Schützen Sie sich vor zunehmenden DDoS-Angriffen auf Anwendungsebene
Wie Sie die Ausfallsicherheit von Apps mit einer Drei-Säulen-Strategie verbessern können
DDoS-Angriffe (Distributed Denial-of-Service) haben sich zu einer der häufigsten Bedrohungen für die Anwendungsschicht entwickelt – und diese Bedrohungen nehmen an Größe zu. Sie überlasten Server und Netzwerkressourcen mit so vielen Anfragen, dass Software verlangsamt oder zum Absturz gebracht werden kann, wodurch wichtige Vorgänge zum Erliegen kommen. Heutzutage machen DDoS-Angriffe einen erheblichen Teil aller Angriffe auf den Traffic von Webanwendungen aus. Tatsächlich machen sie 37 % des gesamten Datenverkehrs auf der Anwendungsebene aus, den Cloudflare 2024 als schädlich einstufte und blockierte.
Leider wird es für Cyberkriminelle immer einfacher, App-Layer-DDoS-Angriffe zu starten. Sie nutzen ständig neue Tools und wenden neue Taktiken an, um ihre bösartigen Aktivitäten zu optimieren. Beispielsweise haben DDoS-for-Hire-„Booster“-Dienste und KI-gestützte Angriffsskripte die Einstiegshürde für Angreifer gesenkt. Cyberkriminelle können Angriffe heutzutage schneller und kostengünstiger als je zuvor starten. Sie produzieren auch größere, raffiniertere Angriffe, wie die neuen, rekordverdächtigen Ereignisse, die wir jedes Quartal beobachten.
Gleichzeitig verbessern Cyberkriminelle ihre Fähigkeit, Ziele zu lokalisieren und Erkennungen zu entgehen. Zum Beispiel werden sie immer besser darin, Aufklärungstaktiken einzusetzen, um anfällige APIs zu finden. Und sie verwenden Botnetze, um tatsächliches Benutzerverhalten nachzuahmen und Sicherheitsinstrumente zu umgehen.
Führende CIOs haben den Ausbau der Abwehr gegen DDoS-Angriffe auf Anwendungsebene zur obersten Priorität erklärt. Um diese Angriffe zu stoppen, müssen Sicherheitsteams zunächst verstehen, wie sie funktionieren, warum sie so schwer zu erkennen sind und welche Auswirkungen sie auf die eigene Organisation haben können. Sie können dann ein strategisches Framework mit den wesentlichen Funktionen implementieren, um Angriffe abzuwehren und die Resilienz zu verbessern.
Grundlegendes zu neuen Bedrohungen auf Anwendungsebene
DDoS-Angriffe auf der Anwendungsschicht (oder Layer 7) sind gezielter als typische Netzwerk-DDoS-Angriffe (Layer 3 oder 4). Während Netzwerkangriffe darauf abzielen, weitreichende Störungen zu verursachen, konzentrieren sich DDoS-Angriffe auf Anwendungsebene darauf, kritische Geschäftsabläufe und Dienste zu unterbrechen. Sie könnten auf Anmeldeseiten, APIs oder Zahlungs-Gateways abzielen und versuchen, eine bestimmte Funktionalität zu unterbrechen, ohne notwendigerweise die gesamte Netzwerkinfrastruktur zu beeinträchtigen.
Auch Angriffe auf der Anwendungsebene haben ein geringeres Volumen als Netzwerkangriffe. Sie sind so konzipiert, dass sie durch die Einhaltung von Anwendungsprotokollen „normal“ erscheinen. Angreifer können Anfragen erstellen, die gültig erscheinen, wie z. B. Anmeldeversuche oder Suchanfragen, um bestimmte Softwarekomponenten zu überlasten. Die Angriffe übertragen möglicherweise geringe Mengen an schädlichem Datenverkehr über einen längeren Zeitraum, um einer Erkennung zu entgehen. Low-and-Slow-Angriffe zielen darauf ab, den Server oder die Datenbank, welche die Anwendung unterstützt, durch den Verbrauch von Ressourcen wie CPU-Zyklen, Arbeitsspeicher und Datenbankverbindungen zu überlasten.
Diese Beschränkung ist einer der Gründe, warum sich Angriffe auf Anwendungsschicht so schwer erkennen lassen. Diese Angriffe umgehen herkömmliche Netzwerkabwehrmaßnahmen, die auf Schwellenwerten für das Datenverkehrsvolumen basieren. Eine wirksame Abwehr erfordert eine adaptive Strategie, die Traffic-Qualität, Kontext und Intention analysiert und über die reine Messung der Traffic-Quantität hinausgeht.
Identifizieren allgemeiner Angriffsvektoren und -techniken
Cyberkriminelle nutzen verschiedene Techniken, um die Anwendungsschicht anzugreifen. Einige zielen auf verschiedene Elemente und Schwachstellen ab, während andere unterschiedliche Ansätze verfolgen, um Server zu überlasten. Die sechs gängigsten Techniken sind:
HTTP / HTTPS-Floods: Diese Art von Angriffen überlastet Webserver mit einer hohen Anzahl von HTTP-GET- oder POST-Anfragen, verbraucht Ressourcen und verursacht einen Denial-of-Service-Zustand für legitime Nutzer.
DNS-Abfragefluten: Angreifer überfluten DNS-Dienste mit Anfragen, was zu Kettenreaktionen führen kann, durch die abhängige Software und Dienste nicht mehr erreichbar sind.
Low-and-Slow-Angriffe: Techniken wie Slowloris oder R.U.D.Y. nutzen langsame, unvollständige Verbindungen mit minimaler Bandbreite, um Serverressourcen zu binden und gleichzeitig unentdeckt zu bleiben.
API-spezifische Angriffe: Mit dem Aufkommen von API-zentrierten Architekturen zielen Cyberkriminelle vermehrt auf bestimmte API-Endpunkte, um ganze Dienste außer Betrieb zu setzen.
Ausnutzung von Anwendungsschwachstellen: Angriffe können auch Sicherheitslücken wie SQL-Injection und Cross-Site-Scripting (XSS) ausnutzen, um Daten zu stehlen oder Systeme zu gefährden.
Neue Techniken: Angreifer entwickeln fortlaufend neue Techniken, wie beispielsweise die Technik, die vor einigen Jahren bei den HTTP/2-Rapid-Reset-Angriffen eingesetzt wurde. Heute verwenden sie auch Botnets, die Mausbewegungen randomisieren, Session-Cookies verwalten, Request-Header variieren und mehrere Seiten einer Website besuchen, um sich als Menschen auszugeben und einer Erkennung vor einem Angriff zu entgehen.
Manche dieser Techniken verwischen die Grenze zwischen DDoS und allgemeinen App-Layer-Taktiken: Sie dienen sowohl der Datenexfiltration als auch der Dienstverweigerung. Um diesen Bedrohungen zu begegnen, müssen Unternehmen ihre DDoS-Abwehrstrategie in die übergreifende Anwendungssicherheit integrieren.
Entwicklung einer Strategie zur Abwehr von Angriffen auf der Anwendungsschicht
Die Abwehr von DDoS-Angriffen auf der Anwendungsebene erfordert einen komplexen, vielschichtigen Ansatz, der über herkömmliche, volumenbasierte DDoS-Abwehrmaßnahmen hinausgeht. Dieser Ansatz sollte eine Kombination aus fortschrittlicher Erkennung, Prävention und Abwehr sowie einer adaptiven Sicherheitsarchitektur sein.
Erweiterte Erkennung
Moderne Erkennungsstrategien müssen in der Lage sein, die Nachahmungstaktiken der Angreifer zu durchschauen. Lösungen für User- und Entity Behavior Analytics (UEBA) erfassen durch kontinuierliches Monitoring des Applikationstraffics zunächst ein „normales“ Verhaltensmuster. Mithilfe von Machine Learning und Analyseverfahren erkennen sie im nächsten Schritt Anomalien, die potenzielle Angriffe signalisieren. Die Echtzeitüberwachung von App-Performance-Metriken – wie CPU-Auslastung und Speichernutzung – liefert auch frühe Hinweise auf einen Angriff.
Unternehmen sollten diese Fähigkeiten mit Echtzeit-Bedrohungsdaten aus großen, cloudbasierten globalen Netzwerken ergänzen. Teams können auch proaktiv schädliche IP-Adressen oder Botnetze mithilfe von Web Application Firewalls (WAFs) identifizieren und blockieren.
Prävention und Abwehr
Über die bloße Erkennung hinaus sollten Unternehmen diverse Präventions- und Abwehrmaßnahmen einsetzen, um die Widerstandsfähigkeit ihrer Software zu stärken. So verhindert etwa intelligentes Rate Limiting, dass übermäßige Anfragen Systemressourcen erschöpfen. WAFs filtern und blockieren schädlichen Datenverkehr, während API-Sicherheitsgateways schädliche API-Aufrufe filtern. Ein Zero Trust-Modell reduziert die Angriffsfläche und kontrolliert den Zugriff auf Apps, selbst wenn Anmeldedaten kompromittiert wurden.
Zur Bekämpfung von Angriffen können Unternehmen ein Content Delivery Network (CDN) implementieren, das Anwendungsinhalte weltweit verteilt, Angriffstraffic am Netzwerkrand abfängt und Ausfälle reduziert. Lastverteilung verteilt den Datenverkehr auf mehrere Server, um zu verhindern, dass ein einzelner Server überlastet wird, während die automatische Skalierung Ressourcen dynamisch basierend auf den Traffic-Anforderungen zuweist, um während Angriffen eine angemessene Kapazität sicherzustellen.
Adaptive Sicherheitsarchitektur
Angreifer sind nicht untätig. Sie entwickeln fortlaufend neue Techniken und setzen neue Werkzeuge ein, die ihnen helfen, Abwehrmechanismen zu umgehen. Unternehmen benötigen eine adaptive Sicherheitsarchitektur, die aus diesen sich entwickelnden Bedrohungen lernen und Angriffe autonom vorhersagen und darauf reagieren kann.
Bedrohungsdaten sind entscheidend für die DDoS-Resilienz – sie können die Abwehr von reaktiv zu vorausschauend transformieren. Durch die Verarbeitung von Daten zu globalen Angriffsmustern ermöglichen Bedrohungsdaten-Dienste es Unternehmen, neue Vektoren (wie neue Verstärkungstechniken oder Hacktivistenkampagnen) vorherzusehen und ihre Abwehrmaßnahmen proaktiv zu verstärken. Diese Intelligenz liefert in Echtzeit Listen bösartiger IP-Adressen zur sofortigen Blockierung, informiert präzise Rate-Limiting-Richtlinien und stellt sicher, dass Sicherheitsteams Störungen durch DDoS-Angriffe schnell von gezieltem Datendiebstahl unterscheiden können – für eine fokussierte und wirksame Reaktion, die sowohl die Verfügbarkeit von Diensten als auch die Integrität sensibler Daten schützt.
KI und Machine Learning (ML) werden ein wesentlicher Bestandteil dieser adaptiven Architektur sein. KI- und ML-basierte Tools analysieren große Mengen an Netzwerkdaten, um subtile Angriffsmuster und Anomalien zu identifizieren, die traditionelle Systeme möglicherweise übersehen. Sie lernen außerdem aus jedem neuen Angriff und wenden in Sekundenschnelle neue Richtlinien oder Regeln an, um Bedrohungen zu mindern.
Sicherheitsteams müssen auch agile Prozesse implementieren. Die Erstellung eines Notfallplans und die Durchführung realistischer DDoS-Simulationen sind entscheidend, um Schwachstellen zu identifizieren und Abhilfemaßnahmen zu validieren. Diese Pläne und Simulationen müssen weiterentwickelt werden, da Angreifer ihre Methoden anpassen und Organisationen Schwachstellen in Anwendungen identifizieren.
App-Layer-DDoS-Angriffe stoppen
Die Connectivity Cloud von Cloudflare bietet eine umfassende Palette an Cloud-nativen Diensten zum Schutz vor DDoS-Angriffen, einschließlich solcher, die auf Ihre Anwendungsschicht abzielen. Der DDoS-Schutz profitiert beispielsweise von der Cloudflare-Netzwerkkapazität von 449 Tbps Tbit/s, um selbst die größten DDoS-Angriffe abzuwehren, ohne die Anwendungsperformance zu beeinträchtigen. ML-basierte UEBA-Funktionen ermöglichen es Ihnen, ungewöhnliches Verhalten zu erkennen, das eine Bedrohung signalisiert, während der WAF-Service Echtzeitangriffe stoppt. Da diese und andere Funktionen vollständig in eine einzige Plattform integriert sind, kann Ihr Team Angriffe auf Anwendungsebene stoppen und die Ausfallsicherheit erhöhen, ohne die Komplexität zu erhöhen.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträgerinnen und -träger aus der Tech-Branche heute von Bedeutung sind.
Vertiefung des Themas:
Im E-Book „Fünf wichtige Überlegungen zur Abwehr von DDoS-Angriffen“ erfahren Sie mehr darüber, wie Sie Ihr Unternehmen vor DDoS-Angriffen schützen können, die auf die Anwendungsschicht und das Netzwerk abzielen.
Autor
Gregory Van den Top – @gregoryvdtop
Field CSO, Cloudflare
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Die neuesten DDoS-Vektoren und -Techniken auf Anwendungsebene
Warum Angriffe auf der Anwendungsebene schwer zu erkennen sind
Wie Sie eine Drei-Säulen-Strategie zur Abwehr von DDoS-Angriffen aufbauen