Verteilte Dienstblockaden

Wie sich DDoS-Angriffe gewandelt haben

| Autor / Redakteur: Guido Erroi* / Stephan Augsten

Bei einer kurzen Zeitspanne ist nicht von volumetrischen DDoS-Angriffen auszugehen.
Bei einer kurzen Zeitspanne ist nicht von volumetrischen DDoS-Angriffen auszugehen. (Bild: Corero Network Security)

Aktuelle DDoS-Angriffe sind häufig und unterscheiden sich recht deutlich von den volumetrischen Denial-of-Service-Attacken, die dieser Angriffsform einst den Namen gegeben haben. Die notwendigen Tools lassen sich im Dark Web problemlos zusammenstellen und „einkaufen“.

Unternehmen sind in ihrer Geschäftstätigkeit auf eine störungsfreie Verbindung zum Internet angewiesen. DDoS-Angriffe von außen betreffen jedoch praktisch jede Firma und sind nach Einschätzung des BSI (Bundesamt für Sicherheit in der Informationstechnik) neben Advanced Persistent Threats immer noch eine der Bedrohungen, die am häufigsten vorkommen.

Um sich vor dieser Art von Angriffen schützen, muss man allerdings jederzeit transparent nachvollziehen können, was genau gerade passiert und zusätzlich sämtliche Sicherheitsvorfälle post mortem analysieren. Etliche Lösungen zur Abwehr von DDoS-Angriffen konzentrieren sich dabei allein auf Bandbreiten-Spitzen, die stark von der durchschnittlichen Bandbreite abweichen.

Solche Analysen bieten aber wenig bis gar keine Einsicht in die verschiedenen Ebenen eines Angriffs. Anormale Spitzen sind nur die eine Seite der Medaille. Die andere sind kritische Angriffsvektoren, die bei dieser Betrachtungsweise unter den Tisch fallen. Gerade sie besitzen allerdings das Potenzial, die Geschäftstätigkeit nachhaltig zu schädigen. Angesichts veränderter Cyberrisiken sind traditionelle Lösungen an dieser Stelle daher nicht immer effektiv genug.

Zudem gibt es inzwischen eine Vielzahl (mehr oder weniger frei) verfügbarer Software-Tools, mit denen sich DDoS-Angriffe recht leicht umsetzen lassen. Dazu kommen Dienste, die über das sogenannte „Dark Web“ angeboten werden – ganz ähnlich wie legitime Software oder Cloud Services.

Diese Tools haben das Gesicht von DDoS-Angriffen verändert. Cyber-Kriminelle sind jetzt in der Lage, intelligente und ausgefeilte Attacken mit vergleichsweise geringem Aufwand zu lancieren. Angriffe, die sich direkt gegen sensible Daten und Werte richten und die in der Lage sind, einem Unternehmen auf lange Sicht Schaden zuzufügen.

DDoS als Ablenkungstaktik

Heutzutage können DDoS-Angriffe deutlich mehr, als „nur“ Dienste zu unterbrechen oder dafür zu sorgen, dass Webseiten nicht mehr erreichbar sind. Die Experten von Corero Network Security beobachten seit gut einem Jahr eine stark steigende Zahl von kurzzeitigen DDoS-Angriffen, die nur wenig Bandbreite für sich beanspruchen.

Die Zahl der DDoS-Angriffe nimmt weiter zu.
Die Zahl der DDoS-Angriffe nimmt weiter zu. (Bild: Corero Network Security)

Angriffe dieser Art, die einen Dienst nicht unbedingt zum Erliegen bringen, gewinnen neben den bekannten volumetrischen Angriffen zunehmend an Bedeutung. Der DDoS Trends and Analysis Report von Mitte 2015 bescheinigt denn auch 95 Prozent der erfassten DDoS-Angriffe eine Dauer von weniger als 30 Minuten. Etliche Attacken beanspruchen weniger als ein Gbps (Gigabit pro Sekunde) an Bandbreite und dauern weniger als fünf Minuten.

Ziel solcher Angriffe ist es folglich nicht, einen Dienst komplett lahmzulegen. Worin besteht es aber dann? Der „Denial of Service“, der diesem Phänomen einst den Namen gegeben hat, ist es ja ganz offensichtlich nicht. Was ist der Sinn und Zweck von DDoS-Angriffen, bei denen es nicht mehr darum geht, die IT-Infrastruktur zu blockieren, Hosting-Kunden mit gefälschtem Traffic auszumanövrieren oder mit riesigen Datenvolumina zu überschwemmen?

Die Antwort: Treffen solche kurzlebigen Angriffe mit geringer Bandbreite ungehindert auf ein Netzwerk, haben sie potenziell gravierende Folgen. Sie sind nämlich durchaus geeignet, traditionelle IT-Sicherheitssysteme auszuhebeln. Beispielsweise produzieren Angriffe dieser Art überflüssige DDoS-Event-Logs. Das führt unter Umständen dazu, dass wichtige Event-Daten gerade nicht geloggt, die verschiedenen Sicherheits-Layer neu gestartet oder in den Fall-Back-Modus versetzt werden.

Das schwächt die Netzwerksicherheit, da diese Angriffe kaum nachzuvollziehen sind und folglich unentdeckt bleiben. Die ursprüngliche DDoS-Attacke leistet ganze Arbeit und „beschäftigt“ alle verfügbaren Sicherheitsressourcen. Und zwar so, dass sie nicht mehr in der Lage sind ihre eigentliche Funktion wahrzunehmen.

Multi-Vektor-Angriffe und adaptive DDoS-Techniken etablieren sich

Immer noch verbinden die meisten mit der Bezeichnung „DDoS“ automatisch Angriffe mit nur einem Angriffsvektor, nämlich dem volumetrischen. Solche Angriffe, die eine enorme Bandbreite verbrauchen, sind sehr viel leichter zu identifizieren und abzuwehren. In-house- oder Cloud-basierte Lösungen zur DDoS-Abwehr oder eine Kombination aus beiden sind probate Mittel. Analysen von Corero haben jedoch neben der steigenden Zahl von Brute-Force-Angriffen mit mehr als einem Angriffsvektor noch etwas anderes zu Tage gefördert.

Hacker gehen demnach verstärkt dazu über, sich mithilfe adaptiver Techniken ein genaueres Bild von der jeweiligen Sicherheitsinfrastruktur zu machen. Auf Basis dieses Profils konzipieren sie dann maßgeschneiderte Zweit- und Drittattacken, die die Sicherheitsebenen genau dieses Unternehmens gezielt umgehen. Auch wenn volumetrische Angriffe weiterhin die häufigste Form der DDoS-Attacke sind, etablieren sich daneben gemischte und adaptive Angriffsformen.

Mehr DDoS-Transparenz für IT-Abteilungen

Die Bedrohungslandschaft hat sich beim Thema DDoS grundlegend gewandelt – und mit ihr die Aufgaben von Sicherheits- und Datenschutzbeauftragten. Für ganze Abteilungen geht es zwingend darum, mehr Einsicht in genau die Angriffe zu bekommen, die sich innerhalb eines Netzwerks unerkannt verbergen.

Jedes Unternehmen, dessen Geschäftstätigkeit auf einer Verbindung zum Internet basiert, muss über diese Art von Angriffen im Detail Bescheid wissen und ihre Natur vollständig verstehen. Das gilt auch für die Bedrohungen, die im Schlepptau von DDoS-Angriffen auftreten. Im Idealfall hat der Verantwortliche den vollen Überblick über seine IT-Umgebung.

Zentrale Dashboards, hinter denen eine entsprechende Sicherheitsintelligenz liegt, leisten inzwischen eine ganze Menge: Sie identifizieren Anzeichen für unterschiedliche volumetrische Attacken (wie beispielsweise Reflection-, Amplification- und Flooding-Attacken), aber auch zielgerichtete Angriffe, sogenannte „low and slow“-Angriffe, genauso wie Daten zu bereits kompromittierten Servern, Ports, Diensten, böswillig manipulierten IP-Adressen und Botnetzen.

Gerade per „Low & Slow“-Attacke gelingt es dabei regelmäßig, das Radar traditioneller Scrubbing-Lösungen zu unterlaufen. Nicht selten werden sie von Cloud-basierten DDoS-Lösungen „übersehen“, weil diese sich nur auf stichprobenartige Analysen verlassen. Es gilt, aus dem riesigen Volumen an Event-Logs die Informationen herauszufiltern, die tatsächlich bedeutsam sind.

Um die berühmte Stecknadel im Heuhaufen zu finden, kombinieren aktuelle Lösungen den In-line-Schutz bei der Abwehr von DDoS-Angriffen mit der Fähigkeit die Event-Daten innerhalb einer Big-Data-Plattform zu analysieren. Sie enttarnt verborgene Muster, identifiziert Schwachstellen innerhalb des Datenstroms beziehungsweise sortiert sie Informationen aus der Fülle anfallender Event-Daten heraus.

Guido Erroi
Guido Erroi (Bild: Corero Network Security)

Aufgrund dieser Analysen fällt die Entscheidung für entsprechende Gegenmaßnahmen automatisch. Lösungen dieser Art machen es IT-Sicherheitsverantwortlichen deutlich leichter, auf die Veränderungen innerhalb der DDoS-Bedrohungslandschaft zu reagieren.

* Guido Erroi ist Regional Sales Director bei Corero Network Security.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44120605 / Monitoring und KI)