IT-Security, CIO-KongressLSZ Consulting Wien, Big Data Kongress

03.05.2018

DDoS-Abwehr mit Arbor Networks

 Arbor Networks

DDoS-Angriffe: Zeitvorteil durch Automatisierung
Die Zahl der Cyberangriffe auf Unternehmen in der DACH-Region steigt und Attacken werden immer komplexer. Gerade sogenannte Distributed-Denial-of-Service (DDoS) -Angriffe stellen sowohl für Unternehmen als auch für Service Provider eine neue, vielschichtige Gefahr dar. Bei einer DDoS-Attacke werden Server, Web-Dienste, IT-Komponenten oder die IT-Infrastruktur solange mit Datenverkehr überlastet, bis diese nicht mehr verfügbar sind. Für Unternehmen, die von Online-Diensten oder Online-Transaktionen abhängig sind, stellen derartige Angriffe also ein hohes Risiko dar – seien es E-Commerce-Shops, Online-Banken oder Telekommunikationsunternehmen.

DDoS-Bedrohungen müssen schnell erkannt werden
DDoS-Attacken sind in der DACH-Region im letzten Jahr auf knapp 197.000 Angriffe gestiegen. Damit wurden Unternehmen mit 22 Attacken pro Stunde konfrontiert. Um diesen Angriffen Widerstand zu leisten, ist der Faktor Zeit entscheidend. Bereits einige Sekunden können den Unterschied zwischen erfolgreicher Abwehr und extrem kostspieligem Ausfall des Netzwerks ausmachen. Alle Maßnahmen, mit denen sich die Zeitspanne zwischen dem Erkennen einer Bedrohung (MTTD, Mean Time to Detect) und der Reaktion darauf (MTTR, Mean Time to Repair) verkürzen lässt, sind daher essenziell wichtig. IT-Sicherheitsteams stehen zudem unter enormen Druck, wenn sie ad-hoc entscheiden müssen, welche Bedrohungen echt und welche Abwehrmaßnahmen nötig sind.

DDoS-Attacken können automatisiert abgewehrt werden
Geht es also um den richtigen DDoS-Schutz, sollten Unternehmen den Aspekt der Automatisierung beachten. Eine intelligente Lösung, die Angriffe früh erkennt und Abwehrmaßnahmen automatisch einleitet bevor das IT-Team überhaupt auf die Attacke aufmerksam wird, kann den entscheidenden Zeitvorteil verschaffen. Allerdings muss sichergestellt werden, dass die Automatisierung nur den Angriffsverkehr und nicht auch den legitimen Datenverkehr blockiert. Mit anderen Worten: Die Lösung muss benutzerfreundlich sein, Kontext und unterstützende Analysen bereitstellen und darf sich nicht als „Black Box“ erweisen. Mehr als ein Drittel (36 Prozent) der Service Provider weltweit nutzt bereits Technologien für die automatisierte DDoS-Abwehr.

(NETSCOUT Arbor, 13. WISR-Sicherheitsreport / ATLAS-System, Januar 2018. Befragt wurden weltweit 390 Unternehmen, darunter Tier-1- und Tier-2/3-Service-Provider, Hosting-Provider, Mobilfunkbetreiber, Unternehmen, öffentliche Einrichtungen und andere Netzbetreiber.)

DDoS-Lösung muss integrierte Gegenmaßnahmen enthalten
NETSCOUT Arbor APS schützt Anwendungen in Unternehmen und Rechenzentren und verfügt über mehr als 30 integrierte und automatisierte Gegenmaßnahmen. Jede Maßnahme ist auf die Erkennung eines bestimmten Angriffstyps und die automatisierte Reaktion darauf spezialisiert. Beim Erkennen eines bestimmten Typs – sei es ein TCP-Syn-Flood-Angriff, ein Zugriffsversuch durch Hosts, die auf der Blacklist stehen, oder ein Mehrfachzugriff durch einen einzelnen Host – veranlasst die APS-Lösung, dass ausschließlich die für den erkannten Angriffstyp konzipierten Gegenmaßnahmen eingeleitet werden. Zugleich stellt die Lösung detaillierte Analyse- und Berichtsdaten über den jeweiligen Sicherheitsvorfall bereit.

Selbst bei der Implementierung der APS-Lösung während eines laufenden Angriffs können die Gegenmaßnahmen unmittelbar aktiviert werden, da weder eine Lernzeit noch ein Baselining nötig sind. Alle integrierten Gegenmaßnahmen sind damit sofort einsatzbereit, können aber auch auf der Basis eigener Sicherheitsrichtlinien und Risikoschwellwerte gezielt angepasst werden.

ATLAS Intelligence Feed: Beobachtung des Internet-Datenverkehrs in Echtzeit
Die ATLAS (Active Threat Level Analysis System) -Plattform von NETSCOUT Arbor mit dem weltweit umfassendsten Datenbestand an Informationen und Erkenntnissen zu Sicherheitsbedrohungen, macht Aktivitäten und Entwicklungen im Internet nahezu in Echtzeit transparent. Die gesammelten Daten werden vom ASERT-Team (NETSCOUT Arbor Security Engineering and Response Team) analysiert, kuratiert und als AIF (ATLAS Intelligence Feed) direkt in die APS- und SP/TMS-Systeme für die intelligente Abwehr von DDoS-Angriffen eingespeist. Der Feed versteht sich als eine Liste von Regeln und Risikostufen (hoch, mittel, gering) für jeden Bedrohungstyp. Über AIF werden die implementierten Arbor-Lösungen fortlaufend mit neu entwickelten Richtlinien, Regeln und ähnlichem aktualisiert. Entdeckt beispielsweise die APS-Lösung verdächtigen Datenverkehr, auf den die Kriterien aktiver Richtlinien zutreffen, wird der betreffende Verkehr automatisch blockiert und gibt in Echtzeit Auskunft, was warum blockiert wurde.

Hochvolumige DDoS-Angriffe abwehren über Cloud Signaling
Gerade vor dem Hintergrund der kürzlich erfolgten Angriffe über offene Memcached-Server sowie der Mirai- und IoT-Reaper-Botnetze empfehlen Sicherheitsexperten mehrstufige oder hybride DDoS-Lösungen. Vor allem hochvolumige und komplexe DDoS-Angriffe lassen sich nur so effektiv abwehren. Die On-Premise-Komponente erkennt und wehrt den Großteil der sogenannten „Low and Slow“-Attacken gegen Firewalls, IPS-Systeme und Geräte am Perimeter ab. Hochvolumige Angriffe werden hingegen in der Cloud auf Provider-Ebene abgewehrt. Volumetrische Attacken erreichen mittlerweile eine Größe von bis zu 1,7 Terabit pro Sekunde. Bei einer hybriden Lösung sind die beiden Komponenten so über einen Mechanismus integriert, dass die Abwehr in der Cloud automatisch aktiviert wird, wenn die Größe eines Angriffs den vorgegebenen Schwellwert überschreitet.

Der von NETSCOUT Arbor genutzte Mechanismus wird als „Cloud Signaling“ bezeichnet: Die On-Premise-Komponente (APS) kann in Echtzeit mit der Cloud-Komponente des Service Providers (SP/TMS, Arbor Cloud) kommunizieren, um die Abwehraktionen zu synchronisieren. Übersteigt die Größe eines vor Ort erkannten Angriffs den definierten Schwellenwert, kann APS per Cloud Signaling die cloud-basierten Gegenmaßnahmen automatisch aktivieren und Daten zum Angriff bereitstellen. Der Cloud-Signaling-Mechanismus kann auch manuell von IT-Sicherheitsteams ausgelöst werden.

Intelligente Automatisierung von DDoS-Gegenmaßnahmen
Um DDoS-Attacken erkennen und abzuwehren, ist Schnelligkeit das A und O. Durch die Automatisierung von Abwehrmaßnahmen können sich Unternehmen einen zeitlichen und strategischen Vorteil verschaffen. Doch marktübliche Lösungen beruhen oft in weiten Teilen oder ganz auf dem „Set and forget“-Prinzip – sie arbeiten über lange Zeiträume mit identischen Einstellungen. Dieser Ansatz setzt ein aufwendiges Baselining und Lernen voraus. Dennoch sind diese Lösungen oft nicht in der Lage, einen echten Angriff von einer Spitze im regulären Datenverkehr zu unterscheiden, und sie stellen wenig bis gar keine Analysedaten bereit. Derartige Lösungen haben zusammengefasst drei Nachteile: Maßnahmen werden auch bei falschen Positivbefunden ausgelöst, gültige Kundensitzungen werden blockiert und es mangelt an Transparenz.

DDoS-Abwehrlösungen sind ein Muss für Unternehmen
Es kommt also entscheidend darauf an, eine intelligente DDoS-Lösung zu wählen, die schnell und automatisch echte Angriffe von Spitzen im regulären Datenverkehr unterscheidet. Darüber hinaus sollte die Lösung in der Lage sein, bei einem steigenden Angriff relevante Gegenmaßnahmen dynamisch aktivieren und deaktivieren zu können. Und da Angreifer immer neue Strategien und Techniken entwickeln, müssen die automatisierten Maßnahmen flexibel zu aktualisieren, neu zu konfigurieren und feinjustieren zu sein. Schlussendlich ist eine entsprechende DDoS-Abwehrlösung ein Muss für Unternehmen und Service Provider. Denn die Folgen eines Angriffs sind durchaus schwerwiegend und werden laut der aktuellen WISR-Studie (Worldwide Infrastructure Security Report) von NETSCOUT Arbor zunehmend gravierender. Die Zahl der befragten Unternehmen und Service Provider, bei denen es infolge von DDoS-Angriffen zu Umsatzeinbußen kam, hat sich von 2016 auf 2017 nahezu verdoppelt. Darüber hinaus ist auch 2018 mit einer weiteren Zunahme der Anzahl und der Komplexität von DDoS-Angriffen zu rechnen, die sich gegen öffentliche und private Infrastrukturen richten.


Hier finden Sie weitere Informationen über die DDoS-Lösungen von NETSCOUT Arbor.