:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
DDoS-Attacken abwehren Automatische Abwehr von DDoS-Angriffen
Die Zahl der DDoS-Angriffe auf Unternehmen in der DACH-Region steigt. Die Attacken werden dabei immer komplexer und erreichen laufend neue Volumen-Rekorde. Außerdem kombinieren Cyberkriminelle zunehmend unterschiedliche Angriffsmethoden und Verschleierungstaktiken, um bestehende Abwehrmechanismen in Unternehmen auszuhebeln.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Mit 22 DDoS-Angriffen pro Stunde waren Unternehmen 2017 in der DACH-Region konfrontiert. Und Attacken erreichten in diesem Jahr bereits Rekord-Spitzenwerte von bis zu 1,7 Terabit pro Sekunde. Angriffe nehmen aber nicht nur an Volumen zu, sondern werden auch komplexer.
DDoS-Angriffe richten sich oft gegen mehrere Ziele gleichzeitig – von der Bandbreite über Anwendungen bis hin zur vorhandenen Infrastruktur in Form von Netzwerk-Firewalls, WAF (Web Application Firewalls) und IPS-Komponenten (Intrusion-Prevention-Systeme). Darüber hinaus kombinieren Cyberkriminelle zunehmend unterschiedliche Angriffsmethoden und Verschleierungstaktiken, um bestehende Abwehrmechanismen in Unternehmen auszuhebeln. Wie kann also eine effektive Abwehrtaktik aussehen?
:quality(80)/images.vogel.de/vogelonline/bdb/1423900/1423975/original.jpg "2017 wurden Unternehmen in Deutschland knapp 143.000 Mal angegriffen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1423900/1423976/original.jpg "Im März hat Setscout Arbor einen rekordverdächtigen DDoS-Angriff mit 1,7 Terabit pro Sekunde gemessen.")
Eine Schutzebene ist zu wenig
Komplexere Angriffsmethoden verknüpfen unter anderem volumetrische Offensiven mit Überlastungsattacken und Angriffen auf Applikationsebene. Hochvolumige Angriffe belegen, wie der Name besagt, enorm viel Bandbreite, indem sie Leitungen und Router-Schnittstellen im Netzwerk mit Daten überfluten. Überlastungsangriffe (TCP State Exhaustion) zielen hingegen darauf ab, in Geräten der Internetinfrastruktur, wie Firewalls und Load-Balancern, alle verfügbaren TCP-Verbindungen zu belegen. Angriffe auf Applikationsebene führen ganz allmählich, und damit schleichend, zur Überlastung der Ressourcen von Applikationsservern.
Ob es Unternehmen gelingt, sich vor solchen mehrstufigen Attacken zu schützen, hängt wesentlich davon ab, wie schnell sie reagieren. Dabei spielen die Faktoren Erkennung von Gefahren, ihre automatisierte Abwehr und die anschließende Reaktion auf derartige Sicherheitsvorfälle eine zentrale Rolle.
Unternehmen müssen Angriffe schnell erkennen
Analysen großer bekannter DDoS-Sicherheitsvorfälle belegen, dass die Aktivitäten von Angreifern oft bemerkt und sogar von den Sicherheitssystemen erkannt werden. Das Problem ist daher eine gewisse Alarmmüdigkeit. Sicherheitssysteme erhalten so viele falsche Alarme, dass die tatsächlichen Angriffe oft in der Masse untergehen. Um diesem entgegenzuwirken, sollte die automatisierte Angriffsabwehr für Sicherheitsteams einen hohen Stellenwert haben. Denn eine automatisierte DDoS-Verteidigungslösung kann Angriffe frühzeitig erkennen und entsprechende Gegenmaßnahmen autonom, also ohne menschliche Hilfe, einleiten – und dem Unternehmen somit Zeit verschaffen.
Außerdem enthalten geeignete DDoS-Lösungen Abwehrmaßnahmen, die bestimmte Angriffstypen identifizieren. So kann beim Erkennen eines bestimmten Typs – sei es ein TCP-Syn-Flood-Angriff, ein Zugriffsversuch durch Hosts, die auf der Blacklist stehen, oder ein Mehrfachzugriff durch einen einzelnen Host – die Lösung ausschließlich die für den erkannten Angriffstyp konzipierte Gegenmaßnahme einleiten.
Mehrstufige Angriffe erfordern mehrstufige Abwehr-Strategien
Darüber hinaus sind sich Sicherheitsexperten einig, dass Unternehmen auf mehrstufige Abwehrmaßnahmen setzen sollten. Mehrstufige Abwehrlösungen setzen sich aus einer vor Ort installierten Komponente und aus einer Cloud- beziehungsweise ISP-basierten Komponente zusammen.
Die On-Premises-Komponente ermöglicht dabei die sofortige Erkennung und Bekämpfung von Angriffen, bevor es zu Auswirkungen auf Dienste kommt. Außerdem eignet sich diese besonders für die Abwehr von Attacken auf Anwendungsebene. Allerdings ist die Vor-Ort-Lösung nicht in der Lage, die zunehmend häufiger auftretenden hochvolumigen Angriffe abzuwehren, die dazu führen, dass die Internetkonnektivität nicht mehr gewährleistet werden kann. Hier kommt nun der Cloud- bzw. ISP-basierte Dienst ins Spiel. Übersteigt die Größe eines vor Ort erkannten Angriffs einen definierten Schwellenwert, können cloudbasierte Gegenmaßnahmen automatisch aktiviert werden. Dies ist von zentraler Bedeutung, da Angriffe im Terabit-Bereich, wie diese kürzlich über Memcached-Server erfolgten, von On-Premises-Installationen nicht mehr bewältigt werden können.
Vorfall-Reaktionsplan aufsetzen
Neben einem zuverlässigen Schutz zur Erkennung und Abwehr von DDoS-Angriffen gehört zu einer guten Vorbereitung auch ein Incident Response Plan (IRP). Dieser enthält im Vorfeld definierte Prozesse, die im Falle einer DDoS-Attacke sofort eingeleitet werden können. In diesem Plan sollten Unternehmen unter anderem organisationsweit klar geregelte Kommunikationswege, Eskalationsstufen, Verhaltensweisen, mögliche Abwehrmaßnahmen und Taktiken, Erkenntnisse aus bereits erfolgten Angriffen und Schulungsintervalle für Mitarbeiter festlegen.
Ein Augenmerk sollte hierbei auch auf die Klassifizierung von Attacken gelegt werden. So können betroffene Unternehmen beurteilen, wie sich ein Angriff voraussichtlich entwickeln wird. Erst dann ergibt es Sinn, passende Gegenmaßnahmen einzuleiten. Nur mit den gewonnenen Informationen über eine Attacke können Unternehmen sicherstellen, dass sie die für den jeweiligen Angriff am besten geeignetste Abwehrmaßnahme ergreifen. Hier zahlt es sich aus, ein möglichst weitgefächertes Toolkit zu verwenden und die Reaktionsmaßnahmen weitestgehend zu automatisieren.
Außerdem ist die Rückverfolgung einer Attacke unerlässlich. Auch dies sollte im IR-Plan festgelegt sein. So kann abgeleitet werden, ob weitere, bereits vorher aufgetauchte Probleme innerhalb des Netzwerks auf diesen Angriff zurückzuführen sind. Denn häufig werden Systeme angegriffen, die als unkritisch oder produktionsfern eingestuft werden, aber letztendlich den Zugang zum Netzwerk ermöglichen.
DDoS-Abwehrlösungen sind ein Muss für Unternehmen
Ein Incident-Response-Plan sollte fortlaufend aktualisiert und dadurch verbessert werden. Existiert ein solcher Notfallplan nicht, können sich die getroffenen Investitionen in technische Schutz- und Abwehrmechanismen als teilweise oder sogar vollkommen nutzlos erweisen. Und um sich im Falle eines Angriffs wichtige zeitliche Vorteile zu verschaffen, sollten Unternehmen eine intelligente DDoS-Lösung wählen, die schnell und automatisch echte Angriffe von Spitzen im regulären Datenverkehr unterscheiden kann. Denn Cyberkriminelle können gerade über hochvolumige DDoS-Reflection-Angriffe die gesamte IT-Infrastruktur von Unternehmen über Tage und Wochen lahmlegen. Eine gute Vorbereitung bevor der Ernstfall eintritt und eine effektive Lösung in Petto zu haben, sind daher das A und O für eine schnelle Reaktionszeit im Wettrennen gegen die Angreifer.
Über den Autor: Guido Schaffner ist Channel Sales Engineer bei Netscout Arbor. Dort ist er verantwortlich für die DDoS-Abwehrlösungen von Netscout Arbor sowie das Channel-Geschäft in der DACH-Region. Er ist seit über 20 Jahren in der IT-Branche tätig und verfügt über umfassende Erfahrung in der Netzwerktechnik und dem -management sowie in der IT-Sicherheitstechnik.
(ID:45391733)
:quality(80)/images.vogel.de/vogelonline/bdb/1930300/1930320/original.jpg "DDoS-Attacken treffen die Achillesferse der globalen IT-Sicherheit. (Pablo Lagarto - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1952100/1952116/original.jpg "Im zweiten Halbjahr 2021 wurden zwei Direct-Path-Flooding-Angriffe von mehr als 2,5 Tbps über neue Mirai-Botnets der Serverklasse gestartet. (sdecoret - stock.adobe.com)")