Wenn Anwendungen in IT-Systemen regelrecht „bombardiert“ werden

ADVERTORIAL

Lange Zeit herrschte die Meinung, dass eine lokale IT-Infrastruktur mit einem umfangreichen Sicherheitsperimeter viel sicherer ist als die Cloud. Mit einer steigenden Zahl an umfangreichen Angriffen beginnt sich diese Wahrnehmung jedoch zu ändern.

Die Vorteile der Economy of Scale einer Cloud bieten klare Vorteile: Microsoft nutzt diese technisch sowie wirtschaftlich und investiert jährlich über eine Milliarde Dollar in Cybersicherheit und beschäftigt über 3.500 Cybersecurity-Experten und kann so eine höhere Sicherheit im Vergleich zur lokalen IT-Infrastruktur und zum Rechenzentrum leisten.

DDoS-Attacken erzeugen viel Lärm

Zuletzt waren besonders Angriffe durch DDoS-Attacken aufgetreten. Auch hier bietet die Cloud von Microsoft besseren Schutz. Doch was ist überhaupt eine DDoS-Attacke? Bei einer DDoS-Attacke („Distributed-Denial-of-Service“) wird eine Anwendung mit scheinbar normalen Zugriffen von einer massiven Anzahl unterschiedlicher IP-Adressen regelrecht „bombardiert“.

Gelingt es dem Angegriffenen nicht, die Attacke rechtzeitig zu erkennen und abzuwehren, bricht die Anwendung unter der Last der vielen Aufrufe unterschiedlicher Herkunft zusammen.

Herausforderung ist, die Attacke rechtzeitig zu erkennen, denn theoretisch kann es sich auch um legitime Zugriffe handeln. Reagiert die Anwendung nicht zeitnah auf Nutzeraufrufe, versuchen diese, die Anwendung wieder und wieder zu laden. Damit wird die DDoS-Attacke indirekt verstärkt.

Inzwischen müssen Angreifer nicht einmal mehr ein eigenes Botnet bauen, sondern können einen DDoS-as-a-Service für weniger als 100 US-Dollar für 24 Stunden im Darknet kaufen. Da die Investition so gering ist, gibt es sicherlich „interessante“ Geschäftsfälle mit einer positiven Kapitalrendite.

Netzwerke vor DDoS-Attacken schützen

Eine Motivation von DDoS-Angriffen kann sein, einem Unternehmen zu schaden und dessen Services für eine gewisse Zeit unzugänglich zu machen. DDoS-Angriffe erzeugen aber auch viel Lärm und werden daher oft als Ablenkungsmanöver verwendet, um versteckt Infiltrationsangriffe auf das interne Netzwerk durchzuführen. Daher sollten DDoS-Angriffe vor allem im Kontext betrachtet werden. Hier ist es also wichtig, die Identitäten zu schützen und das Eindringen eines Angreifers in das interne System zu verhindern.

Microsoft hat eine widerstandsfähige Cloud-Architektur, eine tiefgehende Verteidigungsstrategie, die eine Zusammenarbeit mit Kunden, Partner-Lösungen und Sicherheitskontrollen kombiniert und darüber Identitäten, Netzwerk, Systeme und Daten schützt.

Zudem stellt Microsoft umfangreiche Werkzeuge für ein Sicherheitsmanagement und Threat Protection zur Verfügung. Ein Aufdecken von Eindringlingen erfolgt so in wenigen Minuten statt der durchschnittlichen rund 140 Tage in lokalen IT-Infrastrukturen.

In Meldungen zu Maßnahmen gegen DDoS-Angriffe heißt es, dass „endlose“ Serverkapazität und richtig viele und gute IT Sicherheitsexperten helfen. Mit Microsoft-Cloud-Lösungen sind beide Kriterien bereits erfüllt. Darüber hinaus verfügt die Microsoft-Cloud-Plattform über ein Abwehrsystem zum Schutz vor DDoS-Attacken, um Angriffen zu widerstehen, die sowohl von außerhalb als auch innerhalb der Plattform generiert werden.

Normale Auslastung ist bekannt

Der grundlegende DDoS-Schutz ist automatisch als Teil der Azure-Plattform aktiviert. Die Azure „DDoS Protection Basic“ bietet eine ständige Datenverkehrsüberwachung mit nahezu Echtzeiterkennung eines DDoS-Angriffs. Die „DDoS Protection“ steuert dem Angriff automatisch entgegen, sobald dieser systemseitig erkannt wird. Sowohl die Ressourcen als auch deren normale Auslastung sind der DDoS Protection bekannt und im Laufe der Zeit werden die gewöhnlichen Auslastungsmuster automatisch erlernt und weiter verfeinert.

„Ein Aufdecken von Eindringlingen erfolgt in wenigen Minuten statt in Tagen.“

Steigt die Last also über die normale Nutzung des Systems an, setzt die DDoS-Mitigation ein. Während der Mitigation werden die folgenden Checks durchgeführt: Sicherstellung, dass die Pakete vorgegebenen Spezifikationen entsprechen; Interaktion mit dem Client, um festzustellen, ob die Pakete potenziell „gespoofed“ wurden und Limitierung der Pakete, wenn keine andere Möglichkeit besteht.

„Azure DDoS Protection Standard“ ist ein optionaler Dienst, der zusätzliche Abwehrfunktionen bereitstellt und speziell auf die Azure-Virtual-Network-Ressourcen abgestimmt ist. Dazu gehören Echtzeit-Angriffsmetriken und Diagnoseprotokolle, Berichte zur Abwehr durchgeführter oder versuchter Angriffe, nahezu Echtzeit-Protokolldaten für die Integration von Sicherheitsinformationen und Ereignismanagement (SIEM) sowie der Zugriff auf DDoS-Experten während eines aktiven Angriffs.

Gegenmaßnahmen starten

„DDoS Protection Standard“ überwacht die Auslastung und vergleicht sie dauerhaft mit dem Grenzwert, der in einer DDoS Policy definiert ist. Wird der Grenzwert überschritten, starten die Gegenmaßnahmen automatisch. Fällt die Last wieder unter den Grenzwert, wird sie auch automatisch beendet.

Der DDoS-Protection-Dienst lässt die Datenpakete unberührt, also kein Aufbrechen und kein Auslesen. Vor allem bleiben die Daten in der von den Kunden gewählten Region, zum Beispiel in Europa oder Deutschland oder auch in der (lokalen) IT Infrastruktur. Das heißt, DDoS Protection kann auch die eigene, bestehende (on-premises) Infrastruktur überwachen.

Darüber hinaus hat Microsoft das weltweit größte Malware-Center. Es steht in direkter Zusammenarbeit mit dem National Security Operations Center und ist seit 2014 Partner des „Financial Services Information Sharing and Analysis Center“ (FS-ISAC). So wurde weltweit mehr als ein Drittel ernstzunehmender Attacken identifiziert und Kunden sowie Behörden entsprechend informiert und unterstützt.