Bereiten Sie sich auf DDoS-Angriffe vor: 5 Schritte, die Sie unternehmen sollten, bevor Angreifer Sie finden
Die E-Mail ist simpel und kommt direkt zum Punkt: „Wir sind der Fancy Bear, und wir haben Ihr Unternehmen als Ziel für unseren nächsten DDoS-Angriff ausgewählt.“
Innerhalb eines Tages wird ein Unternehmensserver – der nicht gegen DDoS-Angriffe (Distributed Denial-of-Service) geschützt ist – Opfer eines 30-minütigen, intensiven Angriffs, bei dem eine Flut von Datenpaketen mit Netzwerkanfragen kombiniert wird, um die Anwendungsperformance auf Schneckentempo zu verlangsamen.
Ist Ihr Unternehmen auf diese Art von Security-Herausforderung vorbereitet?
Eine echte Bedrohung
Im November 2019 warnte das neuseeländische Computer Emergency Readiness Team (CERT NZ) den dortigen Finanzsektor davor, dass Angreifer Lösegeldforderungen per E-Mail verschickten, auf die kurze Angriffe auf die Server der Opfer folgen würden. Unternehmen, die sich weigerten, das Lösegeld zu zahlen, erlitten gemäß CERT NZ zwar keine massiven Angriffe, aber es hätte durchaus dazu kommen können.
Es ist wenig überraschend, dass wir regelmäßig Anfragen von unseren Kunden erhalten, wie sich ihre Unternehmen auf DDoS-Angriffe vorbereiten sollten. Massive Datenfluten, die Layer-3- und Layer-4- oder Amplification-Angriffe nutzen, werden in der Regel auf der Edge des Netzwerks von unseren PoPs abgefangen. Layer-7-Angriffe, die auf Anwendungen abzielen und Anfragen versenden, die zur Überlastung Ihrer Origin-Server könnten, versuchen jedoch oft, sich unter den anderen Netzwerk-Traffic zu mischen und erfordern gezieltere Gegenmaßnahmen.
Wir haben fünf Best Practices für Sie zusammengestellt, die Sie umsetzen können, um auf solche Angriffe vorbereitet zu sein:
1. Erarbeiten Sie einen Plan und testen und aktualisieren Sie ihn
Unternehmen müssen einen Plan zur Hand haben, bevor es zu einem Angriff kommt. Wir empfehlen dabei Folgendes:
Machen Sie sich Gedanken, welche Server und Anwendungen von einem Angriff betroffen sein könnten.
Schätzen Sie den Schaden ab, der durch den Verlust des Zugriffs auf diese Assets entsteht.
Legen Sie fest, wer für das Management der einzelnen Assets verantwortlich ist.
Überlegen Sie sich, wie ein Angriff gegen ein spezielles Asset aussehen könnte.
Erstellen Sie ein Playbook für die Angriffsabwehr.
Um sich auf einen Angriff vorzubereiten, sollte Ihr Unternehmen regelmäßige Übungen durchführen, damit alle Beteiligten wissen, wer für die Erkennung eines Angriffs, die Reaktion darauf und seine Abwehr verantwortlich ist.
2. Bauen Sie Beziehungen auf, bevor Sie sie brauchen
Mitten in einem Angriff ist nicht der richtige Zeitpunkt, um nach dem richtigen Ansprechpartner bei Ihrem Cloud-Provider, Ihrem Web Application Firewall (WAF) Provider oder Ihrem Anbieter für DDoS-Abwehr zu suchen. Bauen Sie Beziehungen zu den richtigen Personen bei Ihren wichtigsten Serviceprovidern auf und nehmen Sie deren Angaben mit in Ihr Playbook auf.
Bei Fastly können Sie sich dafür direkt an Ihren Account Manager, an support@fastly.com oder Ihren gemeinsamen Slack Channel mit unserem Team (falls vorhanden) wenden.
3. Vergewissern Sie sich, dass Sie alle Informationen protokollieren, die Sie brauchen
Logs sind entscheidend, um auf DDoS-Angriffe reagieren zu können, ohne legitime Kunden auszuschließen. Deshalb sollten Sie sicherstellen, dass Ihre Protokolle alle notwendigen Informationen wie IP-Adressen und Geolokalisierungsdaten enthalten, damit Ihr Unternehmen oder Ihr DDoS-Schutz-Anbieter bösartigen Traffic herausfiltern kann.
Stellen Sie außerdem sicher, dass Sie während eines Angriffs auf Ihre Logs zugreifen können. Dabei ist es sinnvoll, Log-Daten in der Cloud zu speichern. Falls ein DDoS-Angriff den Zugriff Ihres Servers auf Ihre Cloud-Ressourcen verhindert, könnte das allerdings kontraproduktiv sein.
4. Schützen Sie Ihren Origin-Server
Denial-of-Service-Angriffe blockieren den Zugriff von Kunden und Mitarbeitern auf Ihre Online-Assets. Wenn Sie den Angriff abwehren, läuft Ihr Business wieder. Ein Angriff auf Ihren Origin-Server, bei dem es zum Löschen von Daten oder zu Datenschutzverletzungen kommt, kann allerdings zu erheblichen Ausfällen für Ihr Unternehmen, bis hin zur Geschäftsaufgabe führen.
Aus diesem Grund sollten Unternehmen immer ihren Origin-Server schützen, den Ground-Truth-Server, der alle notwendigen Informationen enthält um das Unternehmen am Laufen zu halten. Fastly ermöglicht seinen Kunden zum Beispiel, ihre Origin-Server gegen Cache Misses abzuschirmen, die ihre Origin-Server sonst überlasten könnten.
5. Bereiten Sie Verteidigungsmaßnahmen vor, die sofort einsatzbereit sind
Wenn Ihre Umgebung auf eine Handlungskette angewiesen ist, um Änderungsvorschläge an Ihren Anwendungen in die Tat umzusetzen, braucht Ihr Unternehmen ein System, mit dem maßgebliche Änderungen schnell bereitgestellt werden können.
Ganz gleich, ob Sie Zugriffskontrolllisten ändern, bestimmte IP-Adressen blockieren oder die Anzahl der Anfragen an einen bestimmten Service begrenzen, diese Änderungen müssen rasch erfolgen, um während eines Angriffs von Nutzen zu sein. Fastly ermöglicht seinen Kunden, Standard-VCL-Filter und nutzerdefinierte VCL-Schutzregeln zu erstellen, um die Auswirkungen von komplexen Angriffen auf ihre Anwendungen zu begrenzen.
Ein DDoS-Angriff wirkt sich letztendlich auf Ihr Unternehmen aus. Ihre Anwendungs- und Sicherheitsteams sollten jetzt etwas Zeit aufwenden, um Prozesse zu entwickeln, mit denen sie etwaige Schwachstellen schnell beheben und Angriffe abwehren können. Vereinbaren Sie eine Live-Demo, um mehr darüber zu erfahren, wie Fastly Sie dabei unterstützen kann.