beebright - stock.adobe.com
So sind Anwendungen vor neuartigen Angriffen geschützt
Attacken auf die Netzwerk- und Transportschicht werden zunehmend durch Angriffe auf die Anwendungsschicht abgelöst. Unternehmen müssen ihre Security-Maßnahmen überprüfen.
Die Technologien entwickeln sich immer weiter. Dies gilt nicht nur für Unternehmen, sondern auch für Cyberkriminelle. Zum Beispiel überschwemmten die ersten Denial-of-Service-Angriffe (DoS) Server auf der Netzwerk- und Transportebene (Layer 3 und 4) mit Anfragen nach TCP- oder UDP-Verbindungen.
Diese volumetrischen Angriffe werden nun zunehmend durch HTTP/HTTPS-Anfragen oder API-Aufrufe ersetzt, welche die Anwendungsschicht (Layer 7) attackieren. Dabei starten Cyberkriminelle oft Distributed Denial-of-Service-Angriffe (DDoS), indem sie viele Computer zu einem Botnetz verbinden. Die größere Anzahl der Anfragen und die verteilte Natur erschweren es, die Quelle zu identifizieren und zu blockieren.
DoS-Attacken nehmen zu
Diese Art von Angriffen nimmt überall auf der Welt zu und beeinträchtigt die User Experience durch langsame oder nicht erreichbare Anwendungen. Aktuelle Studien bestätigen, dass DoS-Angriffe zu den beliebtesten Angriffsarten gehören. Dies ist zum Teil auf die stärkere Verbreitung von APIs zurückzuführen.
Demnach haben Layer-7-Angriffe in den letzten beiden Jahren um 20 Prozent zugenommen. Das Ausmaß und die Schwere ihrer Auswirkungen stiegen um fast 200 Prozent. Dabei hat auch die stärkere Digitalisierung im Zuge der COVID-19-Pandemie im Jahr 2020 zu mehr DDoS-Angriffen geführt.
Eine neue Art von Angriff
Cyberattacken auf Layer 7 haben sich aber bereits zuvor als Reaktion auf die zunehmende Komplexität des Internets und der Anwendungsarchitekturen entwickelt. Volumetrische Angriffe auf die Layer 3 und 4 – wie UDP Reflection sowie ICMP und SYN Flooding – sind nicht mehr so häufig wie früher. Das liegt auch an den jahrelang entwickelten und bereits breit eingeführten Abwehrmechanismen. Diese erhöhen deutlich den zeitlichen und finanziellen Aufwand für die Angreifer.
Daher wenden sie sich stärker der Anwendungsebene zu. Doch einerseits sind Layer-7-Angriffe komplexer durchzuführen als Netzwerkangriffe. Andererseits bieten viele Security-Tools für Layer-3/4-Angriffe keinen Schutz für moderne Anwendungsarchitekturen. DDoS-Angriffe auf Layer 7 sind schwieriger zu erkennen, da Bots und Automatisierung es ermöglichen, die Attacke als legitimen Datenverkehr zu tarnen. Das gelingt vor allem dann, wenn sie ausgefeilte Penetration-Tools verwenden.
Baut der Hacker ein Botnetz auf, kann er Tausende kompromittierte Rechner unter seine Kontrolle bringen und auf einfache Weise hochskalierte Angriffe starten. So benötigen Unternehmen regelmäßige Einblicke in das Verhalten von Anwendungen. Dazu sollten sie Baselines erstellen, die normales Verhalten kennzeichnen. Dann lassen sich automatisch Abweichungen davon erkennen. Dies gibt einen wichtigen Hinweis auf möglichen bösartigen Datenverkehr, den das Sicherheitsteam gezielt analysieren kann.
Smart Devices erhöhen die Gefahr
Heute werden neben Anwendungen auch Geräte immer schneller entwickelt. Dies führt zu neuartigen IT-Umgebungen, in denen neue Schwachstellen und dadurch auch weitere Angriffsmöglichkeiten entstehen.
Eine erhebliche Gefahr entsteht dabei durch intelligente Geräte. Laut Omdia gab es im Jahr 2020 weltweit 23,5 Milliarden Geräte im Internet der Dinge (IoT). Ende 2021 sind es voraussichtlich 27,8 Milliarden. Mehr Smart Devices bedeuten aber auch mehr Sicherheitslücken. Da Telefone, Fernsehgeräte und Kühlschränke zu vernetzten IoT-Geräten werden, ermöglichen mangelnde Sicherheitsmaßnahmen deren einfache Eingliederung in Botnetze. Mit dem gesteigerten Datenverkehr im Zuge von 5G dürften DoS-Angriffe bei unzureichenden Kontrollen weiter zunehmen.
„Derzeit richten sich Angriffe zunehmend auf Apps, APIs und andere Anwendungsressourcen, um die Nutzererfahrung zu beeinträchtigen und dadurch Unternehmen zu schädigen.“
Roman Borovits, F5
Neben der Gefahr durch vermehrte DoS-Attacken steigen auch die möglichen Kosten für die Opfer. Denn viele Unternehmen haben in der Pandemie ihre digitale Transformation beschleunigt und sind dadurch noch abhängiger vom Internet geworden. So kann ohne geeignete Schutzmaßnahmen die Wiederherstellung der Systeme nach einem Angriff mehrere Tage oder gar Wochen dauern.
Wichtige Sicherheitsmaßnahmen
Doch wie können sich Unternehmen vor Layer-7-Attacken schützen? Grundsätzlich benötigen sie ein Tool, das einen Angriff auf die Website erkennt. Dazu muss es legitimen von bösartigem Datenverkehr unterscheiden. Dies ist nicht nur in traditionellen Umgebungen mit weitgehend einheitlicher Struktur nötig, sondern auch in modernen, verteilten App-Architekturen, die Microservices und Kubernetes nutzen. Hierfür ist ein neuer Ansatz erforderlich, der genauso anpassungsfähig und dynamisch ist wie die modernen Umgebungen, die er absichert.
Daher benötigen Unternehmen einen DoS-Schutz, der sowohl in aktuellen als auch in künftigen IT-Landschaften funktioniert. Dabei ändern sowohl die Angreifer ihre Strategien als auch die Nutzer und Dienste ihr Verhalten ständig. So müssen die Abwehrmechanismen in der Lage sein, diese Veränderungen auf beiden Seiten zu beobachten und ihre Reaktion kontinuierlich daraufhin anzupassen. Dazu sollten sie folgende Eigenschaften aufweisen:
- Nahtlose Integration. Starke und leistungsfähige Sicherheitskontrollen müssen sich in moderne Infrastrukturarchitekturen reibungslos einbinden lassen.
- Hohe Performance. Die Security-Lösung darf die User Experience und die Anwendung selbst nicht beeinträchtigen – weder unter normalen Bedingungen noch während eines Angriffs. Kontinuierliches Monitoring und Echtzeitsignaturen mit Zero-Day-Angriffsschutz gewährleisten optimale Anwendungsleistung und effektive Abwehr.
- Agile Sicherheit. Sicherheitsmechanismen sind in Continuous Integration and Development (CI/CD) Pipelines zu integrieren. Dies beseitigt betriebliche Ineffizienzen durch automatisches Baselining und aktiviert einen Blockierungsmodus bei ungeprüftem Code. Die Sicherheit lässt sich dann automatisieren, um eine „Security as Code“-Integration mit DevOps-Tools zu ermöglichen. Dies verhindert, dass Innovationen durch Sicherheitsprüfungen gebremst werden.
- Angriffe proaktiv verhindern. Mit Tools, die aus dem Verhalten von Nutzenden und Diensten lernen, können Unternehmen Attacken erkennen und abwehren, bevor Schaden entsteht. Bei jeder entdeckten Verhaltensanomalie wird automatisch eine entsprechende Gegenmaßnahme eingeleitet.
- Kosteneffizient und schnell. DevSecOps-Teams können Sicherheitskontrollen in CI/CD Pipelines integrieren. Einfache Konfiguration ermöglicht dabei einen kosteneffizienten Schutz im großen Maßstab für verteilte App- und API-Umgebungen wie Microservices. Dies beseitigt Reibungen zwischen DevOps- und SecOps-Teams, wodurch die schnelle Entwicklung und Bereitstellung von Apps gewährleistet wird.
Zum Schutz vor Layer-7-DoS-Attacken sind also flexible und anpassungsfähige Sicherheitslösungen für moderne, dynamische IT-Landschaften nötig. Nur dann bleibt die Website jederzeit schnell und sicher verfügbar.
Fazit
Aktuelle und künftige IT-Landschaften erfordern moderne Security-Lösungen. Derzeit richten sich Angriffe zunehmend auf Apps, APIs und andere Anwendungsressourcen, um die Nutzererfahrung zu beeinträchtigen und dadurch Unternehmen zu schädigen. Ein für Layer 7 geeigneter DoS-Schutz ist daher entscheidend, damit Nutzende ohne Unterbrechung auf die gewünschten Dienste zugreifen können.
Über den Autor:
Roman Borovits ist Senior Systems Engineer DACH bei F5.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
