Die heutigen DDoS-Angriffe: Die Wahrheit von der Fiktion trennen
Distributed-Denial-of-Service-Angriffe (DDoS) nehmen in einem noch nie dagewesenen Ausmaß zu. Laut dem VeriSign Distributed Denial of Service Trends Report gab es im vierten Quartal 2015 einen 85-prozentigen Anstieg der DDoS-Angriffe im Vergleich zu 2014.1 Sie nehmen nicht nur quantitativ zu, sondern auch in ihrer Komplexität und in der Schwere der Schäden, die sie anrichten. Häufig sind DDoS-Angriffe mit Ransomware, Hackerangriffen und Cyberkriegsführung zwischen Nationalstaaten verbunden. Und zu allem Überfluss nehmen auch die wiederholten Angriffe gegen dieselbe Organisation zu.
Wenn also Ihr Netzwerk scheinbar reibungslos funktioniert und Sie glauben, dass Sie unmöglich von einem DDoS-Angriff betroffen sein können, dann sollten Sie noch einmal darüber nachdenken. Die neuesten DDoS-Angriffe sind viel schwieriger zu erkennen als je zuvor. Zu wissen, womit man es zu tun hat, ist der erste Schritt zum Aufbau einer besseren DDoS-Abwehr.
Mythos 1: DDoS-Angriffe treten nur in großem Maßstab auf - mit Hunderten von Gigabits.
Realität: Die Wahrheit ist, dass die meisten modernen DDoS-Angriffe gar nicht groß sind und im Durchschnitt nur zwischen 30 und 40 Gbit/s betragen. Das Problem ist, dass es sich häufig um schwer zu erkennende, langsame Anwendungsangriffe oder volumetrische Angriffe handelt, bei denen mehrere Systeme oder Botnets eingesetzt werden, um die Netzwerkschichten mit Datenverkehr zu überfluten. Diese Angriffe, die leicht mit minimalen Ressourcen gestartet werden können, können dennoch erhebliche Auswirkungen haben.
Mythos 2: Unser Netzwerk oder Dienst ist nicht ausgefallen, also werden wir auch nicht angegriffen.
Realität: Ungewöhnlich langsame Netzwerkleistung ist wahrscheinlich auf einen DDoS-Angriff zurückzuführen. Ausgeklügelte DDoS-Angriffe sind so konzipiert, dass sie jederzeit gleichzeitig angreifen und die Reaktionszeiten verlangsamen, was zu einer geringeren Kundenzufriedenheit führen kann - ein großer Grund zur Sorge.
Mythos 3: DDoS-Angriffe sind wirklich nicht so schlimm. Niemand wird den Unterschied bemerken, also werde ich mir keine Sorgen machen.
Realität: Tatsächlich sind sie schlimmer, als Sie vielleicht glauben. Die durchschnittliche Ausfallzeit eines DDoS-Angriffs - zu der Abstürze, Verlangsamungen und verweigerter Kundenzugang gehören können - beträgt 17 Stunden und kann bis zu 36 Stunden betragen. All diese Stunden bedeuten erhebliche Umsatzeinbußen und eine geringere Kundentreue.
Mythos 4: Der beste Schutz gegen Multi-Vektor-DDoS ist der Cloud-Schutz.
Realität: Externe Cloud-DDoS-Lösungen eignen sich hervorragend für volumetrische Angriffe, aber nicht für Angriffe auf der Anwendungsebene. Die beste Lösung für fortschrittlichen Multi-Vektor-DDoS-Schutz ist eine hybride Lösung, die Ihnen die vollständige Kontrolle über die Datenströme gibt - ohne Verzögerungen - und die Bedenken hinsichtlich der Sicherheit Ihrer wichtigen Daten verringert. Tatsächlich sind 36 % der Teilnehmer einer aktuellen IDG-Umfrage der Meinung, dass eine hybride Lösung (vor Ort mit einer Cloud-Bursting-Option) die effektivste Lösung zur Abwehr von DDoS-Bedrohungen ist.
Mythos 5: DDoS ist ein Problem der Netzwerkverwaltung.
Realität: Vom technischen Standpunkt aus gesehen stimmt das. Da DDoS-Angriffe jedoch von Natur aus bösartig sind und den Betrieb eines Unternehmens potenziell gefährden können, müssen Sicherheitsteams, einschließlich des CSO, mit dem IT-Team des Netzwerks zusammenarbeiten, um den Schaden einzudämmen, darauf zu reagieren und Abhilfe zu schaffen. Mit überwältigender Mehrheit bestätigten 95 % der Teilnehmer an der IDG-Umfrage, dass DDoS ein Problem ist, das nicht von den Sicherheitsteams und nicht von den Netzwerkteams verursacht wird.
Mythos 6: Ich habe eine Firewall und ein Intrusion Detection System (IDS), also bin ich vor DDoS geschützt.
Realität: Die heutigen komplexen DDoS-Angriffe nutzen oft gefälschten Datenverkehr, der aus mehreren Quellen stammt, und Firewalls können das nicht bewältigen. DDoS-Angriffe mit mehreren Vektoren zehren auch schnell an den CPU-Ressourcen älterer Geräte, wodurch Firewalls und IDS unwirksam werden. Heutzutage müssen Unternehmen über skalierbare Lösungen nachdenken und nicht nur über einfache Firewalls, denn DDoS-Angriffe haben an Umfang und Raffinesse zugenommen (Beispiel: Angriffe auf der Anwendungsebene). Dies wird durch die IDG-Umfrage bestätigt: Die Befragten gaben an, dass sie mit allen drei Arten von DDoS-Angriffen konfrontiert sind: Angriffe auf Netzwerkebene (35 %), volumetrische Angriffe (34 %) und Angriffe auf Anwendungsebene (30 %).
Mythos 7: Ich möchte nicht zu viel investieren, also reicht eine "gute Lösung" aus.
Realität: Die gefährlichsten Multi-Vektor-DDoS-Angriffe umfassen volumetrische Angriffe und Angriffe auf der Anwendungsebene, so dass eine Verteidigung, die sich nur mit routinemäßigen, leicht zu erkennenden Bedrohungen befasst, nicht ausreicht. Um die DDoS-Angriffe von heute und morgen abwehren zu können, benötigen Sie einen aggressiven Abwehrplan. Entscheiden Sie sich für eine bewährte, leistungsstarke und flexible Lösung, die von renommierten Unternehmen eingesetzt wird, die eine sofortige Reaktion benötigen, und die von Branchenexperten unterstützt wird.
Bereiten Sie sich auf die Zukunft vor
Wenn es um DDoS-Angriffe geht, zahlt es sich aus, sich auf die Zukunft vorzubereiten. Sie können davon ausgehen, dass sich diese Bedrohungen weiterentwickeln und immer raffinierter und ausweichender werden. Integrieren Sie A10 Thunder TPS (Threat Protection System) in Ihren Schutzplan. Unsere fortschrittliche, stets aktive Lösung deckt das gesamte Spektrum der Multi-Vektor-DDoS-Angriffe ab und blockiert sie, bevor sie Schaden anrichten können.
1 https://www.zdnet.com/article/ddos-attacks-getting-bigger-and-more-dangerous-all-the-time/
Sehen ist Glauben.
Vereinbaren Sie noch heute eine Live-Demo.