Frankfurt a. M., 15. September 2006 Arbor Networks, ein führender Anbieter von Lösungen, die die Sicherheit und Leistungsfähigkeit weltweiter Unternehmensnetzwerke auf Core-to-Core-Basis gewährleisten, veröffentlicht heute in Zusammenarbeit mit der Community für Internet-Netzwerksicherheit seinen Jahresbericht zur weltweiten Infrastruktur-sicherheit. Dieser Report ist die zweite Ausgabe der jährlichen Umfragen zur Betriebssicherheit, die Netzwerkbetreibern dabei helfen sollen, fundierte Entscheidungen über den Einsatz der Netzwerk-Sicherheitstechnik zum Schutz unternehmenskritischer Infrastruktur zu treffen. Der Bericht bezieht sich auf die zweite Hälfte des Jahres 2005 und enthält Antworten von 55 Netzwerkbetreibern, die sich als Tier-1-, Tier-2- und Hybrid-IP-Netzwerkbetreiber in Nordamerika, Europa und Asien bezeichnen.
Wichtigste Erkenntnisse: Angriffe nehmen zu.
In der zweiten Umfrage wurde festgestellt, dass die DDoS-Angriffe noch immer die akuteste Gefahr für ISPs darstellen. Sechs Jahre nach der ersten Welle spektakulärer DDoS-Attacken setzen die befragten Netzbetreiber noch immer die meisten Ressourcen für die Bekämpfung von DDoS-Angriffen ein, weit abgeschlagen danach folgen andere Sicherheitsbedrohungen wie Würmer und andere Botnet-Angriffe.
Neben den DDoS-Angriffen, die in den meisten Fällen mit Botnets gestartet werden, sind die Netzbetreiber am meisten über andere böswillige Aktivitäten besorgt, die mit Hilfe von Botnets ausgeführt werden. Dazu gehören beispielsweise Phishing, Spam, ID-Diebstahl und Formlogging. Von den Antwortgebern, die Botnet-Bedrohungen als Hauptproblem einstuften, ermittelte Arbor Networks folgende Trends:
die Steuer- und Überwachungskanäle lassen sich schwerer infiltrieren und werden besser kontrolliert;
viele Bots, Botnets und Firepower existieren als Varianten älterer Bots und sind noch immer eine Gefahr;
die Bots tarnen sich besser, sind schwieriger zu entfernen und besser organisiert;
die Botnets sind schwieriger zu bekämpfen, haben mehr Funktionen, sind flexibler und besser gegen Erkennung und Analyse geschützt;
Einer der Hauptgründe, weshalb Bots heute schwerer zu enttarnen sind, liegt darin, dass nicht sofort zu erkennen ist, dass sie für böswillige Aktivitäten genutzt werden, so Craig Labowic, Direktor für Netzwerkarchitektur bei Arbor Networks. Es werden nicht mehr tonnenweise leicht erkennbare Angriffsdaten im Netzwerk übertragen, sondern heute versuchen die Botnets das ISP-Radar zu umgehen, um die Erkennung und Beseitigung deutlich zu erschweren.
Weitere Erkenntnisse aus dem Bericht:
Die Feuerkraft der Angriffe nimmt zu. Aus den Antworten der ISPs lässt sich ableiten, dass die Häufigkeit und der Umfang von Supra-Backbone-DDoS-Angriffen mit mehreren Gigabit weiter zunimmt. Die ISPs melden jetzt regelmäßig Angriffe, die die Kapazität der Core-Backbones übersteigen, d. h. größer als 10 bis 20 GBps sind. Gefördert wird dies durch die Verbreitung von Breitband-Internetverbindungen weltweit und das Zusammenfließen der Netzwerke.
Zombie-Regel: Trotz aller Versuche der Anbieter von Firewalls, IDs und Betriebssystemen gibt es nach wie vor Millionen Systeme mit Sicherheitslücken, die für DDoS und andere illegale Aktivitäten genutzt werden können.
Die ISPs unterbrechen die Verbindungen. Da eine moderne Infrastruktur und moderne Tools oft fehlen, begrenzen die meisten ISPs Angriffe nur dadurch, dass sie den gesamten Traffic zum Opfer filtern. Damit werden zwar die ISP-Backbones erfolgreich gegen einen Kollaps durch DDoS-Angriffe geschützt, diese Gegenmaßnahme kann jedoch noch größere Schäden anrichten als der eigentliche DDoS-Angriff.
Es werden weniger Angriffe an die Behörden gemeldet. Obgleich im Durchschnitt pro Monat 40 Kunden von Angriffen betroffen sind, werden von den ISPs die meisten Angriffe den Behörden nicht gemeldet.
Die Schurkenwirtschaft expandiert. Es ist deutlich zu beobachten, dass Botnets eingesetzt werden, um sich finanzielle Vorteile zu verschaffen die Spielregeln ändern sich mit der Weiterentwicklung der Botnets.
Die ISPs haben nach wie vor ein Ertragsproblem. Die Netzwerkbetreiber befürchten, dass sich die ISPs bei einer stärkeren Fokussierung auf die Kosten-Nutzen-Relation in puncto Infrastruktursicherheit, insbesondere bei der Abwehr von Botnets in einer sehr schwierigen Position befinden könnten. Wenig mehr als die Hälfte der ISPs glaubt heute, dass infizierte Hosts abgewehrt werden könnten. Die übrigen ISPs sind der Ansicht, dass dies extrem schwierig werden dürfte, ohne neue Ertragsquellen zu erschließen, um diese Investitionen zu finanzieren.
Zunehmende Bedrohung
Aufgrund immer neuer Gefahren für die Netzwerksicherheit, untersuchte die Studie die Bedrohung der Infrastruktursicherheit durch DNS- und VoIP-Angriffe. Etwa die Hälfte der befragten ISPs gab an, dass sie Mechanismen zur Erkennung von DNS- und VoIP-Bedrohungen installiert habe. Bei vielen Anbietern befinden sich kommerzielle VoIP-Dienste noch in der Planungs- oder Installationsphase, und es wurden nur wenige Angriffe gegen die VoIP-Infrastruktur gemeldet; die Anbieter erkennen jedoch zunehmend, dass hier eine neue Gefahr entsteht. Die gute Nachricht dabei ist, dass die ISPs modernere Systeme zur Abwehr von Angriffen installieren als je zuvor, so Danny McPherson, Chief Research Officer bei Arbor Networks.
Da neue Sicherheitsbedrohungen entstehen und andere Sicherheitsbedrohungen wie Botnet-Angriffe immer ausgeklügelter, umfassender und destruktiver werden, sollen diese Jahresberichte den ISPs Entscheidungshilfe geben, wie sie ihre unternehmenskritische Infrastruktur schützen müssen. Unser Ziel ist es letztendlich, praktische Hinweise zu den Ergebnissen des Berichts zu liefern, die die Netzbetreiber sofort für ihre Programme zur Netzwerksicherheit nutzen können.
Methodik
Diese Ausgabe der Umfrage besteht im Gegensatz zu den 32 Fragen der letzten Ausgabe aus 65 Multiple-Choice-Fragen sowie offenen Fragen, die sich mit den wichtigsten Problemen zur Betriebssicherheit befassen, denen sich die Netzwerkbetreiber heute gegenüber sehen. Die Fragen betrafen Themen im Zusammenhang mit Angriffen gegen die Backbone-Infrastruktur und Einzelkunden, den Einsatz von Schutzmechanismen für die Netzwerkinfrastruktur und den Einsatz von Mechanismen zur Erkennung und Abwehr von Sicherheitsverletzungen. Es wurden nicht nur die Tier-1 ISPs sowie große Content- und Hosting-Anbieter und eine umfassende Auswahl von Tier-2-Netzbetreibern befragt, sondern auch eine Vielzahl von Hybridnetzbetreibern. Hybridnetze sind große, global verteilte Unternehmensnetzwerke mit mehreren Internetzugängen, die für das Unternehmen sowohl die traditionellen Dienste für die Endanwender als auch die Netzwerkanbindung bereitstellen.
Eine Kopie des zweiten Jahresberichts über die weltweite ISP-Infrastruktursicherheit von Arbor Networks können Sie unter folgender Adresse herunterladen: www.arbornetworks.com/security-report
Über Arbor Networks
Arbor Networks sorgt für die Sicherheit und betriebliche Integrität der sensibelsten Netzwerke der Welt. Die Lösungen von Arbor basieren auf der bewährten Plattform Peakflow, einer intelligenten Technologie für die netzwerkweite Datensammlung, Datenanalyse, Anomalieerkennung und Abwehr von Angriffen. Peakflow ermöglicht eine Echtzeitansicht der Netzwerkaktivitäten und erlaubt den Unternehmen auf diese Weise die sofortige Ergreifung von Maßnahmen gegen Würmer, DDoS-Attacken, Insider-Missbrauch und Instabilität beim Datenverkehr/Routing sowie den Ausbau und die Verstärkung der Netzwerkabsicherung in Bezug auf potenzielle zukünftige Bedrohungen. Mit Peakflow können kostspielige Ausfallzeiten und Netzwerkbereinigungen sowie Vertrauensverluste auf Seiten der Kunden erfolgreich vermieden werden. Arbor hat seinen Hauptsitz in Lexington, im US-Bundesstaat Massachusetts, und verfügt über ein Forschungs- und Entwicklungszentrum in Ann Arbor, Michigan, sowie über Zentralen in London und Peking.
Weitere Informationen finden Sie im Internet unter: www.arbornetworks.com
Arbor Networks, das Arbor Networks Logo, Peakflow und ArbOS sind eingetragene Warenzeichen von Arbor Networks, Inc. Security to the Core. Performance to the Edge. ist ein Warenzeichen von Arbor Networks, Inc. Alle anderen Produkte und Firmennamen sind Eigentum der jeweiligen Rechteinhaber.
Pressekontakt:
Harvard PR
Stephanie Thaller
Tel: +49 (0) 89 53 29 57-48
Fax: +49 (0) 89 53 29 57-888
E-Mail: stephanie.thaller@harvard.de
Arbor Networks
Michael Tullius
Tel: +49 (0) 69 78 80 16 56
E-Mail: mtullius@arbor.net
X