Tsunami an Web-DDoS-Angriffen

Die Weiterentwicklung von HTTP-DDoS-Flood ist ausgeklügelt, aggressiv und lässt sich nur schwer ohne Nebenwirkungen entschärfen – zu diesem Schluss kommt Check Point Software Technologies,  die zudem in der ersten Hälfte des Jahres 2023 einen massiven Anstieg von DDoS-Angriffen (Distributed Denial of Service) beobachtet haben. Die Attacken haben dabei ein neues Niveau an Raffinesse, Häufigkeit und Umfang erreicht, mit dem sich Unternehmen nun auseinandersetzen müssen. Diese steigende Bedrohung wird insbesondere durch die Beliebtheit von Web-DDoS-Angriffen verdeutlicht, die sich branchen- und länderübergreifend zu einer gewaltigen Gefahr entwickelt haben. Ein Web-DDoS-Tsunami-Angriff ist eine Weiterentwicklung des HTTP-DDoS-Flood-Cyberangriffs, der ausgeklügelt und aggressiv ist und sich nur sehr schwer erkennen und entschärfen lässt, ohne den legitimen Datenverkehr zu blockieren.

 

Die sich entwickelnde DDoS-Bedrohungslandschaft

Wie man aus den jüngsten Nachrichten erfahren konnte, haben DDoS-Angriffe im Jahr 2022 und in der ersten Hälfte des Jahres 2023 erstaunliche Ausmaße angenommen. Die Daten des Threat Hub unseres Partners Radware zeigen einen bemerkenswerten Anstieg der blockierten DDoS-Ereignisse im Jahr 2022 um 152 Prozent im Vergleich zu 2021, verbunden mit einem Anstieg des gesamten blockierten Angriffsvolumens um 32 Prozent im Vergleich zum Vorjahr. Der größte DDoS-Angriff im Jahr 2022 erreichte unglaubliche 1,46 TBit/s – ein 2,8-facher Anstieg gegenüber dem Vorjahresrekord. Darüber hinaus haben die Angreifer nicht nur finanzielle Motive, sondern auch politische Motive, die einen Großteil der DDoS-Angriffe ausmachen. Die Verschiebung begann zeitgleich mit dem Einmarsch Russlands in der Ukraine, der eine noch nie dagewesene Synchronisation zwischen Cyberangriffen und realen Ereignissen zeigte. Dieser Trend hat zu einem Anstieg der staatlich geförderten Hacktivistengruppen geführt, die Organisationen in verschiedenen Sektoren angreifen, was weitreichende Auswirkungen hat.

 

Drei wichtige Trends bei DDoS-Angriffen

Nr. 1: Aufkommen von staatlichen Akteuren:
Die Verlagerung von finanziell motivierten Hackern zu staatlich unterstützten Hacktivistengruppen hat die Gesamtlandschaft erheblich verändert. Staatlich geförderte Gruppen verfügen über weitaus mehr Ressourcen und eine bessere Organisation, was ihre Möglichkeiten erweitert, ausgeklügelte Angriffstools zu entwickeln, ein breiteres Spektrum von Opfern anzugreifen und relativ ungestraft zu operieren.

Nr. 2: Angriffe nehmen an Umfang und Komplexität zu:
Angreifer setzen neue Tools ein, die größere und kompliziertere Angriffe ermöglichen. Sie mischen Angriffsvektoren innerhalb einzelner Angriffe, was herkömmliche Abwehrtechnologien und -praktiken vor Schwierigkeiten stellt.

Nr. 3: Verlagerung auf Angriffe auf der Anwendungsebene:
DDoS-Angriffe zielen zunehmend auf die Anwendungsebene ab, was die Erkennung und Eindämmung erschwert. Der Einsatz fortschrittlicher Web-DDoS-Angriffstools hat dazu geführt, dass herkömmliche Abwehrmaßnahmen gegen diese ausgefeilten Taktiken weniger wirksam sind.

 

Was genau sind Web-DDoS-Angriffe und warum sind sie schwieriger zu entschärfen?

Die Verschmelzung dieser oben genannten Trends hat dazu geführt, dass Web-DDoS-Angriffe zum wichtigsten Vektor für moderne DDoS-Bedrohungen geworden sind. Diese Angriffe nutzen die HTTP- oder HTTPS-Protokolle auf der Anwendungsebene aus und richten eine Flut von Anfragen an Webanwendungen, um Server zu überlasten. Da der meiste Webverkehr verschlüsselt ist, wird die Erkennung böswilliger Absichten komplex, was die Abwehr dieser Angriffe besonders schwierig macht.

Web-DDoS-Herausforderungen:

  • Asymmetrische Verarbeitung: SSL/TLS-Protokolle beanspruchen mehr Serverressourcen, so dass Angreifer mit relativ wenigen Anfragen massive Angriffe durchführen können.
  • Verschlüsselte Nutzdaten: Der Großteil des Web-Datenverkehrs ist verschlüsselt, so dass eine Überprüfung durch herkömmliche Verteidigungsmaßnahmen unwirksam ist.
  • Angriffe auf die Anwendungslogik: Angriffe auf der Anwendungsschicht imitieren legitime Anfragen und erfordern ein tiefes Verständnis, um Anomalien zu erkennen, die auf einen Angriff hindeuten.
  • Fortschrittliche Angriffswerkzeuge: Angreifer verwenden neue Tools mit zufälligen Angriffsvektoren und Techniken, die herkömmliche Verteidigungsmaßnahmen umgehen.

 

Dem Tsunami Einhalt gebieten

In den letzten 18 Monaten ist die Zahl der DDoS-Angriffe, die in Umfang, Häufigkeit und Raffinesse zugenommen haben, in beispiellosem Maße gestiegen. Dieses Wachstum ist auf eine Kombination von Faktoren zurückzuführen. Obwohl jeder dieser Faktoren für sich genommen steht, haben sie sich zu einer grundlegenden Veränderung in der Bedrohungslandschaft zusammengefügt, die gefährlicher ist als je zuvor. Unter diesen Umständen haben sich DDoS-Tsunami-Angriffe aus dem Internet als besonders verheerende Bedrohung für Unternehmen herauskristallisiert, die die Verfügbarkeit unternehmenskritischer Anwendungen und Dienste gefährden. Herkömmliche DDoS-Schutzmethoden sind jedoch nicht in der Lage, einen adäquaten Schutz gegen diese Angriffe zu bieten, so dass ein neuer Ansatz für den DDoS-Schutz erforderlich ist. Wer es versäumt, die eigenen Schutzwälle den neuen Entwicklungen und Umständen anzupassen, der droht vom DDoS-Tsunami weggeschwemmt zu werden.

#CheckPoint