Um die Geschäftstätigkeit verschiedener Organisationen zu stören, setzen Cyberkriminelle immer raffiniertere Denial-of-Service-Angriffe ein. Diese Angriffe, die den Kontext des Unternehmens berücksichtigen, zielen insbesondere auf kritische Webanwendungen ab. Um der Bedrohung zu begegnen, muss man sich im Vorfeld mit einem risikobasierten Ansatz vorbereiten.
Für einen Cyberangreifer besteht eine der größten Herausforderungen darin, möglichst effektiv Schaden anzurichten, d. h. die Ressourcen zu optimieren, die er mobilisiert, um die Aktivitäten der Zielorganisation zu stören. In diesem Sinne verbessern Hacker ihre Vorgehensweisen immer weiter. Dies hat sich in den letzten Monaten insbesondere bei der Durchführung von sogenannten Denial-of-Service-Angriffen (DDoS) gezeigt. Traditionell bestehen diese Angriffe darin, Datenströme an eine bestimmte IP-Adresse oder einen bestimmten Bereich von IP-Adressen zu leiten, um die Konnektivität einer bestimmten Anwendung oder eines Unternehmens zu sättigen und sie lahmzulegen“, kommentiert Nicolas Villatte, Head of CyberDefense bei POST Luxembourg. Seit dem Beginn der russischen Sonderoperation in der Ukraine konnte insbesondere beobachtet werden, dass die DDoS-Angriffe ausgefeilter sind, so dass die üblicherweise verwendeten Schutzelemente nicht mehr ausreichen.“
Angriffe, die auf Anwendungen abzielen
Wie unterscheiden sich diese „neuen DDoS-Angriffe“? „Die Angreifer konzentrieren sich nicht nur auf den volumetrischen Aspekt. Sie integrieren auch eine Anwendungsdimension in ihren Ansatz, um asymmetrische Angriffe durchzuführen“, fährt der Experte für Cybersicherheit fort. Die Idee ist, Webanwendungen mit Anfragen zu attackieren, die so optimiert sind, dass sie eine hohe Systemlast erzeugen. Es geht nicht mehr nur darum, die Leitungen zu überlasten, sondern auch darum, die Webserver so stark zu belasten, dass sie zusammenbrechen.“
Mit dieser Art von Angriffen ist es nicht mehr notwendig, große Datenmengen zu erzeugen, um die Verfügbarkeit eines Dienstes zu stören.
Bedrohungen sind schwerer zu stoppen
Um ihre Ziele zu erreichen, führen die Angreifer zunächst eine Erkundung durch, um Anwendungsanfragen zu identifizieren, die Serverleistung oder Datenbankabfragen erfordern“, erklärt Nicolas Villatte. Bei einem herkömmlichen DDoS-Angriff war es recht einfach, legitimen von nicht legitimem Datenverkehr zu trennen. In diesem Fall ist es viel komplexer. Der Angriff wird unter Berücksichtigung des spezifischen Kontexts der Organisation durchgeführt, indem ein legitimer Nutzer nachgeahmt wird. Infolgedessen ist es schwieriger, zwischen legitimen und nicht legitimen Anfragen zu unterscheiden“.
Angesichts des Angriffs könnte man versucht sein, den Datenverkehr aus verdächtigen Ländern zu blockieren. Man darf jedoch nicht vergessen, dass sich dort auch einige legitime Nutzer befinden können. Bestimmte Dienste können auch von Computerplattformen abhängen, die in diesen Ländern angesiedelt sind. „Um illegalen Datenverkehr zu identifizieren, müssen die Aktivitäten genauer analysiert werden. Es geht darum, Muster zu erkennen, die verdächtigen Ansätzen entsprechen, um gezielt Anfragen zu blockieren, die diesen entsprechen“, kommentiert Nicolas Villatte.
Bewahrung kritischer Dienste
Bei der Reaktion auf einen Vorfall müssen die Anstrengungen verstärkt werden, um gut vorbereitet zu sein. Nicolas Villatte erklärt: „Es geht vor allem darum, die Herausforderungen richtig zu erfassen, indem man die kritischen Dienste identifiziert. So kann man zum Beispiel Möglichkeiten in Betracht ziehen, um den zusätzlichen Datenverkehr zu absorbieren.“ Eine Möglichkeit besteht darin, kritische Dienste auf eine Umgebung zu stützen, die sich dynamisch mit der Anzahl der Anfragen verändern kann.
Der Umgang mit diesen Bedrohungen erfordert einen risikobasierten Ansatz, bei dem die Auswirkungen eines möglichen Vorfalls und die Kosten für dessen Vermeidung und Bewältigung bewertet werden“, fährt Nicolas Villatte fort. Um die Fähigkeit zu stärken, steigende Anfragen zu absorbieren, zumindest was kritische Dienste betrifft, muss die Architektur überdacht werden. Auch die Ressourcen, die zur Bewältigung des Angriffs mobilisiert werden, stellen zusätzliche Kosten dar.“
Die DEEP-Teams können Sie nicht nur bei der Analyse Ihrer Risiken unterstützen, sondern auch bei der Umwandlung Ihrer Umgebung, um mit dieser Art von Angriffen fertig zu werden.
Sich vorbereiten und die Erkennungsfähigkeiten stärken
Es ist auch notwendig, geeignete Verfahren einzuführen und die Rollen und Verantwortlichkeiten jedes Einzelnen innerhalb der Organisation festzulegen, um im Falle eines Problems wirksam reagieren zu können. Nicolas Villatte fügt hinzu: „Die Erstellung von Plänen zur Reaktion auf Vorfälle ermöglicht es, auf einen Angriff vorbereitet zu sein, die richtigen Entscheidungen zu treffen und die Auswirkungen zu begrenzen. Man darf auch nicht vergessen, dass Denial-of-Service-Angriffe nicht nur Störungen verursachen, sondern oft auch dazu dienen, die Aufmerksamkeit auf andere Stellen zu lenken, um dort Schaden anzurichten. Es ist daher von entscheidender Bedeutung, seine Erkennungsfähigkeiten zu verbessern“.
