Wer einem Botnet-Angriff ausgeliefert ist, verliert meist kräftig an Umsatz. Denn die Cyber-Kriminellen blockieren durch eine Vielzahl von zusammengeschalteten infizierten Rechnersystemen die Webseiten oder Dienste von Unternehmen. Der deutsche Sicherheitsspezialist 8ack klärt Botnet-Attacken auf und hilft durch ein Frühwarnsystem, künftige Angriffe zu vermeiden. Dazu dienen die eigenentwickelten IP-Reputation-Services, der „Threat Intelligence Feed“ und ein spezielles Scoring-Modell.
Der FBI-Botnet-Bericht aus dem letzten Jahr belegt: Auf das Konto von Botnets gehen allein in den Staaten über 9 Milliarden Dollar an Verlusten. Weltweit sollen es nach Schätzungen sogar rund 110 Milliarden Dollar an monetären Einbußen sein, die eine Armada an infizierten Rechnern verursacht. Die genaue Zahl liegt im Dunkeln. Doch laut dem FBI kommen jährlich über 500 Millionen infizierte Computer weltweit neu hinzu, so dass davon ausgegangen wird, dass jede Sekunde 18 Unternehmen weltweit Opfer einer Botnet-Attacke werden.
Heerschaaren von Cyberkriminellen und zahlreiche organisierte Cyber-Ringe, die aus den Attacken massiv Gewinn schlagen beziehungsweise gezielt für Schäden bezahlt werden, sorgen dafür, dass diese Bedrohung stetig zunimmt.
Botnets können jeglichen Dienst oder jede Anwendung im Web koordiniert und massiv angreifen. Das Problem: ist ein Botnet eliminiert, keimt schon das nächste noch raffinierter ausgelegte auf. Von der Vielzahl an infizierten Rechnern, von denen fast alle Besitzer — ob privater Endanwender oder Mitarbeiter in Unternehmen — nicht einmal wissen, dass sie kompromittiert sind, geht eine immense Bedrohung aus. Denn durch die globale Verteilung der einzelnen Rechner, die bei einer geplanten Attacke ein gemeinsames Angriffssystem bilden, ist eine individuelle Abwehr durch das Opfer kaum möglich. Das Verhältnis zwischen organisiertem Cyber-Verbrechen und den „Guten“ kippt durch die Botnetze massiv auf die Seite der Hacker.
„Botnetze sind das Rückgrat der Internetkriminalität“, erläutert Daniel Schattke, Geschäftsführer des deutschen Sicherheitsspezialisten 8ack aus Kiel. Deshalb hat sich 8ack darauf konzentriert, Mechanismen zu entwickeln, die die weltweit agierenden Botnetze in einem Frühwarnsystem erkennen, die Angriffsaktivitäten auf der eigenen „Global-Attack-Map“ sichtbar machen und mit ihrem eigenentwickelten „Threat Intelligence Feed“ und einem Scoring-Modell zuverlässig aufklären und vermeiden helfen. „8ack ist als einziges deutsches Unternehmen in der Lage, Botnet-Aktivitäten bis auf Einzelrechnerebene zu analysieren“, erklärt Schattke.
Um Botnet-Aktivitäten zuverlässig aufzuklären und die richtigen Maßnahmen zur Vermeidung von Schäden auf Webseiten und Diensten der Unternehmen zu empfehlen, kommen die beiden Produkte „Global-Attack-Map“ und der IP-Reputation-Service von 8ack zum Einsatz.
Global-Attack-Map
Die Global-Attack-Map ist Teil des umfassenden Services von 8ack gegen Cyber-Attacken für Carrier, Service-Provider und Unternehmen. Basis für die Daten der Hacker-Aktivitäten sind weltweit verteilte Sensoren, die als Honeypot in Rechenzentren jeglicher Couleur agieren sowie der „IP-Reputation-Service“.
Die zahlreichen Sensoren von 8ack aggregieren die Hacker-Aktivitäten auf der Global-Attack-Map. Brute-Force-, Web-, Vulnerability-Attacken und -Scans werden grafisch auf einer globalen Karte dargestellt und zeigen das aktuelle Angriffsverhalten in den Regionen dieser Welt. Zudem visualisiert die 8ack-Global-Attack-Map Informationen über die IP-Adresse mit den meisten Angriffen, aus welchen Rechenzentren das Gros der Angriffe stammt oder welcher Provider die meisten kompromittierten Server zu verzeichnen hat.
IP-Reputation-Service
Während die Honeypots den „Bösewichtern“ potenziell interessante Sites vorgaukeln, erfasst der IP-Reputation-Service mit seinem „Threat Intelligence Feed“ deren Aktivitäten. Dieser Dienst protokolliert die vorliegenden Attacken wie Brute-Force-, Web-,Vulnerability-Attacken sowie -Scans und wertet sie entsprechend aus.
Dazu werden die Rohdaten aus dem weltweit verteilten Sensorennetz über verschiedene Algorithmen korreliert und jeder Angreifer-IP wird ein Score zugewiesen, um False-Positives auszuschließen und um echte Angreifer zuverlässig zu identifizieren. 8ack stellt dazu den Kunden als Service eine stetig aktualisierte Kopie dieser Angreifer-Datenbank lokal zur Verfügung, damit diese erkannte und bekannte Angreifer blocken können. Die Angreifer-Datenbank basiert auf über 10.000.000 erkannten Angriffen je Monat und über 500.000 identifizierten Unique-IPs. Standardmäßig ist eine Integration in Apache- und Nginx-Webserver vorgesehen. Zudem lässt sich die Angreifer-Datenbank in Firewalls, IDS/IPS- sowie SIEM-Produkte integrieren, um den ganzheitlichen Schutzwall zu komplettieren, den Carrier-, Service-Provider und Unternehmen dringendst benötigen.
8ack bietet die Services entweder einzeln oder als Paket im Rahmen von Serviceverträgen an und berät Carrier-, Service-Provider und Unternehmen generell zur IT-Sicherheitsthematik.
