DDoS-Angriffe: 6 Schritte, wie Sie sich zur Wehr setzen
Distributed Denial of Service(DDoS)-Attacken können ganze Plattformen lahmlegen. Unternehmen sollten sich schützen. Foto: beebright/Fotolia
Das musste etwa der Betreiber eines internationalen Gaming-Portals schmerzlich erfahren: Durch die Investition in die DDoS Managed Services eines namhaften Providers wähnte sich das Unternehmen gut geschützt – bis an einem Sonntag die Plattform durch gezielte Angriffe komplett lahmgelegt wurde. Die wenigen Personen in der Organisation, die Vorfälle an den DDoS-Provider eskalieren konnten, hatten frei und waren unglücklicherweise nicht sofort erreichbar. Als schließlich alle Beteiligten verfügbar waren, gab es zusätzlich Missverständnisse bei der Einwahl in die Telefonkonferenz mit dem Service-Provider, sodass weitere wertvolle Reaktionszeit verloren ging.
Folglich wurden die Abwehrmaßnahmen viel zu spät eingeleitet und die Plattform war für mehr als 90 Minuten nicht erreichbar. Da Online-Gamer qualitativ hochwertige und superschnelle Dienste erwarten, ist ein Totalausfall für sie nicht akzeptabel – und die Auswahl an alternativen Gaming-Plattformen ist groß. In diesem Fall belief sich der Schaden für den Betreiber des Gaming-Portals auf mindestens 1 Mio. US-Dollar. Nicht berücksichtigt sind dabei die indirekten Kosten durch den Reputationsverlust und die Aufwendungen zur Stärkung der Kundenbindung, das heißt die Behebung der langfristigen Folgen des erfolgreichen DDoS-Angriffs.
Ohne IRP wird es im Ernstfall eng
Was war falsch gelaufen? Das kleine Sicherheitsteam glaubte, dass das Unternehmen durch die Managed Services des renommierten Providers gegen DDoS-Angriffe gewappnet sei. Es übersah aber (und wurde vom Provider nicht entsprechend aufgeklärt), dass gerade schnelles Reagieren entscheidend für eine erfolgreiche Abwehr ist. Es gab nie eine Schulung für das Sicherheitsteam, es gab nie Notfallübungen und es gab keinen umsetzbaren Prozess, der nicht vom Wissen und der Kompetenz einzelner Personen abhing.
An solch einen IRP wird oft erst gedacht, nachdem eine Organisation Ziel eines DDoS-Angriffs wurde. Doch wie sieht ein effektiver IRP-Prozess aus? Es ist hilfreich, ihn zunächst in sechs Phasen zu untergliedern, die folgende Aspekte abdecken: Planung und Vorbereitung, Notfallübungen, Definition des notwendigen Monitoring und der Maßnahmen während eines Angriffs und schließlich die Auswertung der Folgen, um beim nächsten Mal besser reagieren zu können (und es wird ein nächstes Mal geben). Diese Phasen sind allerdings nicht linear, sondern als iterativer Prozess zu verstehen.
1. Planung und Vorbereitung
Dies ist die vielleicht schwierigste, aber auch kritischste Phase – denn hier wird die Basis für den Reaktionsplan geschaffen. Ohne adäquate Vorbereitung ist das Scheitern fast schon vorprogrammiert: In dem Moment, in dem ein Angriff erfolgt, ist es zu spät, um noch über die richtige Reaktion zu diskutieren.
Stellen Sie ein Team zusammen und legen Sie die Verantwortlichkeiten fest. Die Reaktion auf komplexe Angriffe wird oft im Zuständigkeitsbereich von Sicherheitsteams gesehen, während für den DDoS-Schutz in aller Regel nicht das Sicherheitsteam, sondern das Netzwerkteam verantwortlich ist. Für die Kommunikation während eines Angriffs ist es aber entscheidend, dieses Denkschema aufzubrechen. Etablieren Sie bidirektionale Informations- und Kommunikationsströme: Wer verständigt wen und wann?
Machen Sie sich mit Ihren Gegnern vertraut, damit sie deren Motivation und Techniken sowie die Angriffsvektoren verstehen, die wahrscheinlich gegen Sie verwendet werden. Verstärken Sie Ihre Abwehrmechanismen und sorgen Sie dafür, dass die Tools für die Abwehr der Angriffe jederzeit einsatzbereit sind. Überprüfen Sie im Detail die Belastbarkeit Ihrer Infrastruktur und aller zugehörigen Geräte. Machen Sie Stresstests, damit Sie keine böse Überraschung erleben, wenn bei einem Angriff die Kapazitätsgrenzen überschritten werden.
Am wichtigsten ist jedoch, dass Sie Ihr Team schulen und regelmäßig Notfallübungen durchführen. Die Vorbereitung ist ein fortlaufender Prozess. Bei einem Angriff sind souveränes Agieren und ein kühler Kopf gefragt. Panik ist dagegen völlig fehl am Platz.
2. Identifizierung
Damit Unternehmen beurteilen können, ob die unzureichende Leistung eines Diensts oder einer Anwendung durch DDoS-Angriffsverkehr verursacht wird oder Folge einer fehlerhaften Netzwerkkonfiguration ist, benötigen sie umfassende Transparenz über ihr Netzwerk. Vor-Ort-Lösungen verschaffen die erforderlichen Einblicke in den Datenverkehr, so dass Probleme zeitnah diagnostiziert und die Leistung optimiert werden kann. Zugleich verschaffen sie den IT- und Netzwerkteams einen wertvollen Zeitgewinn.
3. Klassifizierung
Um welche Art von Angriff handelt es sich? Die Antwort auf diese Frage sagt Ihnen, wie sich der Angriff aller Voraussicht nach entwickeln wird und welche Gegenmaßnahmen zu ergreifen sind.
4. Rückverfolgung
Stellen Sie die Angriffsquelle fest: Wo hat der Angriff seinen Ausgangspunkt? Wo und wie wirkt er sich auf das Netzwerk aus? Auf der Basis dieser Informationen können Sie klären, ob auch andere, im Netzwerk festgestellte Probleme auf den Angriff zurückgehen.
5. Reaktion
Mit den Informationen, die Sie durch das Identifizieren, Klassifizieren und Rückverfolgen eines Angriffs gewinnen, können Sie sicherstellen, dass Sie für den jeweiligen Angriff die am besten geeignete Abwehrmaßnahme einsetzen. Es gibt allerdings kein universelles Tool oder Verfahren, das alle Eventualitäten abdeckt. Es zahlt sich daher aus, ein möglichst vielfältiges Toolkit einzusetzen und die Reaktionsmaßnahmen weitestgehend zu automatisieren.
6. Post-Mortem-Analyse
Analysieren Sie den Sicherheitsvorfall: Welche Konsequenzen lassen sich daraus ziehen? Was kann verbessert werden? Gibt es einen Schritt, der generell übersehen wurde? Wie lässt sich erreichen, dass beim nächsten Mal die Reaktion schneller und einfacher erfolgt und die Folgen weniger gravierend sind? Bringen Sie alle konkreten Erkenntnisse und Schlussfolgerungen in Phase 1 ein und implementieren Sie sie in Ihre Vorbereitungsmaßnahmen.
Reaktionsvermögen durch Best-Practice-Schutz stärken
Die leidvollen Erfahrungen des Gaming-Plattform-Betreibers zeigen, wie wichtig eine hybride Lösung aus Cloud- und Vor-Ort-Einrichtungen für den DDoS-Schutz ist: Dieser Ansatz wird heute von den meisten Sicherheitsanalysten als Best Practice für die DDoS-Abwehr betrachtet.
Bei ausschließlicher Nutzung eines Cloud-Diensts liegt es oft im Verantwortungsbereich des Kunden, den MSSP über einen beginnenden Angriff zu informieren. Vor Ort implementierte DDoS-Lösungen (ob Appliance oder virtuelle Lösung) bieten hohe Netzwerktransparenz und verfügen über zahlreiche integrierte Gegenmaßnahmen, die beim Erkennen eines Angriffs automatisch und ohne manuelle Intervention eingeleitet werden – im Normalfall, bevor Sie überhaupt auf den Angriff aufmerksam werden. Dies verschafft Ihnen einen wertvollen Zeitgewinn, um Ihren IRP zu initiieren und zu koordinieren.
Beim Best-Practice-Szenario sind die Schutzeinrichtungen vor Ort und in der Cloud nahtlos integriert. Über das innovative „Cloud Signaling“ weist die Vor-Ort-Appliance die Cloud-Infrastruktur an, Abwehrmaßnahmen einzuleiten, wenn bösartiger Datenverkehr in Ihrem Netzwerk eine kritische Kapazitätsgrenze erreicht.
Automatisierung alleine reicht nicht
Die Automatisierung ist ohne Frage ein entscheidender Vorteil für die Reaktionsfähigkeit bei Sicherheitsvorfällen. Sie sollten sich aber nicht ausschließlich darauf verlassen und zusätzlich einen soliden und verlässlichen IRP parat haben. Es ist eine Tatsache, dass Angreifer modernste Technologien nutzen; ihr eigentlicher Vorteil liegt jedoch in ihrer ausgeklügelten Vorgehensweise. Aus diesem Grund erfordert ein effektiver Reaktionsplan ebenfalls eine solche Kombination aus innovativer Technologie und menschlicher Intelligenz, da sich nur so raffinierte DDoS-Angriffe erfolgreich abwehren lassen. Das A und O bleiben jedoch regelmäßige Notfallübungen und Stresstests.
Christian Reuss ist Sales Director DACH beim Softwareentwickler Arbor Networks.