Online-Gaming braucht eine vertrauenswürdige DDoS-Abwehr
Neue Spielregeln: Nur die Vertrauenswürdigen dürfen mitmachen
DDoS-Angreifer entwickeln sich ständig weiter, so dass es einfach nicht mehr ausreicht, die digitale Haustür offen zu lassen und darauf zu warten, auf einen DDoS-Angriff zu reagieren. Betreiber von Glücksspielplattformen, die mit Adrenalin vollgepumpt sind, müssen Zero-Trust-Prinzipien anwenden. Das vom ehemaligen Forrester Research-Analysten John Kindervag im Jahr 2010 entwickelte Zero-Trust-Konzept beruht auf der Überlegung, dass Unternehmen nicht automatisch allem vertrauen sollten, was sich innerhalb oder außerhalb des Netzwerks befindet. Alles, was versucht, eine Verbindung zum Netzwerk herzustellen, muss überprüft werden, bevor der Zugriff gewährt wird.
Für den Spielanbieter bedeutet dies, dass er nur Spielern, die mehrere Prüfungen bestanden haben, den Zugang zum Spiel gestatten muss. Dann müssen sie das Verhalten des Spielers weiterhin auf Denial-of-Service-Merkmale überprüfen. Für alle anderen ist das System von unerwünschten Zugriffen abgeschottet.
Dies ist ein notwendiger Schritt, denn für Sicherheitsspezialisten, die Online-Gaming-Plattformen verteidigen, sind unzufriedene Spieler nicht die einzige Quelle für Angriffe. Mit dem Aufkommen professioneller Ligen und College-Esports-Programme wird der Einsatz, die Spielsysteme verfügbar zu halten, immer höher. Auf der Seite der Angreifer haben die Fortschritte bei den DDoS-For-Hire-Services die Angriffe für jeden motivierten Technologie-Neuling demokratisiert.
Reaktiv, einen Schritt hinter der Attacke
Herkömmliche DDoS-Abwehrsysteme sind reaktiv. Wenn ein Angriff entdeckt wird, wenden herkömmliche DDoS-Abwehrsysteme sofort einen Brute-Force-Filter an, um zu verhindern, dass das System überlastet wird. Diese Filter, die mit dem gesamten Zielverkehr arbeiten, können nicht zwischen legitimem und angreifendem Verkehr unterscheiden. Dann versucht das Verteidigungsteam krampfhaft, Pakete zu analysieren, um einen Filter zu finden, der hoffentlich den aggressiven Verkehrsanstieg blockiert. Menschen, die den Datenverkehr in einer solchen Umgebung analysieren, benötigen Fähigkeiten in der Paketanalyse, die nur durch Versuch und Irrtum zu erreichen sind. Außerdem ist die reaktive Analyse nach einem Angriff von Natur aus langsam und frustriert die betroffenen Spieler.
Mit Zero-Trust den Angreifern einen Schritt voraus sein
Ein besserer Ansatz ist eine proaktive Zero-Trust-Haltung mit DDoS-Abwehr. Bei Zero-Trust müssen die Betreiber davon ausgehen, dass das Internet feindlich ist. Die Verteidigungsmaßnahmen testen jeden Zugriff mit mehreren kontinuierlichen Prüfungen auf legitime Zugriffsrechte, bevor sie den Perimeter passieren. Selbst nachdem der Spieler Zugang erhalten hat, werden die Prüfungen fortgesetzt, um zu verhindern, dass authentifizierte Spieler abtrünnig werden. Für Glücksspielbetreiber gibt es eine zusätzliche Anforderung: Es muss sichergestellt werden, dass die Validierungsmaßnahmen die Benutzerfreundlichkeit nicht beeinträchtigen und in Echtzeit stattfinden.
Zero-Trust-Netzwerke
- Das Netz wird immer als feindlich eingestuft.
- Externe und interne Bedrohungen sind jederzeit im Netz vorhanden
- Jedes Gerät, jeder Benutzer und jeder Netzwerkfluss wird authentifiziert und autorisiert.
- Politiken müssen dynamisch sein und aus möglichst vielen Datenquellen berechnet werden.
Eine wirksame Zero-Trust-DDoS-Abwehr besteht aus einer Reihe von Überprüfungen, die:
- Überprüfen Sie, dass die IP-Adresse kein identifizierter DDoS-Agent ist.
- Pakete auf authentifizierte IP-Adressen untersuchen
- Überprüfen, ob der Datenverkehr eines Spielers akzeptablen Verhaltensgrenzen entspricht
- Sicherstellen, dass alle Spielerpakete ein gültiges geheimes Token enthalten
- Prüfen Sie, ob der Datenverkehr des Spielers nicht die verteilten Muster eines DDoS-Angriffs aufweist.
Die fünf Wege der Zero-Trust DDoS-Abwehr
Das Arbeitspferd der Zero-Trust-DDoS-Abwehr ist eine paketbasierte Mitigationslösung, wie das A10 Networks' Thunder® Threat Protection System (TPS). Die Mitigationslösung sitzt zwischen dem Edge-Router und der Firewall und trennt durch die Anwendung von Zero-Trust-Prinzipien den guten vom bösartigen Datenverkehr. Das Thunder TPS ist über eine API mit dem A10 aGalaxy® TPS verbunden, das ein Managementsystem für die DDoS-Abwehr des Unternehmens darstellt.
Blockieren toxischer IP-Adressen mit DDoS-Waffen-Intelligenz im Internet-Maßstab
Im Gegensatz zu herkömmlichen Sicherheitsmaßnahmen, bei denen die Verteidiger in Heuhaufen von Rauschen suchen, um versteckte Signale eines einzelnen Eindringlings zu finden, ist DDoS laut und wird von einer großen Anzahl verteilter Angriffsagenten verursacht. DDoS-Bedrohungsforscher inventarisieren die IP-Adressen von mit Malware infizierten DDoS-Botnetzen und entlarven reflektierte Verstärkungsserver, die regelmäßig als DDoS-Agenten eingesetzt werden.
Das kuratierte Inventar der DDoS-Waffen wird dann kontinuierlich in die DDoS-Abwehrplattform eingespeist, um eine schwarze Liste zu erstellen, mit der toxische IPs proaktiv am Netzwerkrand blockiert werden können. Heute verfolgt A10 Networks über 20 Millionen waffenfähige DDoS-Agenten. Damit das Blacklisting von Waffen effektiv ist, muss das Abwehrsystem über eine umfangreiche Klassenlistentabelle verfügen, die Millionen von Einträgen unterstützt.
Und so funktioniert es:
Unauthentifizierte Zugriffe blockieren
Jeder Spieler, der Datenverkehr an die Spieleplattform sendet, muss sich zunächst beim Authentifizierungsserver anmelden. Die Perimeter-Verteidigung überprüft dann die Quell-IP-Adresse jedes UDP-Pakets anhand einer ständig aktualisierten lokalen Kopie der Datenbank des Authentifizierungsservers. Dadurch wird sichergestellt, dass nur aktive, registrierte Spieler Zugang zur Plattform haben. Wie beim Blacklisting von Waffen besteht die Herausforderung darin, die Authentifizierungsprüfung für jedes Paket in Echtzeit durchzuführen, wenn Millionen gültiger IP-Adressen von Spielern auf der Plattform ein- und ausgehen.
Und so funktioniert es:
Unerwünschte und ungewöhnliche Verhaltensweisen blockieren
Aus Sicht des Betreibers gibt es Elemente des Spielerverhaltens, die verständlich sind. Schließlich spielen sie das Spiel auf einer einzigen, eigens dafür geschaffenen Plattform. Es ist nicht so, dass ein Spieler mitten im Kampf eine FTP-Übertragung starten kann. Die Kontrolle über die Plattform ermöglicht es dem Betreiber, Regeln für akzeptables Verhalten aufzustellen. Bei diesen Regeln handelt es sich um Modelle von Verkehrsmustern, ähnlich wie bei der Definition einer Blende für akzeptables Verhalten auf Schicht 3 und 4 des Netzwerkstapels. Jede Abweichung vom Profil wird durch Ratenbeschränkung oder Blockierung verhindert.
Wie es funktioniert:
Prüfen Sie zeitabhängige Wasserzeichen auf jedem Paket
Geheimnisse sind ein weiteres wirksames Mittel, um legitime Nutzer von Angreifern zu unterscheiden. Beim Watermarking von Paketen wird ein zeitkritisches geheimes Token an die Nutzlast des Datenverkehrs eines Spielers angehängt. Der Rechner des Spielers, der Authentifizierungsserver und die DDoS-Abwehrlösung sind die Einzigen, die dieses Geheimnis kennen. Die DDoS-Abwehrlösung prüft jedes Paket, das auf die Spieleplattform gelangt, auf ein gültiges Token und blockiert jeden Zugriff, der ein abgelaufenes Token oder eines ohne Token enthält. Beispielsweise ist zeitabhängiges Wasserzeichen ein effektives Mittel, um unzufriedene, aber authentifizierte Spieler davon abzuhalten, aufgezeichnete PCAPs mit abgelaufenen Token zu besprühen, um ein DoS-Ereignis zu verursachen, das die Sitzung disqualifiziert.
Und so funktioniert es:
Defense-in-Depth, Erkennung von Zero-Day-Angriffsmustern
Zum Leidwesen der Verteidiger entwickelt sich das gut finanzierte Ökosystem der Angreifer ständig weiter. Glücksspielbetreiber müssen einen Defense-in-Depth-Ansatz mit Mitigation-Pipelines verfolgen, die maschinelle Lernfunktionen zur Erkennung von DDoS-Mustern enthalten, damit sie Zero-Day-Angriffe dynamisch abdecken können. Muster sind ein effektiver Weg, um DDoS-Verkehr zu identifizieren, da das erste "D" in DDoS verteilt ist. Ein Angreifer gibt koordinierte Anweisungen für den Angriffsvektor an Pools von Bots oder internetfähige reflektierte Verstärker (z. B. DNS, NTP, SSDP usw.). Ein Algorithmus für maschinelles Lernen kann den eingehenden Datenverkehr analysieren und schnell Angriffsmusterfilter entwickeln, die den Datenverkehr säubern.
Und so funktioniert es:
Online-Glücksspiele sind für Plattformbetreiber eine Umgebung mit großen Gewinnen und potenziellen Megaverlusten. Die Spieler sind wankelmütig; eine schlechte Erfahrung kann sie zum nächsten glänzenden Titel schicken. Betreiber von Glücksspielplattformen können ihren Schutz jetzt mit Zero-Trust-Prinzipien verbessern, die das Spielerlebnis schützen und DDoS-Resistenz gewährleisten.
Um mehr über Zero-trust DDoS-Abwehr zu erfahren, besuchen Sie www.a10networks.com und folgen Sie diesen Links:
- Sehen Sie sich das Webinar an: 5 Wege, um Gaming Booters mit Zero-Trust DDoS Defenses zu schlagen
- Lesen Sie den Blog: Spielbetrüger und DDoS-Spoiler mit Echtzeit-Packet Watermarking besiegen
- Lesen Sie den Bericht: Sonderbericht über den Zustand von DDoS-Waffen
Akronym-Glossar
- BPS - Bits pro Sekunde
- CPS - Verbindungen pro Sekunde
- DDoS - Verteilter Denial of Service
- DNS - Domänennamensystem
- DoS - Dienstverweigerung
- FTP - Dateiübertragungsprotokoll
- GET - HTTP-Methode
- NTP - Netzwerk-Zeitprotokoll
- PCAP - Packet Capture
- POST - HTTP-Verfahren
- PPS - Pakete pro Sekunde
- RPS - Anfragen pro Sekunde
- SSDP - Einfaches Diensterkennungsprotokoll
- SSL - Sichere Sockelschicht
- UDP - Benutzer-Datagramm-Protokoll
- URI - Einheitlicher Ressourcenbezeichner