Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

02.05.2014
von: Arbor Networks

Mit Big-Data-Techniken gegen Denial-of-Service-Angriffe

Der Kampf von IT-Sicherheitsfachleuten in Unternehmen und bei Service Providern gegen Cyber-Kriminelle und Hacktivisten ähnelt dem sprichwörtlichen Wettlauf zwischen Hase und Igel. Kaum haben die Verteidiger den Schutz gegen Denial-of-Service-Angriffe oder hoch komplexe, getarnte Attacken optimiert, nutzen Cybercrime-Spezialisten neue Sicherheitslöcher und greifen auf modifizierte Angriffswerkzeuge zurück.

Wachsender Beliebtheit erfreuen sich beispielsweise laut dem aktuellen "Worldwide Infrastructure Security Report Volume IX" von Exclusive-Networks-Partner Arbor Networks Distributed-Denial-of-Service-Angriffe (DDoS). So haben 62 Prozent der Service Provider im Jahr 2013 DDoS-Attacken auf Kunden verzeichnet, fast zwei Drittel der Diensteanbieter sahen sich mit Angriffen auf ihre eigene Netzwerk-Infrastruktur konfrontiert.

Zu denken gibt vor allem, dass die Bandbreite massiv gestiegen ist, die bei solchen Attacken eingesetzt wird. Der Extremfall erreichte sie im vergangenen Jahr mehr als 300 GBit/s. Das ATLAS® Active Threat Level Analysis System von Arbor Networks hat zudem eine massive Zunahme von DDoS-Angriffen verzeichnet, bei denen 20 GBit/s und mehr eingesetzt wurden. Das heißt, Cyber-Kriminelle und politisch motivierte Hacktivisten haben kräftig aufgerüstet und sind durchaus in der Lage, den Zugang zu Web-Seiten und Online-Diensten von Unternehmen zu blockieren.

Banken zu Vorsorge gegen DDoS-Attacken vergattert
Wie ernst selbst Behörden die Bedrohung durch DDoS-Attacken mittlerweile nehmen, belegt eine Anordnung des Federal Financial Institutions Examination Council (FFIEC), das in den USA die Arbeit der Aufsichtsgremien im Finanzbereich koordiniert. Ende März 2014 gab das FFIEC Richtlinien heraus, denen zufolge Banken und Unternehmen aus dem Finanzsektor Vorkehrungen gegen solche Angriffe treffen müssen. Eine Vorgabe ist, dass Unternehmen ein Monitoring der Zugriffe aus dem Internet auf ihre Web-Seiten durchführen. Dadurch sollen Angriffe frühzeitig erkannt werden.

Zudem verlangt das FFIEC, dass Finanzinstitute Vorkehrungen gegen DDoS-Angriffe treffen, genügend Fachpersonal einstellen und mit Service-Providern und IT-Sicherheitsfirmen zusammenarbeiten, um solche Attacken abzuwehren. Zudem müssen Firmen aus dem Finanzsektor anderen Unternehmen in der Branche Details über Angriffe mitteilen, denen sie ausgesetzt waren. Das Council hat insgesamt sechs Vorgaben erarbeitet, die von den Instituten umzusetzen sind. Damit unterstreicht das FFIEC, dass Angriffe auf die Netzwerkinfrastruktur von Finanzdienstleistern ein Problem darstellen und nicht hingenommen werden dürfen.

Angriffe im Vorfeld erkennen
Allerdings ist es leichter gesagt als getan, Cyber-Angriffe auf Web-Dienste, Server, Firewalls und Gateways proaktiv abzuwehren. Und es sind beileibe nicht nur Banken und Finanzdienstleister, die unter solchen Attacken leiden. Opfer kann jeder werden, der mittelständische Maschinenbauer ebenso wie ein weltweit aktiver Fahrzeughersteller oder Chemiekonzern. Häufig werden solche getarnten Angriffe erst erkannt, wenn es zu spät ist. Um solche Angriffe rechtzeitig erkennen zu können, muss der komplette Netzwerkverkehr protokolliert und analysiert werden – wie dies auch das FFIEC fordert.

Eine probate Möglichkeit, ein Echtzeit-Monitoring durchzuführen, bietet Pravail Security Analytics von Arbor Networks. Die Technologie dahinter stammt vom Big-Data-Spezialisten Packetloop aus Sidney (Australien). Arbor hat Packetloop im vergangenen Jahr übernommen. Die Lösung von Arbor erfasst Datenpakete in Echtzeit und analysiert diese umgehend. Dazu ist es nicht erforderlich, Zusatzprogramme oder komplexe Parser einzusetzen und Log-Dateien zu untersuchen. Auch bereits erfasste Daten können nachträglich auf Angriffsmuster hin analysiert werden. Das ist beispielsweise hilfreich, um Angriffe im Nachhinein zu untersuchen oder um bislang unentdeckte Attacken zu identifizieren. Auf diese Weise können IT-Security-Spezialisten ermitteln, welche Techniken die Angreifer verwenden und auf welche Daten und Netzwerkkomponenten sie es in erster Linie abgesehen haben.

Als Cloud-Service oder als Appliance
Ein Vorteil, gerade für den Fachhandel, ist, dass Pravail Security Analytics in zwei Varianten zur Verfügung steht. Die eine ist eine Cloud-basierte Lösung. Der Nutzer lädt in diesem Fall Daten zu einem Online-Portal hoch und lässt sie dort analysieren. Praktisch ist, dass Arbor Networks diverse Pakete mit Datenvolumina zwischen 100 GByte und 5 TByte anbietet. Auch kleinere Unternehmen haben somit die Möglichkeit, Pravail Security Analytics zu nutzen.
Wer keinen Cloud-Service nutzen möchte oder dies aus Compliance-Gründen nicht darf, kann die Lösung in Form einer Appliance im Firmennetz implementieren. Als zentrale Analysestelle dient ein Controller. Dieser steuert Datenkollektoren (Collectors) mit einer Speicherkapazität von bis zu 64 TByte. Die Daten, diese Appliances sammeln, werden in Echtzeit an den Controller übermittelt, untersucht und gegebenenfalls an andere Standorte weitergeleitet. So können Angriffe "live" protokolliert und analysiert werden.

Fazit: Ja, es gibt sie noch – die wirksamen Sicherheitslösungen
Mit Pravail Security Analytics untermauert Arbor Networks eindrucksvoll, dass eine wirkungsvolle Abwehr von Cyber-Attacken sehr wohl möglich ist, auch von ausgefeilten, komplexen Angriffen. Ein weiterer Punkt, der sowohl für Anwender als auch Fachhandels-Partner wichtig ist: Das Argument, ein SIEM-System (Security Incident and Event Management) würde den Einsatz einer Lösung wie Pravail Security Analytics überflüssig machen, ist – mit Verlaub – Humbug.

Denn eine SIEM-Appliance ist auf die Daten angewiesen, die sie von Load-Balancing-Systemen, Firewalls oder Intrusion-Prevention-Systemen erhält. Wenn diese keine Sicherheitsbedrohung erkennen (können), bleibt auch die SIEM-Lösung "blind" für entsprechende Attacken. Zudem eignet sich ein SIEM-System nicht dafür, vorausgegangene Angriffe zu untersuchen. Denn eine Firewall oder ein IDS ist nach einem Update in der Lage sein, eine neue Angriffsform zu identifizieren. Eine Analyse der Daten, welche die Systeme vor dem Update gesammelt haben, ist jedoch nicht möglich. Dies wiederum verhindert, eine Zero-Day-Attacke zu erkennen.

Pravail Security Analytics kann dagegen solche Analysen durchführen. Nur dadurch lässt sich feststellen, welche Hosts betroffen waren, ob der Angreifer diese Systeme nutzte, um von dort aus weitere Rechner oder Netzwerksystemen zu kompromittieren und ob der ungebetene Gast immer noch Zugang zum Firmennetzwerk hat.


Security-Finder Schweiz: Newsletter