kaptn - Fotolia
Wie sich Unternehmen auf DDoS-Angriffe vorbereiten sollten
Neben Maßnahmen zur Erkennung und Abwehr von DDoS-Attacken gehört zur guten Vorbereitung ein Vorfallreaktionsplan, damit sich die Schutzinvestitionen nicht als nutzlos erweisen.
Deutsche Unternehmen sahen sich im Jahr 2017 insgesamt 16 DDoS-Attacken pro Stunde ausgesetzt. Diese Distributed-Denial-of-Service-Attacken summierten sich 2017 auf insgesamt 142.800 und traten damit nicht nur häufiger, sondern auch deutlich komplexer als bisher auf.
Ziel der Angreifer ist es, Internetservices, IT-Komponenten oder die IT-Infrastruktur eines Unternehmens zu verlangsamen, gänzlich lahmzulegen oder zu schädigen. Im Zuge eines DDoS-Angriffs werden die Server oder andere IT-Komponenten mit einer Vielzahl an Anfragen so lange angegangen, bis diese aufgrund des auftretenden Datenverkehrs nicht mehr verfügbar sind. Die Angreifer nutzen dazu tausende vernetzte Computer, Server und mangelhaft gesicherte IoT-Geräte, um ein großes Angriffsvolumen generieren zu können.
Anfang März 2018 wurde der bisher größte DDoS-Angriff mit 1,7 Terabit pro Sekunde gemessen. Ziel war laut Netscout Arbor ein in den USA ansässiges Unternehmen.
Um ein Angriffsvolumen dieser Größenordnung nutzen zu können, missbrauchten die Angreifer ungesicherte memcached-Server als Verstärker. Zwar wurden die zweckentfremdeten Server inzwischen vom Netz genommen, Angriffe im Terabit-Bereich werden aber in Zukunft häufiger auftreten. Netzbetreiber und Unternehmen müssen sich darauf vorbereiten.
Gezielte Vorbereitung ist der Schlüssel
Neben einem zuverlässigen Schutz zur Erkennung und Abwehr von DDoS-Angriffen gehört zu einer guten Vorbereitung auch ein Incident Response Plan (IRP), oder auf Deutsch ein Vorfallreaktionsplan. Dieser enthält Prozesse, die im Falle eines DDoS-Angriffs sofort eingeleitet werden können. Existiert ein solcher Plan nicht, können sich die getroffenen Investitionen in Schutz- und Abwehrmechanismen als teilweise oder sogar vollkommen nutzlos erweisen. Dies wird am Beispiel eines internationalen Gaming-Portals deutlich.
Die Betreiber des Portals wähnten sich durch ihre Investitionen in die Dienstleistungen eines namhaften Providers ausreichend geschützt. Dies stellte sich als Irrglaube heraus, als an einem Sonntag die Plattform durch gezielte Angriffe zum Erliegen gebracht wurde. Die wenigen Personen, die für einen solchen Vorfall geschult wurden, waren an diesem Tag nicht im Dienst und es dauerte entsprechend lange, bis der Vorfall an die passende Stelle gemeldet wurde.
Da die Abläufe im Ernstfall vorher nicht festgelegt wurden, führte dies zu Missverständnissen und die Zeitspanne bis zur erfolgreichen Abwehrmaßnahme wurde um ein Vielfaches vergrößert. Als Folge war die Gaming-Plattform für mehr als 90 Minuten nicht erreichbar, in dieser Branche eine Katastrophe für die Betreiber.
Zusätzlich zum direkten wirtschaftlichen Schaden sahen sich die Betreiber auch mit einem Reputationsverlust und einem damit einhergehenden Verlust der Kundenbindung konfrontiert. Dem Unternehmen mangelte es also an klaren Richtlinien, wie auf einen Angriff reagiert werden sollte, welche Prozesse in Gang gesetzt und welche Personen informiert werden müssen. Denn an einen hierauf ausgelegten Vorfallreaktionsplan denken die meisten Unternehmen erst, wenn es bereits einen kritischen Angriff gab.
Ein Vorfallreaktionsplan für DDoS-Angriffe
Ein erfolgreicher Incident Response Plan sollte idealerweise in sechs Phasen unterteilt werden. Diese sind jedoch nicht linear, sondern als iterativer Prozess zu verstehen.
Planung und Vorbereitung: In der ersten und zugleich kritischsten Phase wird die Basis für den Reaktionsplan geschaffen. Wie bereits angesprochen, sollten sich Unternehmen unbedingt schon vor einem Angriff über ein adäquates Vorgehen und mögliche Gegenmaßnahmen Gedanken machen. Schon im Vorfeld müssen also ein Team und Verantwortlichkeiten verbindlich festgelegt werden. Für die Kommunikation während eines Angriffs sollte sich ein Unternehmen von dem Denkschema verabschieden, dass DDoS-Attacken in die Zuständigkeit des Sicherheitsteams fallen. Vielmehr ist das Netzwerkteam verantwortlich, wenn es um hochvolumige Attacken geht. Daher sollten Unternehmen bidirektionale Informations- und Kommunikationsströme aufsetzen – also wer wen und wann benachrichtigen sollte. Ebenso erweisen sich regelmäßige Schulungen und Notfallübungen für das vorab definierte Team als hilfreich, um diese für den Ernstfall vorzubereiten.
Identifizieren der Probleme: Um angemessen reagieren zu können, sollten sich Unternehmen auch mit der Motivation, den Angriffsvektoren und den Techniken der Angreifer auseinandersetzen. Darüber hinaus muss eine umfassende Transparenz des Netzwerks gewährleistet werden. Dadurch wird es überhaupt erst möglich zu beurteilen, ob die nachlassende Leistung oder die Nichterreichbarkeit eines Dienstes durch einen internen Fehler oder tatsächlich über einen DDoS-Angriff ausgelöst wird. Netzwerk-Monitoring-Lösungen gewähren also den notwenigen Einblick in den Datenverkehr, um hierüber schnell eine Aussage treffen und Probleme diagnostizieren zu können.
Klassifizierung von Angriffen: Wird ein Angriff festgestellt, müssen Unternehmen schnellstmöglich identifizieren, welcher Art dieser ist. Denn erst so kann beurteilt werden, wie sich der Angriff voraussichtlich entwickelt. Und erst darauf basierend können die passenden Gegenmaßnahmen eingeleitet werden. Zum Beispiel müssen bei einem Session-basiertem Angriff, der auf die Infrastruktur zielt, Firewall und Load-Balancing-Komponenten beobachtet werden.
Rückverfolgung der Angriffe: Unternehmen sollten sich ebenso zeitnah damit beschäftigten, woher der Angriff stammt und welche Auswirkungen dieser auf das Netzwerk hat. So kann abgeleitet werden, ob weitere, bereits vorher aufgetauchte Probleme innerhalb des Netzwerks auf diesen Angriff zurückzuführen sind.
Reaktion: Es existiert kein universelles Tool oder Verfahren, das alle Eventualitäten eines Angriffs abdecken könnte. Mit den gewonnenen Informationen über eine Attacke können Unternehmen allerdings sicherstellen, ob sie die für den jeweiligen Angriff am besten geeignetste Abwehrmaßnahme ergreifen. Es zahlt sich aus, ein möglichst weitgefächertes Toolkit zu verwenden und die Reaktionsmaßnahmen weitestgehend zu automatisieren.
Folge-Analyse: Der Incident Response Plan sollte fortlaufend aktualisiert und dadurch verbessert werden. Um dies zu realisieren, müssen Unternehmen alle Erkenntnisse eines Angriffs festhalten und analysieren. Dabei wird im Idealfall im Auge behalten, welche Konsequenzen sich aus dem Vorfall ziehen lassen. An welchen Stellen sollte nachgebessert werden? Gibt es eine Möglichkeit, beim nächsten Angriff noch schneller zu reagieren? Ebenso empfiehlt es sich, die Folgen eines Angriffs wie etwa die Nichterreichbarkeit eines Dienstes und die geschätzten Ausfallkosten genau zu dokumentieren. Dazu gehören beispielsweise auch die sicherlich angefallenen Überstunden von Mitarbeitern.
Hybrider DDoS-Schutz ist erfolgskritisch
Die meisten Sicherheitsanalysten empfehlen zur DDoS-Abwehr eine hybride Lösung aus Cloud- und On-Premises-Komponenten. Diese arbeiten im Optimalfall reibungslos zusammen und können einen DDoS-Angriff verhindern, noch bevor das Unternehmen ihn überhaupt bemerkt. Die Schutzeinrichtungen vor Ort und in der Cloud arbeiten also voll automatisiert zusammen und können Abwehrmaßnahmen einleiten.
„Die meisten Sicherheitsanalysten empfehlen zur DDoS-Abwehr eine hybride Lösung aus Cloud- und On-Premises-Komponenten.“
Guido Schaffner, Netscout Arbor
Diese Automatisierung bietet einen enormen Vorteil – nicht zuletzt, weil sie dem Unternehmen einen Zeitvorteil verschafft. Außerdem können gerade hochvolumige Angriffe im Terabit-Bereich nicht vom Unternehmen allein abgewehrt werden, hier benötigen sie Unterstützung auf Provider-Seite oder in der Cloud. Auch dieser Aspekt sollte in einem IRP und bei den Kommunikationswegen bedacht und festgehalten werden.
Über den Autor:
Guido Schaffner ist Channel Sales Engineer bei Netscout Arbor.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
