Fünf Wege zum Schutz vor DDoS-Attacken

VeriSign empfiehlt Maßnahmen zum Schutz vor immer ausgereifteren Distributed-Denial-of-Service-Angriffe

(21.05.10) - VeriSign, Anbieterin von Infrastrukturdiensten für die vernetzte Welt, hat einen Report veröffentlicht, der wirksame Strategien zum Schutz vor Distributed Denial-of-Service-Angriffen vorstellt. Bei DDoS-Attacken werden Rechner des Opfers von vielen verschiedenen Systemen aus gleichzeitig angegriffen, um sie durch Überlastung zu blockieren.

Das White Paper "DDoS Mitigation: Best Practices for a Rapidly Changing Threat Landscape" beschreibt detailliert, wie Hacker immer ausgefeiltere Techniken benutzen, um die bekannten DDoS-Abwehrmaßnahmen, wie beispielsweise die Bereitstellung zusätzlicher Bandbreiten, Firewalls und Intrusion Prevention Systeme (IPS) zu überlisten. DDoS-Angriffe überlasten Netzwerke mit einer Flut von Datenpaketen aus verschiedenen Quellen.

Ein DDoS-Zustand entsteht, indem Serverbandbreite belegt oder der Server selbst beeinträchtigt wird. Eine große Rolle spielen dabei Botnetze aus ferngesteuerten Rechnern, mit denen sich groß angelegte Angriffe ausführen lassen. Solche Attacken können Webseiten für Stunden oder sogar Tage blockieren. Der finanzielle Schaden für die Unternehmen kann in die Millionen gehen und auch der Image-Schaden ist in der Regel erheblich.

Einer Forrester-Umfrage unter IT-Entscheidern zufolge waren im vergangenen Jahr 74 Prozent der befragten Unternehmen von einer oder mehreren DDoS-Attacken betroffen. In einem von drei Fällen gelang es den Hackern, den Service des Unternehmens zu stören, und das obwohl diese Unternehmen Sicherheitsmaßnahmen zum Schutz vor DDoS-Attacken getroffen hatten.

Als einen Grund für den Erfolg der Hacker nennt der Bericht die Weiterentwicklung der Angriffs-methoden im letzten Jahr. Hacker attackieren sehr gezielt Webseiten, indem sie hunderttausende Bots einsetzen, die speziell entwickelt sind, um eine bestimmte Seite mit Traffic zu überlasten. Außerdem verwenden sie rekursive Domain Name System (DNS)-Server, um ihre Angriffe zu verstärken. Bei diesen Reflection-Flood-Techniques werden die Angriffe von den DNS-Servern wieder zurück zum Opfer gesendet. Hacker verwenden auch raffinierte Application-Level-Attacken, die schwerer zu erkennen sind, weil sie den legitimen Datenverkehr imitieren. Selbst Amateure mit kleinem Budget können erfolgreiche Angriffe mithilfe von gemieteten Botnets für weniger als 200 Dollar für 24 Stunden durchführen.

Fünf Best Practices zur Abwehr von DDoS-Angriffen

Auf Basis der praktischen Erfahrungen, die VeriSign mit DDoS-Attacken gemacht hat, nennt das Whitepaper eine Reihe von Best Practices, die Unternehmen helfen, mit neuen DDoS- Angriffs-methoden Schritt zu halten und die Auswirkungen solcher Attacken auf den Geschäftsbetrieb zu minimieren.

· Datensammlung zentralisieren und Trends verstehen. Es ist wichtig zu verstehen, wie der normale Traffic aussieht, um Abweichungen schnell und präzise identifizieren zu können. Durch die Zusammenarbeit mit erfahrenen Sicherheitsexperten können Unternehmen Trends und Bedrohungen besser erkennen. Und sie können wirksame Systeme zur Warnung, Abwehr und zur Aufzeichnung von DDoS-Attacken einführen.

· Definieren Sie eine klare Abwehrstrategie. Eine schnelle und wirksame Reaktion ist der Schlüssel zur Abwehr von DDoS-Attacken. Deshalb brauchen Unternehmen klar definierte systematische Prozesse und Methoden wie zum Beispiel die präventive Festlegung eines Eingriffsteams und die Vorbereitung auf mögliche Ausfallzeiten. So kann der Betrieb schneller und mit geringerem Schaden wiederhergestellt werden.

· Nutzen Sie mehrschichtige Filter. Wenn unerwünschter Netzwerkverkehr blockiert wird, muss der reguläre Traffic dennoch ungestört weiterlaufen können. Einige Angriffe können durch die Implementierung von Filtern auf der Netzwerkebene abgewehrt werden, komplexe Attacken müssen bis zur Anwendungsschicht analysiert und gefiltert werden.

· Flexibilität und Skalierbarkeit einplanen. Eine skalierbare, flexible Infrastruktur hilft sicherzustellen, dass Systeme auch während einer Attacke einwandfrei funktionieren. IT-Manager sollten die Grenzen von IT-Komponenten testen, um ihre Schwachstellen zu kennen. Es ist besser, auf verschiedene Hard- und Softwaresysteme zu setzen, damit der Angriff auf eine Plattform nicht das gesamte Netzwerk lahm legt. Und darüber hinaus sind alle möglichen Maßnahmen umzusetzen, die per Lastverteilung innerhalb der Infrastruktur die On-Demand-Kapazitäten absichern.

· Anwendungs- und Konfigurationsprobleme ansprechen. DDoS-Attacken haben sich von Brute-Force-Angriffen hin zu Methoden zur unterschwelligen Infiltration der Anwenderschicht entwickelt. Deshalb benötigen Unternehmen einen besseren Einblick in Anwendungen und ihre Schwachstellen. Ein Vorschlag des Whitepapers: Sehr einfache Konfigurationen und bekannte Anwendungsschwachstellen eliminieren.

Wachsender Bedarf an Managed Services

Für Unternehmen, die sich derzeit durch eigene Lösungen vor DDoS-Angriffen schützen, mögen die Best Practices abschreckend wirken. Die Einführung dieser fünf Maßnahmen kann aufwendig und zeit- und ressourcenintensiv sein und verlangt nicht nur den Einsatz von Experten sondern auch der neuesten Technologien.

Trotzdem bringen DDoS-Abwehrservices Vorteile, die eigene Lösungen nicht bieten können:

· Filterung des schädlichen Datenverkehrs bereits vor dem Unternehmensnetzwerk - sozusagen "in-the-Cloud".

· Enorme Kapazität und hohe Skalierbarkeit: Websites werden ständig aktualisiert und global verteilt, damit sie auch vor den größten DDoS-Angriffen geschützt sind.

· Weltweite Beziehungen mit Netzbetreibern, ISPs und anderen Netzwerkanbietern gewährleisten zusätzliche Sicherheitsmaßnahmen.

· 24-Stunden-Management: Die Sicherheitsanalytiker von VeriSign stehen rund um die Uhr zur Erkennung von Angriffen und zur Schadensminimierung zur Verfügung.

"Das vergangene Jahr hat gezeigt, dass die DDoS-Bedrohung ein bewegliches Ziel ist. Eines, dass immer ausgefeilter wird, häufiger auftritt und dessen Abwehr immer schwieriger wird", sagt Ken Silva, CTO von VeriSign. "Wir haben dieses Whitepaper als Leitfaden für Unternehmen entwickelt, die sich der wachsenden Bedrohung schneller anpassen wollen, um ihr Geschäft, die Kunden-bindung und die Netzwerkzuverlässigkeit zu sichern. Da eigene Maßnahmen oft zu teuer oder äußerst arbeitsaufwendig sind, geben wir Tipps, was Unternehmen bei der Auswahl einer DDoS-Abwehrlösung beachten sollten." (VeriSign: ma)