DDoS-Stresstest mit CERTAINITYDatum: 07.05.2024
Autor: Fabian Mittermair, Head of Offensive Security
In der heutigen digital vernetzten Welt stellen DDoS-Angriffe eine wachsende Bedrohung für Unternehmen jeder Größe dar. Durch die Störung von Online-Services und Systemen können kritische Lieferketten oder das Business-Modell eines Unternehmens bedroht werden. Dies birgt ein erhebliches Schadenspotential. Unternehmen und Organisationen werden dadurch einerseits verwundbar und andererseits erpressbar.
Was ist ein DDoS Angriff?
Ein DDoS-Angriff, kurz für Distributed-Denial-of-Service, ist eine Art von Cyberangriff, bei dem ein Angreifer versucht, einen Online-Dienst, eine Website oder ein Netzwerk zu stören oder unzugänglich zu machen. Dabei wird das Ziel mit einer überwältigenden Menge an Anfragen von mehreren Quellen gleichzeitig überschwemmt. Der Zweck eines solchen Angriffs besteht darin, die normalen Operationen des Ziels zu stören oder vollständig außer Betrieb zu setzen.
Im Gegensatz zu einem einfachen Denial-of-Service (DoS), bei dem nur ein einzelner Angreifer oder eine einzige Quelle beteiligt ist, nutzt ein DDoS-Angriff eine große Anzahl vernetzter Computer, um den Angriff durchzuführen. Diese Computer werden oft durch Malware infiziert und zu einem so genannten „Botnet“ zusammengefasst. Die Besitzer der infizierten Computer sind sich häufig nicht bewusst, dass ihre Geräte für solche Angriffe missbraucht werden.
DDoS-Angriffe können verschiedene Formen annehmen, abhängig von der Technik und den verwendeten Methoden. Die typischen Angriffsstrategien umfassen dabei:
- Volumetrische Angriffe: Diese zielen darauf ab, die Bandbreite des Opfers mit einer Flut von Daten zu überlasten.
- Protokollangriffe: Diese Angriffe überlasten Server- oder Netzwerkressourcen, indem sie auf Schwachstellen in den Kommunikationsprotokollen abzielen.
- Angriffe auf Anwendungsebene: Diese zielen auf Webanwendungen ab und versuchen, den Server durch das Ausnutzen von Schwachstellen oder das Überlasten von Anwendungsprozessen außer Betrieb zu setzen.
Die Abwehr von DDoS-Angriffen kann komplex sein und erfordert oft eine Kombination aus verschiedenen Maßnahmen. Der Aufbau einer robusten Netzwerkinfrastruktur mit ausreichend Kapazitäten, Redundanzen und skalierbaren Ressourcen bilden dabei die Grundlage. Darauf aufbauend können spezielle DoS-Schutzlösungen (z.B. Webanwendungs-Firewalls, Load-Balancer, …) diverser Hersteller eine erhebliche Steigerung der Widerstandsfähigkeit bieten. Für den optimalen Schutz gibt es noch die Möglichkeit in Zusammenarbeit mit externen Dienstleistern und Internet-Service-Providern (ISPs) eine effektive Angriffserkennung inkl. wirksamer Abwehrtechniken (z. B. Datenverkehr umleiten, …) zu etablieren.
Gründe für die Durchführung eines DDoS-Stresstest
Ein DDoS-Stresstest von CERTAINITY simuliert auf kontrollierte Weise einen realen DDoS-Angriff auf Ihre IT-Infrastruktur. Durch die Simulation erfahren Unternehmen, wie gut ihre Systeme einem tatsächlichen Angriff standhalten. Die Gründe für die Durchführung eines DDoS-Stresstests sind vielfältig. Dabei werden die folgenden Ziele erreicht:
Effektivität der getroffenen Abwehrmaßnahmen und Mechanismen: Häufig sind teure Maßnahmen aufgrund fehlerhafter Konfiguration und mangelhaften Einstellungen unter den Bedingungen eines Cyber-Angriffs wirkungslos. Ein DDoS-Stresstest unter realen Bedingungen ermöglicht es den IT-Sicherheitsteams die Systeme korrekt einzustellen und zu optimieren. Nur so können alle Features effektiv eingesetzt und dadurch eine maximale Schutzwirkung erzielt werden.
Leistungsnachweis: Durch das gezielte Prüfen von DDoS-Schutzlösungen oder ISP-Services kann die Leistung nachgewiesen werden. Dies kann besonders vor der tatsächlichen Beschaffung innerhalb der Pilotphase nützlich sein. Hiermit können die Versprechen der Hersteller und Lieferanten vorab auf die Probe gestellt und getestet werden.
Messung und Benchmark: Prüfen Sie die Widerstandsfähigkeit Ihrer Systeme gegenüber einem realen DDoS-Cyber-Angriff. Vergleichen Sie ihr Schutzniveau mit dem individuellen Bedrohungslevel und machen Sie potenzielle Schutzlücken sichtbar.
Vorschriften und Regulierung: Richtlinien wie NIS2 und DORA zielen darauf ab, die Resilienz europäischer Unternehmen gegenüber Cyber-Angriffen zu erhöhen. Dies umfasst neben der Implementierung von Sicherheitsmaßnahmen zur Mitigation von Cyber-Risiken auch die Prüfung der Effektivität der Maßnahmen. In Bezug auf DDoS-Risiken gibt es keine wirklichen Alternativen zur Durchführung von DDoS-Stresstests. Die genauen Anforderungen können je nach Sektor und Größe des Unternehmens variieren.
Aufdecken von Schwachstellen: Schwachstellen in der Konfiguration und/oder Single-Point-of-Failure in der Architektur können die Verwundbarkeit gegenüber DDoS erheblich erhöhen. Die Durchführung eines DDoS-Stresstests hilft präventiv Sicherheitsprobleme sichtbar zu machen. Durch das Schließen der Lücken kann die Widerstandsfähigkeit erheblich erhöht werden.
Training für das Blue Team: Im Rahmen der Angriffssimulation wird die Reaktionsfähigkeit des zuständigen IT-Sicherheitsteams (Blue Team) unter realen Bedingungen trainiert und getestet. Die Simulation hilft beispielsweise Notfallprozesse und Checklisten zu evaluieren. In weiterer Folge können diese ggf. aktualisiert und optimiert werden.
Abschätzung der Auswirkungen: Abseits der unmittelbar von einem DDoS-Angriff betroffenen Systemen können auch weitere Systeme beeinträchtigt werden. Die Auswirkungen auf die technische Gesamtinfrastruktur sind häufig unbekannt und unkalkulierbar. Die Durchführung eines DDoS-Stresstests kann bei der Identifikation potenzieller Wechselwirkungen helfen.
Unser Vorgehen und Messmethoden?
CERTAINITY nutzt bei der Bewertung der Widerstandsfähigkeit die international anerkannten Metriken des DDoS-Resiliency-Scores (DRS). Der DRS zeigt an wie gut ein Netzwerk oder Webinfrastruktur in der Lage ist, einen DDoS-Angriff zu überstehen oder sich davon zu erholen. Das DRS-Bewertungssystem gliedert sich in sieben Stufen von DDoS-Attacken. Mit jeder Stufe kommen neue Angriffsformen, spezifischere Angriffsmuster und ein höheres Datenaufkommen hinzu. Folglich wachsen die Herausforderungen für die Abwehr: Jede Stufe verlangt nach schnelleren Reaktionszeiten zur Eindämmung des Schadens und zu komplexeren Maßnahmen Die nachfolgende Tabelle bietet eine Übersicht der wichtigsten Merkmale der einzelnen DDoS-Angriffsstufen:
| Stufe | Bezeichnung | Volumen | Request-per-Second (RPS) |
|---|---|---|---|
| 1 | Poking, Anklopfen | 100 MBit | 1.000 |
| 2 | ScriptKiddy | 1 GBit | 5.000 |
| 3 | Basic Level Professionals | 100 GBit | 10.000 |
| 4 | Sophisticated Professionals | 500 GBit | 100.000 |
| 5 | Advanced Professionals | 1.000 GBit | 1 Million |
| 6 | Extreme Professionals | No limit | No limit |
| 7 | State Sponsored | No limit | No limit |
Quellen: https://www.ddosresiliencyscore.org/
Vereinbaren Sie einen individuellen Termin, um Ihre Fragen und Zielsetzungen mit den Experten von CERTAINITY zu besprechen. Gerne beraten wir Sie bei der Wahl der individuellen Parameter, um das optimale Vorgehen zur Erreichung Ihrer Ziele zu finden.
Kontaktieren sie uns per E-Mail unter: sales@certainity.com