IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

GlobeAkamai Technologies, Anbieter von Content-Delivery-Network (CDN)-Services, präsentiert seinen "Q3 2015 State of the Internet – Security Report". Der Quartalsbericht enthält eine ausführliche Analyse und umfangreiche Einblicke in die weltweite Cloud-Security-Bedrohungslandschaft.

  • Akamai konnte eine Rekordzahl von 1.510 DDoS-Attacken abwehren; das entspricht einem Anstieg um 180 Prozent gegenüber dem dritten Quartal 2014 und einem Zuwachs von 23 Prozent im Vergleich zum zweiten Quartal 2015
  • Der Einsatz Reflection-basierter DDoS-Angriffe durch eigens dazu angemietete Webseiten führte zu durchschnittlich kleineren Attacken – verglichen mit solchen, die von infizierten Botnetzen ausgeführt wurden
  • 55 Prozent aller Angriffe auf Web-Applikationen entfielen auf den Handel; am häufigsten von DDoS-Attacken betroffen war die Online-Gaming-Branche und die größten DDoS-Angriffe verzeichnete die Medien- und Unterhaltungsindustrie

Die DDoS-Attacken im Überblick

Die DDoS-Aktivitäten im Akamai Routed Network sind im dritten Quartal 2015 gegenüber dem zweiten Quartal 2015 um 23 Prozent auf einen Rekordwert von 1.510 Angriffen angestiegen; das entspricht einer Zunahme um 180 Prozent gegenüber dem dritten Quartal 2014. Obwohl die Zahl der DDoS-Attacken deutlich höher lag, waren diese von vergleichsweise kurzer Dauer bei niedrigeren durchschnittlichen Bandbreiten und Volumina. Es gab weniger Mega-Angriffe mit einer Bandbreite von mehr als 100 Gbit/s: im dritten Quartal 2015 waren es acht, im Quartal davor noch zwölf und im dritten Quartal 2014 immerhin 17. Die höchste gemessene Bandbreite im dritten Quartal 2015 betrug 149 Gbit/s; dabei kam ein XOR-DDoS-Botnetz zum Einsatz. Diese Bandbreite lag deutlich unter dem Spitzenwert von 250 Gbit/s im vorherigen Quartal. Allein drei der acht Mega-Attacken zielten auf Unternehmen aus der Medien- und Unterhaltungsindustrie.

Während die Angriffsbandbreite zurückging, war bei einer anderen Messgröße ein Rekordwert zu verzeichnen. Ein Unternehmen aus der Medien- und Unterhaltungsindustrie war von der höchsten jemals im Akamai Routed Network gemessenen DDoS-Angriffs-Paketrate mit einem Wert von 222 Millionen Paketen pro Sekunde (Mpps) betroffen. Das ist geringfügig mehr als der im zweiten Quartal 2015 gemessene Spitzenwert von 214 Mpps pro Sekunde. Im Vergleich dazu betrug die durchschnittliche, von Akamai im dritten Quartal 2015 gemessene Spitzengeschwindigkeit aller DDoS-Attacken 1,57 Mpps. Ein solches Angriffsvolumen genügt, um Tier-1-Router, wie sie Internet-Service-Provider (ISPs) einsetzen, lahmzulegen.

Die Online-Gaming-Branche ist bereits seit mehr als einem Jahr die am häufigsten angegriffene Branche und war auch im dritten Quartal 2015 bei den DDoS-Attacken besonders stark betroffen; ihr Anteil lag bei rund 50 Prozent. Auf Platz zwei folgte der Bereich Software und Technologie, auf den 25 Prozent entfielen.

Reflection-basierte DDoS-Attacken kommen häufiger vor als Infection-basierte. Statt wie früher Zeit und Geld in den Aufbau und die Pflege von DDoS-Botnetzen zu investieren, nutzen die Angreifer für ihre Zwecke die installierte Basis von Netzwerkgeräten und unsicheren Serviceprotokollen. So entfielen im dritten Quartal 2014 nur 5,9 Prozent der DDoS-Angriffe auf die Reflection-basierte Variante, im dritten Quartal 2015 waren es 33,19 Prozent.

DDoS-Attacken auf die Akamai Edge Firewall

Zum ersten Mal enthält der Security Report auch Daten zu den an der Akamai Edge Firewall beobachteten Angriffen, also an der Begrenzung der Akamai Intelligent Platform. Diese Daten bieten einen breiten Einblick in den Attack Traffic, der auf die weltweit mehr als 200.000 Server der Akamai-Plattform trifft. Die Analyse ergab, dass in der Top-Ten-Liste der ASNs (Autonomous System Numbers) der Großteil des Angriffsverkehrs aus China und anderen asiatischen Ländern kam. Die Reflection-Angriffe in den USA und Europa waren häufiger eher verteilter Natur.

Die DDoS-Metriken im Überblick

Im Vergleich zum dritten Quartal 2014 gab es:

  • einen Anstieg um 179,66 Prozent bei der Gesamtzahl der DDoS-Angriffe;
  • einen Anstieg um 25,74 Prozent bei den Application-Layer-Angriffen (Layer 7);
  • einen Anstieg um 198,1 Prozent bei den Infrastructure-Layer-Attacken (Layer 3 und 4);
  • einen Rückgang um 15,65 Prozent bei der durchschnittlichen Dauer der Angriffe: 18,86 vs. 22,36 Stunden;
  • einen Rückgang um 65,58 Prozent bei der durchschnittlichen Spitzenbandbreite, mit der die Attacken ausgeführt wurden;
  • einen Rückgang um 88,72 Prozent beim durchschnittlichen Spitzenvolumen;
  • einen Anstieg um 462,44 Prozent bei den Reflection-basierten Angriffen;
  • einen Rückgang um 52,94 Prozent bei den Angriffen mit mehr als 100 Gbit/s: 8 vs. 17 Attacken.

Im Vergleich zum zweiten Quartal 2015 gab es:

  • einen Anstieg um 22,79 Prozent bei der Gesamtzahl der DDoS-Angriffe;
  • einen Rückgang um 42,27 Prozent bei den Application-Layer-Angriffen (Layer 7);
  • einen Anstieg um 30,21 Prozent bei den Infrastructure-Layer-Attacken (Layer 3 und 4);
  • einen Rückgang um 8,87 Prozent bei der durchschnittlichen Dauer der Angriffe: 18,86 vs. 20,64 Stunden;
  • einen Rückgang um 25,13 Prozent bei der durchschnittlichen Spitzenbandbreite, mit der die Attacken ausgeführt wurden;
  • einen Rückgang um 42,67 Prozent beim durchschnittlichen Spitzenvolumen;
  • eine Zunahme um 40,14 Prozent bei den Reflection-basierten Angriffen;
  • einen Rückgang um 33,33 Prozent bei den Angriffen mit mehr als 100 Gbit/s: 8 vs. 12 Attacken.

Angriffsaktivitäten auf Web-Applikationen

Während im zweiten Quartal 2015 noch die Shellshock-Sicherheitslücke die HTTPS-basierten Angriffe auf Web-Applikationen dominierte, war dies im dritten Quartal 2015 nicht mehr der Fall. Infolgedessen hat sich das Verhältnis der Angriffe auf Web-Applikationen, die über HTTP beziehungsweise HTTPS erfolgen, wieder auf dem zuvor typischen Level eingependelt: 88 Prozent der Angriffe erfolgten über HTTP und 12 Prozent über HTTPS. Es ist jedoch davon auszugehen, dass der Anteil der HTTPS-Angriffe wieder zunimmt, da mehr Webseiten TLS-fähigen Traffic als Standard-Security-Layer einsetzen. Denkbar ist auch, dass Angreifer über HTTPS Attacken auf Backend-Datenbanken starten, auf die Applikationen typischerweise via HTTPS zugreifen.

Wie im vorhergehenden Quartal waren Local-File-Inclusion (LFI)- und SQL-Injection (SQLi)-Attacken die häufigsten Angriffsvektoren. Am stärksten betroffen von Angriffen auf Web-Applikationen war der Handel mit 55 Prozent aller Angriffe. Unmittelbar danach folgten Financial Services mit 15 Prozent. Angriffe auf Web-Applikationen stützten sich in hohem Ausmaß auf Botnetze, die Sicherheitslücken von Routern und anderen Geräten in Privathaushalten ausnutzen.

Bemerkenswert ist außerdem die Zunahme der Angriffe über Sicherheitslücken in WordPress-Plug-ins im dritten Quartal – davon waren nicht nur bekannte, sondern auch weniger bekannte Plug-ins betroffen.

Die USA waren im dritten Quartal 2015 die Hauptquelle für Angriffe auf Web-Applikationen; von dort stammten 59 Prozent der Angriffe, gleichzeitig richteten sich aber auch 75 Prozent der Angriffe auf Ziele in den USA. Die drei zahlenmäßig bedeutendsten ASNs ließen sich Virtual Private Systems (VPS) bekannter US-amerikanischer Cloud-Provider zuordnen. Vielen der Cloud-basierten virtuellen Server, die jeden Tag in Betrieb genommen werden, mangelt es an grundlegenden Sicherheitsmaßnahmen und sie können daher leicht von Botnetzen oder anderen Angriffsplattformen für deren Zwecke eingespannt werden.

Ein Blick auf Website Scraper

Ein Scraper ist eine spezielle Art von Bot, der darauf abzielt, Daten von Webseiten einzusammeln, sie zu speichern, zu analysieren und sie dann zu verkaufen oder sie selbst weiterzuverwenden. Eine Suchmaschine ist ein Beispiel für einen gutartigen Scraper, andere Beispiele sind Rate Aggregator, Reseller und SEO-Analyseservices. In einem eigenen Kapitel befasst sich der Security Report mit Scrapern und schildert Möglichkeiten, wie sie zu erkennen sind.

Die Metriken für Angriffe auf Web-Applikationen verzeichneten im Vergleich zum zweiten Quartal 2015:

  • einen Anstieg um 96,36 Prozent bei HTTP-basierten Angriffen auf Web-Applikationen;
  • einen Rückgang um 79,02 Prozent bei HTTPS-basierten Angriffen auf Web-Applikationen;
  • einen Anstieg um 21,64 Prozent bei SQLi-Angriffen;
  • einen Anstieg um 204,73 Prozent bei LFI-Angriffen;
  • einen Anstieg um 57,55 Prozent bei RFI-Angriffen;
  • einen Anstieg um 238,98 Prozent bei PHPi-Angriffen.

Zitat

"Seit einiger Zeit bereits verzeichnet Akamai eine steigende Zahl von DDoS-Angriffen und dieser Trend hat sich im dritten Quartal fortgesetzt. Auch wenn die einzelnen Angriffe im Durchschnitt kleiner und kürzer waren, entsteht daraus dennoch ein beträchtliches Cloud-Sicherheitsrisiko", sagt John Summers, Vice President der Cloud Security Business Unit bei Akamai. "Die Angriffe werden durch die einfache Verfügbarkeit von eigens für DDoS-Attacken angemieteten Webseiten befeuert, die Internet-Services wie SSDP, NTP, DNS, CHARGEN und selbst die Quote of the Day identifizieren und für ihre Zwecke missbrauchen."

Weitere Informationen:

Der vollständige Bericht steht unter www.stateoftheinternet.com/security-report zum Download zur Verfügung.

www.akamai.de

 
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet