Hacker schlafen nicht: EfficientIP erklärt, warum sich IT-Sicherheitsexperten nicht immer auf ihre Lösungen verlassen können
Ältere Lösungen bieten oft keinen ausreichenden Schutz vor DDoS-Attacken / Security-Experte EfficientIP erläutert warum
(pressebox) Eschborn, 24.04.2015 - DDoS-Angriffe bedrohen verstärkt deutsche und internationale Firmen. Ein großes Problem ist hierbei, so EfficientIP, dass viele Security-Lösungen nur unzureichenden Schutz bieten. Nach Angaben des britischen Telekommunikationskonzerns BT sind vier von zehn im Internet vertretenen Unternehmen jüngst Opfer eines Distributed-Denial-of-Service-Angriffs (DDoS) geworden - Tendenz steigend. Die Security-Experten von EfficientIP erklären, warum aktuelle Lösungen zunehmend Schwierigkeiten haben, DNS-Services zu schützen.
Das sind die Schwachstellen vieler aktueller Security-Lösungen:
1. Computerangriffe werden immer komplexer
Hacker werden immer kreativer und entwickeln ständig neue und komplexe Techniken, um in die DNS-Infrastruktur zu gelangen. Die angewandten Lösungen sind nicht in der Lage, sich den Bedrohungen in der gleichen Geschwindigkeit anzupassen wie sie passieren. Einige Lösungen haben bereits über 100 Regeln aufgestellt, um Bedrohungen abzuwenden. Diese Regeln zu programmieren ist für die Verantwortlichen nicht nur eine mühselige Aufgabe, es bietet vor allem keinen hundertprozentigen Schutz.
2. Schlechte Filter führen zum Ausschluss von legitimen Anfragen
Wird eine DNS-Attacke entdeckt, kann die Lösung die IP-Adresse, die für den Angriff verantwortlich ist, blockieren. Hacker sind allerdings in der Lage, Attacken von verschiedenen mit Malware infizierten Computern zu generieren. Wenn die Sicherheitslösung also eine IP-Adresse blockiert, könnte es passieren, dass dies der Computer eines Kunden, Partners oder im schlimmsten Fall der eigene ist.
3. Hilflosigkeit gegen volumetrische Attacken
Sind Attacken volumetrisch (wie rund 63 Prozent der DDoS-Attacken) können aktuelle Lösungen schnell übersättigt sein. Um eine Attacke zu entdecken, muss der Filtermechanismus eine tiefgreifende Analyse der Inhalte der DNS-Nachrichten durchführen. Diese Analyse beinhaltet große Datenmengen, was wiederrum zu signifikanter Mehrarbeit für die Analysetools führt. Während einer volumetrischen Attacke explodiert die Menge an Datenzugriffen, die Tools werden lahmgelegt und die Schutzlösung ist nicht mehr vollständig effektiv.
4. Langsame Attacken
Ein Teil der Attacken auf DNS-Server sind sogenannte "langsame Attacken" oder sie werden gar nicht entdeckt (auch als Phantom-Attacken bekannt). Diese Angriffsart basiert nicht auf einer großen Menge an Anfragen sondern auf geringen Volumen mit Frequenzen, die für Filter unsichtbar sind.
5. Anfälligkeit für Cache-Vergiftung
Entdeckt eine Filterlösung ein auffälliges Verhalten, wird erwartet, dass sie die beeinflussten Pakete abweist und nur legitime Anfragen durchlässt. Das Problem ist, dass die abgewiesenen Pakete Anfragen unbeantwortet lassen. Hierdurch können Hacker den Cache infiltrieren, indem sie anstelle des Servers antworten. Hacker können den Filtermechanismus durch gefälschte positive Anfragen aushebeln und bekommen so Zugriff zum Server.
"Egal wie sie stattfindet: Eine Server-Attacke ist eine direkte und schwere Bedrohung für ein Unternehmen. Glücklicherweise gibt es spezielle Lösungen für DNS-Services, die die unterschiedlichsten Angriffsarten entdecken und identifizieren können und die entsprechenden Gegenmaßnahmen einleiten", erklärt Marko Richter, Channel Sales Manager bei EfficientIP. Er fügt hinzu: "Die IT-Security-Verantwortlichen in Unternehmen sollten ihren Sicherheitsansatz regelmäßig überprüfen, um immer auf dem aktuellen Stand und den Angreifern im besten Fall einen Schritt voraus zu sein."
Das sind die Schwachstellen vieler aktueller Security-Lösungen:
1. Computerangriffe werden immer komplexer
Hacker werden immer kreativer und entwickeln ständig neue und komplexe Techniken, um in die DNS-Infrastruktur zu gelangen. Die angewandten Lösungen sind nicht in der Lage, sich den Bedrohungen in der gleichen Geschwindigkeit anzupassen wie sie passieren. Einige Lösungen haben bereits über 100 Regeln aufgestellt, um Bedrohungen abzuwenden. Diese Regeln zu programmieren ist für die Verantwortlichen nicht nur eine mühselige Aufgabe, es bietet vor allem keinen hundertprozentigen Schutz.
2. Schlechte Filter führen zum Ausschluss von legitimen Anfragen
Wird eine DNS-Attacke entdeckt, kann die Lösung die IP-Adresse, die für den Angriff verantwortlich ist, blockieren. Hacker sind allerdings in der Lage, Attacken von verschiedenen mit Malware infizierten Computern zu generieren. Wenn die Sicherheitslösung also eine IP-Adresse blockiert, könnte es passieren, dass dies der Computer eines Kunden, Partners oder im schlimmsten Fall der eigene ist.
3. Hilflosigkeit gegen volumetrische Attacken
Sind Attacken volumetrisch (wie rund 63 Prozent der DDoS-Attacken) können aktuelle Lösungen schnell übersättigt sein. Um eine Attacke zu entdecken, muss der Filtermechanismus eine tiefgreifende Analyse der Inhalte der DNS-Nachrichten durchführen. Diese Analyse beinhaltet große Datenmengen, was wiederrum zu signifikanter Mehrarbeit für die Analysetools führt. Während einer volumetrischen Attacke explodiert die Menge an Datenzugriffen, die Tools werden lahmgelegt und die Schutzlösung ist nicht mehr vollständig effektiv.
4. Langsame Attacken
Ein Teil der Attacken auf DNS-Server sind sogenannte "langsame Attacken" oder sie werden gar nicht entdeckt (auch als Phantom-Attacken bekannt). Diese Angriffsart basiert nicht auf einer großen Menge an Anfragen sondern auf geringen Volumen mit Frequenzen, die für Filter unsichtbar sind.
5. Anfälligkeit für Cache-Vergiftung
Entdeckt eine Filterlösung ein auffälliges Verhalten, wird erwartet, dass sie die beeinflussten Pakete abweist und nur legitime Anfragen durchlässt. Das Problem ist, dass die abgewiesenen Pakete Anfragen unbeantwortet lassen. Hierdurch können Hacker den Cache infiltrieren, indem sie anstelle des Servers antworten. Hacker können den Filtermechanismus durch gefälschte positive Anfragen aushebeln und bekommen so Zugriff zum Server.
"Egal wie sie stattfindet: Eine Server-Attacke ist eine direkte und schwere Bedrohung für ein Unternehmen. Glücklicherweise gibt es spezielle Lösungen für DNS-Services, die die unterschiedlichsten Angriffsarten entdecken und identifizieren können und die entsprechenden Gegenmaßnahmen einleiten", erklärt Marko Richter, Channel Sales Manager bei EfficientIP. Er fügt hinzu: "Die IT-Security-Verantwortlichen in Unternehmen sollten ihren Sicherheitsansatz regelmäßig überprüfen, um immer auf dem aktuellen Stand und den Angreifern im besten Fall einen Schritt voraus zu sein."
