Schwachstellen erkennen
Was zum Schutz der Kundendaten notwendig ist wurde aktuell auf searchcity .de erläutert. Dazu heißt es:
Zunächst ist es wichtig, dass Anwender die potentielle Schwachstelle, das so genannte „Origin Adress Discovery“, verstehen. Hierbei wird die eigentlich geschützte Zieladresse vom Angreifer gefunden. Dies gilt es bei der Evaluierung und Implementierung von DDoS-Abwehrsystemen mit einzubeziehen. Genauer gesagt muss verstanden werden, warum dies so wichtig ist. Größere Kunden haben möglicherweise die Option, in bestimmten Situationen zwischen DNS und BGP für die Durchleitung des Datenverkehrs zu entscheiden. Das geht etwa dann, wenn eigene Hardware ausgerollt und das Unternehmen mindestens einen Class C Block für IP-Adressen besitzt. Obwohl ein Routing per BGP eigene Probleme mit sich bringt, kann es sich im Zweifelsfall durchaus lohnen, auf diese Technik umzusteigen. Wichtig ist, dass der potentiellen Anbieter in Vorabgesprächen gezielt auf die Schwachstelle angesprochen wird. So können Sie herausfinden, wie dieser das Problem angeht und die wichtigen Kundendaten schützt.
Verfügbarkeit der Daten für Angreifer
Eine regelmäßige Prüfung der Verfügbarkeit der Daten für Angreifer ist zwingend notwendig. Grund dafür sind die vielfältigen Angriffsmöglichkeiten, um an Daten zu gelangen:
- Ein Webentwickler könnte wichtige Informationen aus Versehen in einem Kommentar hinterlassen,
- ein MX-Eintrag könnte die Daten verraten,
- selbst X.509 Zertifikate können geschwätzig sein.
Dem entgegen zu wirken müssen alle verfügbaren Methoden ausgeschöpft werden, um sicherzustellen, dass man selbst keine sensitiven Daten nach außen trägt. Dazu gehören:
- Scanner,
- Tools zum Test von Anwendungen oder
- Data Loss Prevention
Zur Prüfung des Anti-DDoS-Dienstes sollten Unternehmen selbst einen Testangriff auf den Dienst durchführen. Wie es heißt lassen seriöse Anbieter dies meist zu oder helfen sogar, so einen Test zu organisieren. Ziel ist die Demonstration einer Attacke in einer geregelten Umgebung durchzuführen.
Geregelter Datenverkehr
Notwendig sind auch Regeln dazu, wie mit Datenverkehr umgegangen wird, der nicht aus dem Reinigungs-Center des Anbieters auf die Webseite trifft. Die Möglichkeit der kompletten Filterung des Datenverkehrs reicht nicht aus. Da es Situationen geben kann, in denen dies nicht möglich ist. Das betrifft Legacy-Systeme, die über fest eingespeicherte IP-Adressen auf Dienste zugreifen und sich nur schwer ändern lassen. Wie es weiter dazu heißt gibt es noch weitere Optionen wie IDS oder andere Überwachungssysteme, die das IT-Team benachrichtigen, wenn unerwartete Datenkommunikation im System auftaucht. Das verhindert zwar keinen DDoS, es kann aber frühzeitig warnen und dem Unternehmen Zeit geben, entsprechende Gegenmaßnahmen zu treffen.
Fazit
Im Fazit heißt es, die Entscheidung für einen DNS-basierten Abwehrmechanismus für DDoS-Angriffe mag eine Herausforderung sein. Unternehmen können aber bei der Implementierung sicherstellen, dass sie genau den Schutz erhalten, den sie brauchen und bezahlen. Werden potentielle Angriffswege wie Origin Adress Discovery verstanden und in die Planung (und nachfolgende Tests) mit einbezogen, können Firmen den Angreifern einen Schritt voraus bleiben.
Weiterführende Links:
DDoS-Attacken: Deutschland zurück in den Top 10
DDoS-Angriffe über die Cloud nehmen drastisch zu
Link11-DDoS-Report: Cyber-Kriminelle haben Linux-Rechner, WordPress und IoT ins Visier genommen
Intrusion-Detection-System-IDS
searchsecurity.de: DDoS-Abwehrdienste: Was Sie vor dem Einsatz wissen sollten
