AI & Machine Learning
Edge-Netzwerk
Infrastructure as a Service
Platform as a Service
Virtuelle und dedizierte Server
Video Streaming Platform
Security
Cloud for Mobile
Benutzerdefinierte Dienste
Nach Branche
Nach Service
Referral Program
Bug Bounty-Richtlinie
Konformität
Karriere
Internet Peering Points
Events (EN)
Infrastruktur
Gcore rechnet damit, dass sich 2022 die Anzahl und das Volumen der DDoS-Angriffe im Vergleich zu 2021 ungefähr verdoppeln werden: Die durchschnittliche Angriffskapazität wird von 150–300 Gbit/s auf 500–700 Gbit/s steigen. Als Ziele gelten sowohl gewöhnliche Nutzer als auch Unternehmen beliebiger Branchen wie Fintech, Spieleentwickler und E-Commerce. Wie die Angreifer vorgehen und wie der Schutz vor solchen Angriffen aussieht, erklärt Andrew Slastenov, der Leiter der Web-Sicherheit von Gcore.
Head of Web Security at Gcore
Andrew, welche Geschäftsbereiche werden 2022 häufiger angegriffen als andere?
Als Hauptziele gelten Fintech, Spieleentwickler und E-Commerce. — Darüber haben wir kürzlich in unserer Studie Entwicklung von DDoS-Angriffen in Q1-Q2 2022 berichtet. Im März 2022 haben wir beispielsweise einen leistungsstarken UDP Flood-Angriff abgewehrt, der sich gegen eine Spielentwicklungsfirma richtete, und im April einen TCP Flood-Angriff, der mehr als einen Tag dauerte und einen Fintech-Service betraf. Es gibt jeden Monat neue Fälle. Volumen und Anzahl der Angriffe haben sich im vergangenen Jahr mehr als verdoppelt.
Stehen hinter Angriffen auf Unternehmen immer Intrigen von Konkurrenten oder gibt es auch andere Gründe?
Es gibt sehr viele Gründe. Und es hängt stark von der Branche ab.
Nehmen wir einen Game-Entwickler: Hinter einem DDoS-Angriff kann ein normaler Gamer stehen, dem etwas nicht gefallen hat. Solche Fälle sind keine Ausnahme. Es kommt auch vor, dass Gamer — speziell im E-Sport-Bereich — auf diese Art das Ergebnis von Spielen beeinflussen, um an Preisgelder zu kommen. Konkurrenz gibt es natürlich überall: In Spielen mit kurzen Runden dienen DDoS-Angriffe beispielsweise dazu, eine Community zu zerstören und Nutzer für ein Projekt des Angreifers abzuwerben. Die Gründe sind vielfältig und die Zahl der Angriffe wächst permanent: Allein im Dezember dieses Jahres haben wir unsere Kunden aus dem Bereich Game-Entwicklung vor mehr als 200 Angriffen geschützt.
Hinter Angriffen auf Streamingdienste stecken dagegen meistens Konkurrenten. Nehmen wir an, ein Dienst fällt genau in dem Moment aus, in dem bei einer UEFA Übertragung ein Tor fällt. Das schreckt das Publikum natürlich ab, und manche Zuschauer wechseln zur Konkurrenz. Auch für Werbekunden gilt das: Niemand will sein Budget für eine instabile Plattform ausgeben.
Hinter Angriffen auf Fintech stecken Angreifer, die die Arbeit von Banken und Finanzdiensten durch zielgerichtete Attacken stören und destabilisieren wollen. Als während der Pandemie alle ins Homeoffice gingen, stieg die Zahl der Nutzer stark an und gleichzeitig nahmen auch die Angriffe zu. Seither erhalten wir laufend Anfragen von Fintech-Unternehmen, die aktiv angegriffen und gestört werden.
Auch E-Commerce-Unternehmen werden von Konkurrenten angegriffen. Dabei denken sich die Angreifer laufend neue Angriffstypen aus, es geht nicht nur um triviales DDoS. Ein Beispiel sind Scalping-Bots. Stell dir vor, am Black Friday tauchen auf einer Website unzählige Bots auf und kaufen in Sekundenschnelle alle Produkte auf. Oder Bots erstellen in Online-Shops falsche Accounts und geben viele Bestellungen auf, damit der Verkäufer bei der Auftragsbearbeitung Verluste macht — solche Vorgänge führen häufig zur Beeinträchtigung von Marketingkampagnen.
Es geht wirklich nicht nur um DDoS-Angriffe. Wie können sich Nutzer vor allen aktuellen Angriffsarten schützen?
Dazu muss ein spezieller Schutz aktiviert werden, eine Technologie, die den gesamten eingehenden Traffic analysiert und bösartige Anfragen herausfiltert. Entscheidend ist die Auswahl der richtigen Lösung: Sie muss exakt vor den Dingen schützen, die dich bedrohen. Wenn der Schutz auf der Transportebene erfolgt, während Angriffe aber auf der Anwendungsebene stattfinden, ist der Schutz sinnlos.
Unser Schutz unterteilt sich beispielsweise in zwei Produkte: Server-Schutz und Web-Schutz. Server-Schutz schützt Server gegen alle Arten von DDoS-Angriffen: Channel Oberflöz, Verstärkungsangriffe, UDP, ICMP, SYN Flood und andere. Web-Schutz schützt Websites, Anwendungen und APIs vor allen Arten von L3–L7-Angriffen.
Server-Schutz wird von Game-Entwicklungs- und Fintech-Firmen sowie Hosting-Anbietern gewählt — zum Schutz von Spieleservern, Handelsplattformen und Rechenzentren. Um diesen Schutz zu aktivieren, muss der Kunde lediglich einen sicheren Server in unserem Rechenzentrum bestellen oder die Aktivierung des Schutzes für seine bestehende Infrastruktur anfordern — wir kümmern uns dann um die Installation der notwendigen Hard- und Software. Wir blockieren verdächtige Anfragen und gewährleisten den reibungslosen Betrieb der Dienste. Dadurch sparen die Unternehmen Geld: Ein durch DDoS-Angriffe verursachter Ausfall kostet in der Spieleentwicklung im Durchschnitt 25.000 $ pro Stunde.
Web-Schutz wird von Unternehmen aus den Bereichen E-Commerce und Banking gewählt. Sie sind am häufigsten mit Angriffen auf der Anwendungsebene konfrontiert. Web-Schutz blockiert die Aktionen von Angreifern. Zu diesem Zweck analysiert der Schutz in Echtzeit verschiedene Arten von ungewöhnlichem Traffic und filtert diesen heraus. Der Schutz kann ohne Unterbrechung der Geschäftsprozesse aktiviert werden. Der Kunde stellt einfach eine Anfrage, dann integrieren wir unsere Filtering-Plattform in seine Anwendung. Diese Plattform nutzt leistungsstarke Prozessoren der 3. Generation von Intel® Xeon® Scalable und schützt Anwendungen vor Angriffen auf den Ebenen L3, L4 und L7.
Kannst du genauer beschreiben, wie Botnet-Angriffe funktionieren und wie man sich dagegen wehren kann?
Beginnen wir umgekehrt: Wie verhält sich beispielsweise ein gewöhnlicher Nutzer in einem Online-Shop? Er geht auf die Startseite, bleibt 5 Sekunden dort, geht dann zum Katalog und bleibt dort für weitere 10 Sekunden. — Das ist ein Standardszenario. Solche Dinge berücksichtigen wir bei der Verhaltensanalyse. Sobald sich bestimmte Aktionen stark von diesem Szenario unterscheiden — wenn der Nutzer z.B. die Startseite nur für eine Sekunde öffnet und sofort weitergeht, — wissen wir, dass es ein Bot ist, und wir blockieren ihn.
Wie schwierig ist es, zwischen Bots und echten Nutzern zu unterscheiden?
Alles ist ständig im Fluss, die Angreifer entwickeln ihre Methoden ständig weiter und die Botnet-Aktivitäten steigen. Ein einfaches Beispiel: Ein Krimineller will Informationen stehlen. Zuerst protokolliert er gewöhnliche Nutzeraktivitäten, dann digitalisiert er diese Aktionssequenz und entwickelt auf deren Basis einen Algorithmus für Botnet-Angriffe. Das sieht nicht besonders verdächtig aus, aber wir bemerken es trotzdem: Wenn zu viele Personen eine konkrete Ressource besuchen und in ähnlichen Zeitabständen ähnliche Aktivitäten ausführen, registrieren wir das und verhindern den Angriff.
Es ist eine unendliche Geschichte: Angreifer erfinden ständig neue Angriffsarten, und wir entwickeln effektive Schutzmethoden dagegen. Die Herausforderung für Unternehmen besteht darin, rechtzeitig den richtigen Schutz vor aktuellen Bedrohungen zu aktivieren: Wеr etwas zu lange zögert, kann schnell eine böse Überraschung erleben.