DDoS-Attacken fügen Banken aber auch Unternehmen in anderen Branchen ­hohen Schaden zu

DDoS-Attacken fügen Banken aber auch Unternehmen in anderen Branchen ­hohen Schaden zu ©Maksim Kabakou - stock.adobe.com

So schützen sich Finanz­institute vor DDoS-Attacken

Ein Artikel von Piotr Kluczwajd, AVP Central Europe bei Imperva | 06.09.2018 - 10:59
Der beste Weg, einen Angriff zu erkennen, ist die Überwachung des Anwendungs- und Netzwerkverkehrs. So können Firmen feststellen, ob eine schlechte Anwendungs­performance auf Ausfälle des Service ­Providers oder einen DDoS-Angriff zurückzuführen ist. Die Überwachung des Datenverkehrs ermöglicht es Firmen auch, legitimen Datenverkehr von Angriffen zu unterscheiden. Idealerweise sollten Sicherheitsadministratoren den Datenverkehr, die Anwendungsleistung, anomales Verhalten, Protokollverletzungen und Webserver-Fehlercodes überprüfen. Da DDoS-Angriffe fast immer von Botnetzen ausgeführt werden, sollten Anwendungstools in der Lage sein, zwischen legitimen Benutzern und Bot-Verkehr zu unterscheiden.

Bösartige Benutzer erkennen und stoppen

Es gibt zwei Hauptmethoden, um den DDoS-Angriffsverkehr zu identifizieren: einerseits das Identifizieren bösartige Benutzer und andererseits das Identifizieren bösartiger Anfragen. Für den DDoS-Datenverkehr von Anwendungen kann die Identifizierung bösartiger Benutzer der effek­tivste Weg sein, um Angriffe zu verhindern. Böswillige Benutzer können mit den ­folgenden Maßnahmen erkannt werden: 
  • Erkennen Sie bekannte Angriffsquellen wie bösartige IP-Adressen, die andere Websites aktiv angreifen und anonyme Proxies und TOR-Netzwerke identifizieren: Bekannte Angriffsquellen machen ­einen Großteil aller DDoS-Angriffe aus. Da sich bösartige Quellen aber ständig ­ändern, sollten Betriebe über eine aktuelle Liste aktiver Angriffsquellen verfügen. 
  • Identifizieren Sie bekannte Bot-Agenten: DDoS-Angriffe werden fast immer von einem automatisierten Client durchgeführt. Viele dieser Clients oder Bot-Agenten haben Eigenschaften, die sie von ­normalen Webbrowser-Agenten unterscheiden. Tools, die Bot-Agenten erkennen, können viele Arten von DDoS-Quellen sofort stoppen. 

Bösartige Anfragen erkennen und stoppen

Da Anwendungs-DDoS-Angriffe den normalen Web-Anwendungsverkehr nachahmen, können sie durch typische Netzwerk-DDoS-Techniken schwer zu erkennen sein. Mit einer Kombination aus Kontrollen auf Anwendungsebene und der Erkennung von Anomalien können Firmen jedoch bösartigen Daten­verkehr erkennen und stoppen. Zu den Maßnahmen gehören: 
  • Das Erkennen einer übermäßigen Anzahl von Anfragen aus einer einzigen Quelle oder Benutzersitzung: Automatisierte ­Angriffsquellen fordern Webseiten fast immer schneller an als legitime Benutzer. 
  • Weiterhin gilt es bekannte DDoS-Angriffe auf Netzwerk- und Anwendungsebene zu verhindern: Viele Arten von DDoS-Angriffen beruhen auf einfachen Netzwerktechniken wie fragmentierten Paketen, Spoofing oder nicht abgeschlossenen TCP-Handshakes. Fortgeschrittene Angriffe, typischerweise Angriffe auf Anwendungsebene, versuchen, die Serverressourcen zu überfordern. Diese Angriffe können durch ungewöhnliche Benutzeraktivitäten und bekannte Angriffssignaturen erkannt werden. 
DDoS-Angriffe stellen eine große Bedrohung für den Finanzsektor dar; doch durch das Befolgen der obigen Schritte wird es für Betriebe einfacher, DDoS-Angriffe zu erkennen und zu stoppen, bevor sie Schaden anrichten.n