Unübersichtlicher Markt

Der Markt für Anti-DDoS-Lösungen ist breit gefächert und nicht gerade übersichtlich. So haben viele klassische Hersteller von Endpoint-Security-Lösungen auch DDoS-Produkte im Portfolio. Daneben gibt es Spezialanbieter, die mit Web Application Firewalls (WAF) sogenannte Layer-7-Attacken verhindern, da sie die Kommunikation auf der Anwendungsebene schützen beziehungsweise filtern. Auch Content Delivery Networks (CDNs) sind in der Lage, den gesamten Verkehr in einem internen Netz zu filtern und Anfragen zu blocken. Und schließlich gibt es Fullservice-Anbieter, die alle genannten Techniken und Möglichkeiten zur DDoS-Abwehr in einem eigenen Netz kombinieren.

Welche Lösung ist nun die richtige? Das hängt stark davon ab, was ein Unternehmen schützen will und ob einzelne Techniken ausreichen oder ein Fullservice-Angebot benötigt wird. Nicht zuletzt daraus resultieren starke Preisunterschiede. Als erste Grundlage für die Entscheidung können die folgenden Informationen zu den Schutzlösungen einiger wichtiger Anbieter dienen. com! professional hat ein halbes Dutzend Anbieter gefragt, wie kritisch sie das DDoS-Problem sehen und mit welchen Techniken sie Unternehmen helfen.

Kaspersky zum Beispiel schützt mit seinen Lösungen normalerweise ganz klassisch Endpunkte wie Clients und Server. Zusätzlich gibt es von Kaspersky eine Lösung aus On-Premises-Appliance oder Cloud-Service vor dem lokalen oder Cloud-Server mit dem Zusatzschutz einer Web  Application Firewall. 

Cloudflare ist einer der weltweit größten Content-Delivery-Network-Anbieter. Ein Unternehmenskunde lenkt dabei den gesamten bei ihm ankommenden Netzwerkverkehr durch das Cloudflare-CDN. Dort bietet Cloudflare diverse Möglichkeiten, den Datenstrom zu filtern und IP-Adressen oder Cluster zu blocken. Das Netzwerk von Cloudflare ist so groß, dass es bereits DDoS-Attacken mit Millionen Abfragen pro Sekunde abgewehrt hat.

Barracuda, Netscout und Radware nutzen ähnlich wie die klassischen Security-Hersteller Cloud-Instanzen für den ankommenden Verkehr zu einem Unternehmen und filtern diesen. Zusätzlich dienen Web Application Firewalls und On-Premises-Lösungen zur Abwehr von Layer-7-Angriffen. Der Schutz bei Herstellern wie diesen ist etwas umfang­reicher, aber sie betreiben meist kein eigenes Netzwerk oder eine eigene Cloud, sondern haben beides gemietet.

F5 und Link11 wiederum sehen sich als Fullservice-Dienstleister besonders für größere Unternehmen. Ihr Angebot umfasst eine Art eigenes CDN beziehungsweise eine Cloud-Lösung. In ihnen stehen alle weiteren Techniken zur Verfügung. Sie bieten Schutz-Suiten von Layer 3 bis 7, die um weitere Techniken ergänzt werden, etwa WAF für die Anwendungsebene. Machine Learning (ML), Künst­liche Intelligenz (KI) und Service Level Agreements (SLAs) garantieren diesen Anbietern zufolge eine Echtzeitreaktion bei allen Angriffsvektoren und auf allen Ebenen.

Kaspersky DDoS Protection soll jede Phase in der Verteidigung eines Unternehmens abdecken – von der 24/7-Analyse des Datenverkehrs bis hin zur Benachrichtigung über einen möglichen Angriff und der anschließenden Umleitung des Datenverkehrs, seiner Bereinigung und der Rückgabe von „sauberem“ Datenverkehr an das Unternehmen. Dazu wird eine spezielle Verteidigungsinfrastruktur einschließlich der Sensor-Software von Kaspersky genutzt. Diese wird sowohl am Standort der Organisation als auch in einem Netzwerk von Kaspersky-Cleaning-Centern ausgeführt. Wählen kann man bei DDoS Protection zwischen zwei Umleitungsmethoden: Border Gateway Protocol (BGP) oder Domain Name System (DNS).

Die Kaspersky DDoS Intelligence soll eine frühe Erkennung von DDoS-Angriffen gewährleisten. Normalerweise haben Threat-Intelligence-Experten die Aufgabe, die Gefahrenlage im Blick zu haben und neue Malware und aufkommende Bedrohungen zu identifizieren. Weil Kas­persky DDoS als sehr ernst zu nehmende Bedrohung einstuft, werden dieselben Experten auch zur Überwachung der DDoS-Landschaft eingesetzt.

Die Kaspersky-Lösung setzt einen gewissen Vorlauf voraus. Kaspersky und seine Partner kümmern sich dabei um das meiste, was anfällt. Der DDoS-Schutz ist für Unternehmen jeder Größe verfügbar und soll sich an die spezifischen Bedürfnisse anpassen lassen. Technisch gesehen schützt Kaspersky DDoS Protection alles vom simplen persönlichen Blog bis hin zum ausgewachsenen Internet Service Provider (ISP). Meist wird die Lösung von großen und mittelständischen Unternehmen eingesetzt.

Der Cloudflare-DDoS-Schutz bietet sowohl schnelle, intelligente und automatisierte DDoS-Schutzfunktionen wie auch Selfservice-Funktionen. Er ist unter anderem mit API-Funktion und Protokollen vollständig integriert. Der Schutz ist Teil eines globalen Netzwerks, das über ausreichende Kapazitäten verfügt, um auch große DDoS-Attacken mit mehreren Millionen Zugriffen pro Sekunde zu filtern.

Der Cloudflare-DDoS-Schutz eignet sich für Organisationen und Unternehmen jeder Größe. Weil Websites besonders gefährdet sind, benötigen sie meist einen zeitlich nicht reglementierten und uneingeschränkten Schutz. Dafür bietet Cloudfare seinen Always-on-DDoS-Schutz an. Er ist für Webpräsenzen konzipiert, die mit HTTP oder HTTPS arbeiten, und setzt sich aus Web Application Firewall, einem Bot-Management und weiteren Services zusammen.

Für die Protokolle TCP und UDP, wie sie etwa bei VPN-Verbindungen, LAN, Video- und Audiostreaming genutzt werden, gibt es als sogenannten Reverse-Proxy-Dienst Cloudflare Spectrum. Für den Schutz ganzer Netzwerke bietet sich Cloudflare Magic Transit an. Die Netzwerke können dabei cloudbasiert, lokal gehostet oder hybrid sein.

Für Unternehmen gibt es eine Selfservice-Lösung, die sich innerhalb weniger Minuten einrichten und testen lässt. Diese steht auch im Notfall schnell bereit. Das Onboarding einiger Internet-Properties kann allerdings komplexer sein und technische Unterstützung erfordern.

Volumetrische Angriffe sind in der Regel groß genug, um die Kapazitäten der allermeisten Unternehmen zu überlasten. Barracuda verspricht, Unternehmen auch vor solchen Angriffen zu schützen, indem der eingehende Datenverkehr zunächst durch eigene Datenzentren mit hoher Bandbreite geleitet wird. Dort wird der Datenverkehr bereinigt, bevor er an die Web Application Firewall von Barracuda oder an WAF as a Service weitergeleitet wird. Barracudsas Schutz gegen volumetrische DDoS-Angriffe umfasst Maßnahmen gegen DNS-Amplifikationsangriffe, TCP/SYN-Floods, UDP/ICMP-Floods, FIN/RST-Floods und Netzwerkprotokoll-Missbrauch.

Die Barracuda Web Application Firewall lässt sich als Hardware-Appliance oder als virtualisierte Lösung einsetzen. Sie kombiniert Echtzeitdaten und Historie zum Schutz vor fortgeschrittenen DDoS-Angriffen auf der Anwendungsebene. Diese Angriffe unterscheiden sich von volumetrischen DDoS-Angriffen durch heuristisches Fingerprinting und IP-Reputation, um echte Benutzer von Bot-Netzen zu unterscheiden. „Der Schutz vor DDoS-Angriffen auf der Anwendungsebene erfolgt durch eine Vielzahl von Risiko­bewertungstechniken, etwa anwendungsbasierte Schwellenwerte, Protokollprüfungen oder Sitzungsintegrität“, sagt Klaus Gheri, VP Network Security bei Barracuda.

Die Barracuda Web Application Firewall ist Teil der Cloud Application Protection, einer Plattform, die ein Set an Lösungen und Funktionen zusammenführt, um eine vollständige Webanwendungs- und API-Sicherheit zu gewährleisten. Barracuda WAF as a Service ist ein einfaches SaaS-Modell. Ein Konfigurationsassistent sorgt dafür, dass die WAF sofort einsatzbereit ist. WAF as a Service nutzt den gleichen Sicherheitskern wie die Barracuda Web Application Firewall. Je nach Unternehmensgröße gibt es verschiedene WAF-Bereitstellungsoptionen von Hardware-Lösungen über virtuelle Lösungen bis zu Public-Cloud- oder SaaS-Lösungen für den Schutz von Webanwendungen und APIs.

„DDoS-Angriffe nehmen an Umfang, Häufigkeit und Komplexität weiter zu. Moderne DDoS Angriffe sind eine dynamische Kombination aus volumetrischen-, TCP-State- Exhaustion-, Applikations-Layer- und verschlüsselten Datenverkehr-Angriffen“, beschreibt Karl Heuser, Account Manager Security DACH bei Netscout, die Lage.

Netscout verfolgt daher einen mehrstufigen-Ansatz, der automatisierten Cloud- und On-Premises-DDoS-Angriffsschutz kombiniert, um dynamische Multivektor-DDoS-Angriffe abzuwehren. Für größere Netzwerk-, Cloud- und Kommunikationsanbieter und insbesondere Internet Service Provider stellt Netscout mit Arbor Sightline und Arbor Threat Mitigation System (TMS) eine kombinierte Sicherheitslösung bereit. Sie stützt sich auf eine durchgängige Netzwerktransparenz, verwertbare Bedrohungsdaten und automatisierte DDoS-Angriffserkennung, um mit abgestimmten Abwehrmaßnahmen selbst mit hochentwickelten DDoS-Angriffen fertigzuwerden.

Zur Erkennung und gezielten Abwehr von DDoS-Angriffen auf Enterprise-Netzwerke kann die Lösung Arbor Edge Defense (AED) am Netzwerk-Perimeter als First Line of Defense schützen. AED wird „inline“ und always-on zwischen der Firewall und dem Internet-Router eingesetzt und nutzt eine skalierbare Stateless-Packet-Processing-Technologie, die DDoS-Cyberattacken auf Netzwerke, Services und Stateful-Security-Devices wie Firewalls und VPN-Konzentratoren abwehrt.

Bei hochvolumetrischen DDoS-Angriffen stellt AEDs Cloud Signaling eine intelligente Verbindung zu einem cloudbasierten Mitigationsdienst her (zum Beispiel vom ISP, CDN-Anbieter oder von Netscouts Arbor Cloud). Die Arbor Cloud ist ein cloudbasierter DDoS-Scrubbing-Service. Mit 14 Scrubbing-Zentren in den USA, Europa und Asien hat die Cloud eine globale Mitigationskapazität von über 11 Terabit pro Sekunde. Unternehmen können den Arbor- Cloud-Schutz als reine Cloud-Lösung oder als Kombination aus In-Cloud- und On-Premises-DDoS-Schutz nutzen.

Um sich wirksam gegen verteilte Denial-of-Service-Angriffe zu schützen, ist ein globaler Dienst wichtig. Denn große und selbst kleine Bot-Netze sind in der Regel geografisch verteilt. Und um einen geografisch verteilten Angriff wirksam abzuwehren, ist es wichtig, den schädlichen Datenverkehr so nah wie möglich am Ursprung zu blockieren.

Radwares Cloud-DDoS-Schutzdienst setzt auf verhaltensbasierte Algorithmen zur automatischen Blockierung der Bedrohungen in Echtzeit, einschließlich Burst- und DNS-Angriffen, Encrypted-SSL-Floods, IoT-Bot-Netzen, Ransom-DDoS und mehr. Der Schutzdienst wird durch ein Netzwerk von 16 Scrubbing-Zentren weltweit mit 10 Terabit pro Sekunde an Mitigationskapazität unterstützt. Die Zentren stehen auch bereit, wenn ein Unternehmen sich notfallmäßig an Radware wendet und der Verkehr schnell umgeleitet werden muss. Dabei helfen die Cloud-DDoS-Protection-Services (on demand und always-on), physische oder virtuelle Anwendungen und hybride DDoS-Schutzlösungen, die auf jede Architektur und jedes Bedrohungsprofil zugeschnitten werden können.

„Für Online-Anwendungen und Web-APIs bieten Web- Application-API-Protection-Appliances oder -Services (WAAP) einen angemessenen Schutz. In einigen Fällen, zum Beispiel bei Credential Stuffing oder hochfrequenten Scraping-Angriffen, können sich die Angriffe auf den Dienst auswirken und eine so starke Beeinträchtigung verursachen, dass es zu einem Denial-of-Service-Angriff kommt. Eine WAAP/WAF sollte um Bot-Management erweitert oder von einem Bot-Management-Dienst unterstützt werden. Die Bot-Verwaltung bietet einen allgemeinen Überblick, berücksichtigt global die Verhaltensmuster und nutzt das maschinelle Lernen, um Menschen von Bots und gute Bots von bösartigen Bots zu unterscheiden“, so Pascal Geenens, Director Cyber Threat Intelligence bei Radware.

Im Fall eines Angriffs spielt Zeit eine wichtige Rolle. Die Schutzlösung von Link11 kombiniert deshalb den Einsatz der Cloud mit Künstlicher Intelligenz. Die Lösung bietet laut Hersteller einen patentierten Schutz „made in Germany“, die sämtlichen Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) erfüllt und ISO-27001-zertifiziert ist. Die Lösung ist auch für den Betrieb kritischer Infrastrukturen (KRITIS) zugelassen. Das cloudbasierte und automatisierte Angebot basiert auf KI-Technologien sowie Maschine-Learning-Prozessen, die laut Hersteller ständig aktualisiert werden.

„Link11 bietet eine vollständige Schutzlösung von Layer 3 bis 7 an. Diese wird um eine breite Produkt-Suite ergänzt, die einen Schutz auf der Anwendungsebene bietet (zum Beispiel WAF). Zusätzlich werden per SLA Echtzeitreaktionen für alle Angriffsvektoren auf allen Ebenen innerhalb der ersten 10 Sekunden eines Angriffs garantiert. Des Weiteren gehören definierte Schutz-Bandbreiten und die Hilfe durch das Link11-Security-Operations-Center mit zum Service. Die variable Lösung lässt sich problemlos in jede Netzwerktopologie integrieren. Das gilt auch dann, wenn die Unternehmen über mehrere Netze verfügen“, beschreibt Marc Wilczek, Geschäftsführer bei Link11, die Leistung der Link11-Schutz-Suite.

Ein Unternehmen, das von einer DDoS-Attacke betroffen, aber noch nicht Kunde ist, lässt sich laut Link11 per Notfallintegration innerhalb von 24 Stunden auf die Schutzplattform heben. Link11 gilt als Allrounder und wird vom Marktforschungsinstitut Gartner in der Top-Liste des „DDoS Mitigation Services Market“ geführt. Link11 nennt keine Größe, die ein Unternehmen haben sollte, damit es als Kunde infrage kommt. Wichtiger sei die Frage nach den Folgen von geschäftskritischen Betriebsausfällen oder Unterbrechungen. Es komme immer darauf an, welche Schäden ein DDoS-Angriff haben könne und was genau geschützt werden solle.

Die Anti-DDoS-Lösungen von F5 arbeiten von Layer 3 bis Layer 7 und bieten daher einen Schutz vor allen Arten von DDoS-Angriffen. Für Firmen jeder Couleur will F5 die richtige Skalierung und Verfügbarkeit bieten – von Appliances, die On-Premises oder beim Provider installiert werden, bis hin zu weltweit verteilten Cloud-Scrubbing-Centern. Ein Security-Operations-Center und ein Security-Incident-Response-Team stehen Unternehmen mit technischem Rat und aktiver Policy-Erstellung zur Seite. Dieser Aspekt ist nicht zu unterschätzen, da hier Experten am Werk sind, die tagtäglich nichts anderes machen als Kunden vor DDoS Angriffen zu bewahren.

F5 bietet Cloud-Services zum Schutz vor DDoS, die sich bei einem Unternehmen in Not laut Hersteller binnen weniger Minuten implementieren lassen. Mittels DNS oder BGP Rerouting wird der Verkehr über die Infrastruktur der F5-Cloud-Scrubbing-Center geführt. Auch Appliances sollen sich schnell On-Premises in Betrieb nehmen lassen.

„Die von F5 angebotenen Lösungen lassen sich für jeden Kunden skalieren – von klein bis groß. Die Scrubbing- Center sind über weltweit zuverlässige Provider mit erstklassigem Peering angebunden und bieten daher auch für die Abwehr sehr großer DDoS-Angriffe ausreichend Bandbreite und Kapazitäten“, erklärt Roman Borovits, Senior Solution Engineer bei F5. Der „Allrounder“ F5 gelte etwa bei Gartner als führend im Bereich Web Application Firewalls.