Schnelle Erkennung schützt kritische MEC-Dienste vor DDoS-Angriffen
Weltweit haben DDoS-Angriffe im Jahr 2020 um 300 Prozent zugenommen, was durch die von einer Pandemie ausgelöste Internetkriminalität noch verstärkt wurde. Dies hat sich als Weckruf für Organisationen aller Art erwiesen - Schulen, Hochschulen, Kommunikationsdienstleister und Unternehmen. Da die Menschen an ihrem Wohnort Schutz suchen und von zu Hause aus arbeiten, spielen und lernen, ist eine sichere und zuverlässige Konnektivität nicht nur für das wirtschaftliche Überleben, sondern auch für den Zugang zu Gesundheitsdiensten, Bildung und anderen grundlegenden Bedürfnissen der Gesellschaft unerlässlich. Nach Angaben der UNESCO sind schätzungsweise 56 Prozent der weltweit eingeschriebenen Schüler davon betroffen. Die tief greifenden Auswirkungen der digitalen Kluft sind inzwischen offensichtlich.
DDoS attacks impair availability of network and services, crowding out legitimate traffic with spurious and malicious traffic or slowing down response times. Large volumetric DDoS attacks as large as 2.3 Tbps can cause entire service provider networks to crash, denying service to large numbers of consumers and businesses. The more common, smaller and targeted DDoS attacks (<5 Gbps) are large enough to put a small hospital network out of service or provide a distraction for planting ransomware. Most of these smaller attacks, 75 percent, according to Neustar, are undetected. DDoS attacks are increasingly sophisticated and multi-vector, often building slowly to escape easy detection. For service providers, handling terabits of traffic every second, these smaller, slower attacks are especially difficult to detect and mitigate.
In einem kürzlich veröffentlichten Whitepaper von Heavy Reading gaben 85 Prozent der Kommunikationsdienstleister (CSPs) an, dass DDoS-Erkennung im Jahr 2023 eine notwendige Funktion sein wird. CSPs werden mehrere Formfaktoren verwenden, darunter physische, virtuelle und Container, sowohl in Multi-Access-Edge-Computing-Standorten (MEC) als auch im zentralen Kern von 5G-Non-Standalone- (NSA), 5G-Standalone- (SA) und 4G-Netzwerken - je nach ihrer 5G-Implementierungsstrategie.
Warum ist eine schnelle Erkennung so wichtig?
Wenn Dienste lebenswichtig oder geschäftskritisch sind, minimiert die schnelle Erkennung und Abschwächung von DDoS-Angriffen den Schaden für die Infrastruktur oder die Teilnehmer und kann sogar den Verlauf eines Angriffs ganz stoppen. Sekunden und Millisekunden können zählen und einen lebensrettenden Unterschied ausmachen.
Mit der Umstellung der Mobilfunknetze auf 5G und der Verlagerung von zentralisierten Rechenzentren auf Multi-Access-Edge-Computing hat die Bedeutung des DDoS-Schutzes zugenommen. Die Betreiber erkennen die erhebliche Bedrohung durch DDoS-Angriffe auf die Netzwerkverfügbarkeit der MEC-Knoten oder auf die nachgelagerten Kunden, die bedient werden. Mit dem Multi-Access-Edge-Computing wächst die Zahl der potenziellen Angriffspunkte für DDoS von einigen wenigen zentralisierten Kernstandorten auf Hunderte oder sogar Tausende von Multi-Access-Edge-Computing-Standorten. Diese verteilten Erkennungspunkte müssen den bösartigen Datenverkehr sehr schnell erkennen und identifizieren und dann die entsprechenden Gegenmaßnahmen ergreifen.
DDoS-Erkennung geht zu Cloud-Native und Multi-Access Edge Computing (MEC) über
Die DDos-Erkennung und -Schutzmaßnahmen, die früher als zentrale Kernnetzfunktion betrachtet wurden, werden jetzt auch in MEC-Knoten (Multi Access Edge Computing) benötigt.
In der Heavy Reading-Umfrage gab eine beträchtliche Anzahl der befragten CSPs (16-19 Prozent) an, dass sie Cloud-native Container für die DDoS-Erkennung und -Abwehr einsetzen würden. Dies ist überraschend, da in der Vergangenheit Sicherheitsfunktionen, einschließlich des Schutzes vor DDoS-Angriffen, nur von großer, speziell angefertigter Hardware in Kernnetzwerken und für volumetrische DDoS-Angriffe bereitgestellt wurden. Diese Umfrage zeigt, dass DDoS-Erkennung auch an kleineren MEC-Standorten in Containern (Cloud Native), virtuellen und physischen Formfaktoren implementiert werden wird.
In einem hybriden 5G-Dual-Mode-Netz mit ständig wachsenden Edge-Standorten ist die physische Logistik der Überwachung und Korrelation von Bedrohungsaktivitäten in diesem weitläufigen Netz entmutigend. Zwei grundlegende Prinzipien müssen beachtet werden.
Legitimer Verkehr muss durchkommen
Die Erkennungstechnologie muss genau entschlüsseln, welcher Datenverkehr legitim ist und welcher nicht.
Bei gewöhnlichen DDoS-Angriffen sendet der Angreifer eine Vielzahl kleiner Anfragen mit der gefälschten IP-Adresse des Opfers an im Internet exponierte Server. Die Server antworten mit großen, verstärkten Antworten an das unwissende Opfer. Von den 10 Millionen DDoS-Waffen, die im A10 Networks State of DDoS Weapons Report identifiziert wurden, stammen 75 Prozent aus nur fünf Angriffsvektoren - Portmap, SNMP, SSDP, DNS Resolver und TFTP.
Verstärkungsangriffe wurden auch mit weniger verbreiteten Protokollen gestartet, was zu rekordverdächtigen volumetrischen Angriffen führte, wie z. B. der jüngste CLDAP-basierte AWS-Angriff im ersten Quartal 2020, der in der Spitze 2,3 Tbps erreichte und 70 Prozent höher war als der bisherige Rekordhalter oder der 1,35 Tbps Memcached-basierte GitHub-Angriff von 2018. Selbst ein Bruchteil der Angriffsfläche hat das Potenzial, sehr groß angelegte DDoS-Angriffe zu generieren.
Niedrige Latenzzeit muss beibehalten werden
Mobilfunkbetreiber müssen ein konstant hohes Leistungs- und Sicherheitsniveau aufrechterhalten.
Eine enge Integration, die Cloud-nativ ist und dem Datenverkehr entspricht, ermöglicht eine schnellere Reaktion auf Bedrohungen, minimiert die Latenzzeit und bietet einen einheitlichen Sicherheitsansatz, der unabhängig von der Netzwerktechnologie im gesamten Netzwerk angewendet werden kann.
Ericsson Packet Core Firewall, unterstützt durch A10 Networks
Die Ericsson Packet Core Firewall, powered by A10 networks , ermöglicht die Einbettung der Sicherheit in die Benutzerebene, so dass die Sicherheitsfunktionen in der Lage sind, innerhalb von Millisekunden zu erkennen und zu reagieren, und die Vorteile der Automatisierung und der Analyse durch maschinelles Lernen nutzen können, was die menschlichen Eingriffe und die TCO senkt.
Die Ericsson Packet Core Firewall kombiniert Cloud-native Bedrohungsabwehr auf der Benutzerebene mit erweiterten Sicherheitsfunktionen. Sie adressiert Sicherheitsanwendungsfälle für User-Plane-Implementierungen in MBB- und IoT-Segmenten.
Durch den Einsatz des Dual-Mode 5G Core von Ericsson, einschließlich des Ericsson Packet Core Gateway mit integrierter Packet Core Firewall powered by A10 Networks, erhalten Betreiber einen nahtlosen Weg zur 5G-Migration mit einem starken, konsistenten Sicherheitsangebot, das fortschrittliche Bedrohungserkennung und maschinelles Lernen zum Schutz vor DDoS-Angriffen, Roaming-Eingriffen und anderen IoT- und internetbasierten Bedrohungen nutzt.
Ericsson Packet Core Firewall
Schützen Sie die Verfügbarkeit Ihrer 5G-Core-Dienste mit einer einzigartigen Kombination von Sicherheitsfunktionen auf Benutzerebene, die beste TCO bieten.