Internet Service Provider berichten über massive Angriffe

DDoS-Angriffe noch immer die akuteste Gefahr für ISPs

(02.10.06) - Arbor Networks veröffentlichte in Zusammenarbeit mit der Community für Internet-Netzwerksicherheit ihren Jahresbericht zur weltweiten Infrastruktursicherheit. Dieser Report ist die zweite Ausgabe der jährlichen Umfragen zur Betriebssicherheit, die Netzwerkbetreibern dabei helfen sollen, fundierte Entscheidungen über den Einsatz der Netzwerksicherheitstechnik zum Schutz unternehmenskritischer Infrastruktur zu treffen. Der Bericht bezieht sich auf die zweite Hälfte des Jahres 2005 und enthält Antworten von 55 Netzwerkbetreibern, die sich als Tier-1-, Tier-2- und Hybrid-IP-Netzwerkbetreiber in Nordamerika, Europa und Asien bezeichnen.

Wichtigste Erkenntnisse: Angriffe nehmen zu In der zweiten Umfrage wurde festgestellt, dass die DDoS-Angriffe noch immer die akuteste Gefahr für ISPs darstellen. Sechs Jahre nach der ersten Welle spektakulärer DDoS-Attacken setzen die befragten Netzbetreiber noch immer die meisten Ressourcen für die Bekämpfung von DDoSAngriffen ein, weit abgeschlagen danach folgen andere Sicherheitsbedrohungen wie Würmer und andere Botnet-Angriffe. Neben den DDoS-Angriffen, die in den meisten Fällen mit Botnets gestartet werden, sind die Netzbetreiber am meisten über andere böswillige Aktivitäten besorgt, die mit Hilfe von Botnets ausgeführt werden. Dazu gehören beispiels-weise Phishing, Spam, ID-Diebstahl und Formlogging.

Von den Antwortgebern, die Botnet-Bedrohungen als Hauptproblem einstuften, ermittelte Arbor Networks folgende Trends:

· die Steuer- und Überwachungskanäle lassen sich schwerer infiltrieren und werden besser kontrolliert;

· viele Bots, Botnets und Firepower existieren als Varianten älterer Bots und sind noch immer eine Gefahr;

· die Bots tarnen sich besser, sind schwieriger zu entfernen und besser organisiert;

· die Botnets sind schwieriger zu bekämpfen, haben mehr Funktionen, sind flexibler und besser gegen Erkennung und Analyse geschützt;

"Einer der Hauptgründe, weshalb Bots heute schwerer zu enttarnen sind, liegt darin, dass nicht sofort zu erkennen ist, dass sie für böswillige Aktivitäten genutzt werden", sagte Craig Labowic, Direktor für Netzwerkarchitektur bei Arbor Networks. Es werden nicht mehr tonnenweise leicht erkennbare Angriffsdaten im Netzwerk übertragen, sondern heute versuchen die Botnets das "ISP-Radar" zu umgehen, um die Erkennung und Beseitigung deutlich zu erschweren.

Weitere Erkenntnisse aus dem Bericht:

· Die „Feuerkraft“ der Angriffe nimmt zu. Aus den Antworten der ISPs lässt sich ableiten, dass die Häufigkeit und der Umfang von Supra-Backbone-DDoS-Angriffen mit mehreren Gigabit weiter zunehmen. Die ISPs melden jetzt regelmäßig Angriffe, die die Kapazität der Core-Backbones übersteigen, d. h. größer als 10 bis 20 GBps sind. Gefördert wird dies durch die Verbreitung von Breitband-Internetverbindungen weltweit und das Zusammenfließen der Netzwerke.

· Zombie-Regel: Trotz aller Versuche der Anbieter von Firewalls, IDs und Betriebssystemen gibt es nach wie vor Millionen Systeme mit Sicherheitslücken, die für DDoS und andere illegale Aktivitäten genutzt werden können.

· Die ISPs unterbrechen die Verbindungen. Da eine moderne Infrastruktur und moderne Tools oft fehlen, begrenzen die meisten ISPs Angriffe nur dadurch, dass sie den gesamten Traffic zum Opfer filtern. Damit werden zwar die ISP-Backbones erfolgreich gegen einen Kollaps durch DDoS-Angriffe geschützt, diese "Gegenmaßnahme“ kann jedoch noch größere Schäden anrichten als der eigentliche DDoS-Angriff.

· Es werden weniger Angriffe an die Behörden gemeldet. Obgleich im Durchschnitt pro Monat 40 Kunden von Angriffen betroffen sind, werden von den ISPs die meisten Angriffe den Behörden nicht gemeldet.

· Die "Schurkenwirtschaft“ expandiert. Es ist deutlich zu beobachten, dass Botnets eingesetzt werden, um sich finanzielle Vorteile zu verschaffen – die "Spielregeln“ ändern sich mit der Weiterentwicklung der Botnets.

· Die ISPs haben nach wie vor ein Ertragsproblem. Die Netzwerkbetreiber befürchten, dass sich die ISPs bei einer stärkeren Fokussierung auf die Kosten-Nutzen-Relation in punkto Infrastruktursicherheit, insbesondere bei der Abwehr von Botnets in einer sehr schwierigen Position befinden könnten. Wenig mehr als die Hälfte der ISPs glaubt heute, dass infizierte Hosts abgewehrt werden könnten. Die übrigen ISPs sind der Ansicht, dass dies extrem schwierig werden dürfte, ohne neue Ertragsquellen zu erschließen, um diese Investitionen zu finanzieren.

Aufgrund immer neuer Gefahren für die Netzwerksicherheit, untersuchte die Studie die Bedrohung der Infrastruktursicherheit durch DNS- und VoIP-Angriffe. Etwa die Hälfte der befragten ISPs gab an, dass sie Mechanismen zur Erkennung von DNS- und VoIP-Bedrohungen installiert habe. Bei vielen Anbietern befinden sich kommerzielle VoIP-Dienste noch in der Planungs- oder Installationsphase, und es wurden nur wenige Angriffe gegen die VoIP-Infrastruktur gemeldet; die Anbieter erkennen jedoch zunehmend, dass hier eine neue Gefahr entsteht. „Die gute Nachricht dabei ist, dass die ISPs modernere Systeme zur Abwehr von Angriffen installieren als je zuvor“, meinte Danny McPherson, Chief Research Officer bei Arbor Networks.

"Da neue Sicherheitsbedrohungen entstehen und andere Sicherheitsbedrohungen wie Botnet-Angriffe immer ausgeklügelter, umfassender und destruktiver werden, sollen diese Jahresberichte den ISPs Entscheidungshilfe geben, wie sie ihre unternehmenskritische Infrastruktur schützen müssen. Unser Ziel ist es letztendlich, praktische Hinweise zu den Ergebnissen des Berichts zu liefern, die die Netzbetreiber sofort für ihre Programme zur Netzwerksicherheit nutzen können."

Methodik

Diese Ausgabe der Umfrage besteht im Gegensatz zu den 32 Fragen der letzten Ausgabe aus 65 Multiple-Choice-Fragen sowie offenen Fragen, die sich mit den wichtigsten Problemen zur Betriebs-sicherheit befassen, denen sich die Netzwerkbetreiber heute gegenüber sehen. Die Fragen betrafen Themen im Zusammenhang mit Angriffen gegen die Backbone-Infrastruktur und Einzelkunden, den Einsatz von Schutzmechanismen für die Netzwerkinfrastruktur und den Einsatz von Mechanismen zur Erkennung und Abwehr von Sicherheitsverletzungen. Es wurden nicht nur die Tier-1 ISPs sowie große Content- und Hosting-Anbieter und eine umfassende Auswahl von Tier-2-Netzbetreibern befragt, sondern auch eine Vielzahl von "Hybridnetzbetreibern“. Hybridnetze sind große, global verteilte Unternehmensnetzwerke mit mehreren Internet-Zugängen, die für das Unternehmen sowohl die traditionellen Dienste für die Endanwender als auch die Netzwerkanbindung bereitstellen. (Arbor Networks: ra)