Samstag, 20. April 2024

Software und Strategien für den erfolgreichen Mittelstand

IT-Sicherheit setzt bereits im Web an

Local Security für Unternehmen

Reflection-Technologie; Quelle: Akamai

Die Bedrohungslage im Internet wächst weiter. Die Zahl der DDoS-Angriffe nimmt zu, und ihre Methoden werden ständig verfeinert. Gleichzeitig stellen Unternehmen ihre Applikationen verstärkt als Cloud-Services über das Web bereit. Die IT-Sicherheit darf sich deshalb nicht länger nur auf On-Premise-Maßnahmen beschränken.

Eine als Cloud-Service eingesetzte Web Application Firewall (WAF) dient zum Beispiel als eine Schutzschicht, die potenzielle DDoS-Angriffe auf Anwendungsebene verhindert. So erkennt und entschärft beispielsweise die Kona Web Application Firewall SQL-Injection-Angriffe innerhalb des HTTP- und HTTPS-Datenverkehrs bevor sie das Rechenzentrum eines Unternehmens erreichen.

Angriffstrends

DDoS-Prinzip; Quelle: Akamai

Weltweit gesehen stieg die Zahl der DDoS-Attacken in den vergangenen Monaten erheblich an. Im „Q1 2015 State of the Internet – Security Report“ ermittelte das Prolexic Security Engineering and Research Team (PLXsert) von Akamai, dass sie im ersten Quartal 2015 gegenüber dem Vorquartal um gut 35 Prozent wuchs. Im Vergleich zum Vorjahresquartal stieg die Zahl der weltweiten DDoS-Attacken sogar um über 116 Prozent.

Ein großer Trend bei den DDoS-Angriffen ist der verstärkte Einsatz von Reflection-Attacken, bei denen das Zielsystem nicht direkt angegriffen wird, sondern dazu Dienste wie das Domain Name System (DNS) oder das Network Time Protocol (NTP) missbraucht werden. DNS und NTP basieren auf dem User Datagram Protocol (UDP), mit dem es möglich ist, via Address Spoofing Identitäten zu verschleiern. Zunächst senden Angreifer kleine Mengen von Datenpaketen an die zwischengeschalteten Server und diese fungieren dann als Verstärker. Sie spiegeln die Anfragen und leiten sie vielfach gesteigert an das eigentliche Ziel weiter.

Aufgrund der niedrigen Investitionskosten kommen verstärkt DDoS-Mietlösungen zusammen mit kreativen Reflection-Techniken zum Einsatz. Dazu vermieten Betreiber von Bot-Netzen ihre Infrastruktur. Als Folge der problemlosen Verfügbarkeit solcher Mietlösungen sind selbst technisch wenig versierte Angreifer in der Lage, DDoS-Verfahren einzusetzen. Schätzungen zufolge handelt es sich bei nahezu der Hälfte aller Attacken um Multi-Vektor-Angriffe, bei denen mehrere Verfahren – oft kombiniert mit Reflection- Methoden – zum Einsatz kommen. Die Bedrohungslage wird daher immer komplexer.

Gleichzeitig stellen Unternehmen verstärkt Applikationen als Cloud-Services über das Web bereit, die auf beliebigen stationären und mobilen Endgeräten zugänglich sind. Ein Teil der Infrastruktur- und Applikationslandschaft befindet sich dabei im eigenen Rechenzentrum, der andere Teil bei einem oder möglicherweise sogar mehreren Cloud-Providern.

Solange sich die IT-Systemlandschaft und die Applikationen ausschließlich On-Premise befanden, konzentrierten sich die IT-Sicherheitsmaßnahmen auf einen Ort. Durch den Einsatz von Private und Hybrid Clouds hat sich das geändert. Die Verteidigungslinien zur Absicherung der Infrastruktur sollten daher verteilt über mehrere physische Standorte und Rechenzentren von Cloud- Providern verlaufen.

Eine lokale Appliance zur Abwehr von DDoS-Angriffen genügte, solange die Attacken mit Bandbreiten von 50, 100 oder 500 MBit/s erfolgten. Angriffe fangen heute jedoch oft mit 10 GBit/s an. Damit ist nahezu jedes On-Premise-Equipment überfordert. Die herkömmlichen Ansätze mit Firewalls im eigenen Rechenzentrum greifen vor dem Hintergrund der neuen Bedrohungslage zu kurz.

Sicherheitsstrategie

Um den weit verbreiteten und sich stetig ändernden Bedrohungen aus dem Internet wirksam begegnen zu können, sollten sich Unternehmen die verteilte Natur des Internets bei der Entwicklung und Umsetzung ihrer IT-Sicherheitsstrategie zunutze machen. Ebenso wie die Angriffe immer komplexer und vielschichtiger werden, müssen auch die Abwehrmaßnahmen mehrstufige, tiefgestaffelte Strukturen aufweisen. Erforderlich ist ein breit gefächerter und effizienter Schutz mit mehreren überlappenden Sicherheitsschichten, die unterschiedliche Methoden und Verfahren zum Schutz vor Bedrohungen verwenden. Cloudbasierte Services, wie sie beispielsweise die Akamai Intelligent Platform bietet, bilden dabei das Herzstück einer Lösung, die den Schutz und die Verfügbarkeit von kritischen Unternehmensapplikationen und -daten gewährleistet. Ein solcher Ansatz überwindet die Schwächen herkömmlicher Perimeter- und interner Sicherheitsverfahren.

Ein mehrstufiger Ansatz nutzt die verteilte Architektur des Internets und damit dessen Skalierbarkeit und Flexibilität, um die Infrastruktur, Web- Applikationen sowie Datenbanken zu schützen und Ausfälle zu vermeiden. Cloud-basierte Sicherheits- und Verfügbarkeitslösungen bieten eine Always-On- oder auch eine On-Demand-Security, sie sind hochskalierbar, hochverfügbar und reduzieren für die Unternehmen die Total Cost of Ownership für Planung und Wartung ihrer IT-Sicherheitsmaßnahmen.

Dafür wird eine hochverteilte, netzwerkübergreifende Cloud-Infrastruktur benötigt, die das Umleiten von Angriffen nah am Ursprung sowie Echtzeitreaktion auf Veränderungen ermöglicht. Eine Cloud-Security-Lösung muss darüber hinaus in der Lage sein, häufig auftretende DDoS-Attacken baldmöglichst zu stoppen. Angriffe, die auf die unteren Ebenen des TCP/IP-Stacks zielen, sollten frühzeitig abgewehrt werden. Wenn der Traffic für die Netzwerkebene nicht die erforderlichen Informationen zur Weiterleitung an die Webseiten eines Unternehmens enthält, wird automatisch angenommen, dass es sich hier entweder um böswilligen oder fehlerhaften Traffic handelt.

Attacken auf Applikationen

Targeting-Prinzip; Quelle: Akamai

Im Unterschied zu Angriffen auf die Infrastrukturebene lassen sich Cyber-Attacken auf die Applikationsebene nicht automatisch stoppen. Solche Angriffe kommunizieren typischerweise in Form legitimer Anfragen mit Websites und Applikationen. Sie versuchen dabei, den Server mit unvollständigen, fehlerhaften oder einer exzessiven Menge von Anfragen zu blockieren.

Um eine erfolgreiche Verteidigung gegen Application-Layer-DDoS-Attacken bieten zu können, sollte eine weltweit aktive Cloud-Security-Plattform über genügend Kapazitäten verfügen, um auch großvolumige HTTP Floods und DNS Floods zu absorbieren, bevor sie eine Applikation erreichen können. Eine weitere Möglichkeit besteht darin, den Angriffs-Traffic zu „Reinigungszwecken“ auf spezielle Rechenzentren umzuleiten. In einem solchen Scrubbing-Center wird der bösartige Datenverkehr entfernt und legitimer Datenverkehr mit nur minimaler Verzögerung weitergeleitet.

Eine als Cloud-Service eingesetzte Web Application Firewall (WAF) dient als eine weitere Schutzschicht, die potenzielle DDoS-Angriffe auf Anwendungsebene verhindert. So erkennt und entschärft beispielsweise die Kona Web Application Firewall der Akamai Intelligent Platform SQL-Injection-Angriffe innerhalb des HTTP- und HTTPS-Datenverkehrs bevor sie das Rechenzentrum eines Unternehmens erreichen.

Sie kann als primäre Firewall für Applikationen oder als leistungsfähige Erweiterung einer bereits bestehenden IT-Security-Infrastruktur eingesetzt werden. Ein weiteres wichtiges Element in einer umfassenden Verteidigungsschicht bildet der hochskalierbare Schutz gegen Domain-Name-System (DNS)-Attacken. Die DNS-Infrastruktur übersetzt die Web-Hostnamen in IP-Adressen, damit eine bestimmte Website aufgefunden wird. Gleichzeitig ist die DNS-Infrastruktur oft einer der Schwachpunkte in der Web-Architektur.

Jürgen Metko

Hier geht es zu Akamai

Anmeldung

anmelden

Kennwort vergessen?

Logo Solutions for Business

Tel: +49 8191 9649-0
Fax: +49 8191 70661
E-Mail: service@itp-verlag.de