehörige Infrastruktur. Im Gegensatz zu anderen Arten von Cyber-Angriffen ist das primäre Ziel von DoS-Attacken nicht Informationen zu stehlen, sondern den Zugriff auf eine Webseite oder einen Internetdienst zu verlangsamen oder komplett zu verhindern. Die Beweggründe der Angreifer sind vielfältig und reichen von Spaß, finanziellem Gewinn bis zu einem ideologischen Hintergrund (Hacktivismus). Mittels eines DDoS/DoS-Angriffs wird ein hoher Traffic erzeugt (je nach Angriffsmuster auch verschlüsselt oder auf Applikations-ebene) –  mit dem Ziel, die Computing–Ressourcen des Opfers zu überlasten. Dies hat zur Folge, dass berechtigten Benutzern der Zugriff auf die Website, spezifische Internet-Applikationen oder Services nicht mehr möglich ist. DDoS-Angriffe betreffen Unternehmen aus allen Bereichen (E-Gaming, Banken, Regierung, …), alle Größen (Mittel- und Großunternehmen) und allen Regionen.

Trotz der zunehmenden Anzahl solcher DDoS-Attacken ist bei der Mehrzahl der Organisationen noch kein proaktiver Ansatz erkennbar, um bei solchen Bedrohungen schnell reagieren zu können.

Um diese Lücken in der Risikobewertung und Analyse zu füllen, sollten die folgenden vier Punkte in das Risikomanagement-Modell eines Unternehmens integriert werden:

1. Fragen Sie die großen Fragen 

Warum haben bisherige Risikomodelle die Gefahr von Hacktivismus nicht erfasst? Warum ist die Hackergruppe Anonymous so effektiv? Und falls es Lehren aus ihrem Erfolg gibt: Warum wurden diese nicht umgesetzt?  Welche Bedeutung haben staatlich geförderte Cyberangriffe für künftige Abwehrstrategien in der Privatindustrie?

Dies sind nur einige Beispiele und nur die wenigsten dieser Punkte werden in aktuelle Risikobewertungen übernommen. Die große Mehrheit der angegriffenen Organisationen beschränkt sich auf Schadensbegrenzung nach einem Angriff und auf das (interne) Erklären, warum für diese Art von Angriff kein ausreichender Schutz vorhanden war.

Aber warum war er nicht vorhanden?  Eine Ursache kann dieser fehlende Baustein in den aktuellen Risikomodellen, dessen Implementierungen oder ein Fehler in der Prozessdauer sein (zu viel Latenz). Ein moderner Prozess zur Risikobewertung sollte in der Lage sein, eine der aktuell gefährlichsten Bedrohungen, DDoS-Angriffe, abzubilden und auch sicherstellen, dass -Penetrationstests und Schwachstellenanalysen diese Risiken abdecken. Auch entsprechende Compliance und »Best–Practice«-Methoden sollte ein moderner Prozess beinhalten.

2. Berücksichtigen von DDoS–Bedrohungen in der IT-Sicherheit

Jeder zertifizierte IT-Security- und Risikomanagement-Professional versteht den branchenweiten Grundsatz, dass alle sicherheitsrelevanten Aktivitäten auf den folgenden Pfeilern basieren:

  • Vertraulichkeit (Datenschutz)
  • Integrität
  • Verfügbarkeit

IT-Sicherheit basiert auf diesen bewährten drei Prinzipien. Um Organisationen vor Datenverlust und Vertraulichkeitslücken zu schützen, wurde in den vergangenen zehn Jahren von fast allen Sicherheitsexperten der Schwerpunkt auf Vertraulichkeit und Integrität gelegt.

Verfügbarkeitsbasierte Bedrohungen oder DDoS-Angriffe sind weitgehend Neuland, welches ein differenziertes Verhalten, angepasste Infrastruktur und Reporting sowie Risk-Management-Prozesse benötigt. Darin liegt das Problem für Unternehmen und die Chance für Hacktivisten. Der Erfolg von Anonymous basiert vor allem auf der Tatsache, dass eine Vielzahl von Sicherheitsexperten nicht erkennt, wie verwundbar ihre Organisation für einen Ausfall selbst bei einfachen Angriffen ist.

3. Testen von Verfügbarkeiten, Schutzmechanismen und Schwachstellen

Es gibt bereits eine Vielzahl von Penetrationstest-Werkzeugen und jede Systemprüfung sollte einen Netzwerktest mit diesen Tools beinhalten. Diese Werkzeuge sind entweder als Freeware oder auch als kommerzielles Produkt verfügbar.

Hacktivist-Gruppen wie Anonymous veröffentlichen im Rahmen ihrer Angriffe ihre Werkzeuge. Auch diese Tools können (und sollten) für einen Test der Netzwerkinfrastruktur herangezogen und verwendet werden.

4. Seien Sie bereit für einen Dreiphasenangriff 

In der Vergangenheit haben die Sicherheitsverantwortlichen ihre Aufmerksamkeit und Aufwendungen auf folgende zwei Phasen eines Cyberangriffs ausgerichtet:

  • Pre-Attack-Phase: Hier erwerben Sicherheitsteams entsprechende Produkte zum Schutz, implementieren diese und verifizieren sie mit Pene-trationstests.
  • Post-Attack-Phase: Hier arbeiten Sicherheitsteams mit Protokollierungs- und forensischen Systemen sowie mit Sicherheitsspezialisten an der forensischen Analyse der Protokolle und den Angriffen, um dann die Erkenntnisse und Schlussfolgerungen im Rahmen von Verbesserungen entsprechend umzusetzen.

Dieses Verhalten basiert auf der aktuellen Lehrmeinung, dass Sicherheitsangriffe eine kurze Zeitdauer haben und reguläre Vorbereitungen vor einem Angriff ausreichend sind, um diesen zu widerstehen.

»Moderne« DDoS-Angriffe haben allerdings eine wesentlich längere Dauer und können bis zu mehreren Tagen oder sogar Wochen und Monaten anhalten. Es ist fast unmöglich, einen solchen Kampf zu gewinnen, wenn Sie nicht bereit sind, genügend Ressourcen während des Kampfes zu investieren. Daher stellen Sie sicher, dass in Ihrer Risikoanalyse die entsprechenden Verfahren, das notwendige Wissen und auch die nötige Ausbildung berücksichtigt sind, um solche lang anhaltenden Angriffe abzuwehren.

Risikomanagement-Modelle müssen mit der sich verändernden Landschaft der Sicherheitstechnik und den erweiterten DDoS-Angriffen Schritt halten, um das Risiko von jedem Finanzinstitut, staatlichen Organisationen oder von Unternehmen vollständig tragen zu können. Es müssen hier von Beginn an die richtigen Fragen gestellt werden, damit solche neuen Angriffsmethoden und -szenarien in den Sicherheitsmodellen und Verfahren berücksichtigt werden können und somit ein besserer Schutz für Ihre Organisation erreicht werden kann.


autor_werner_thalmeierWerner Thalmeier
ist EMEA Security Evangelist
bei Radware

[1] https://security.radware.com/uploadedFiles/Resources_and_Content/Attack_Tools/CyberSecurityontheOffense.pdf 

 

Titelbild: Shutterstock.com/Twin Design