Behavioral DDoS Engine von Akamai: ein Durchbruch in der modernen DDoS-Abwehr
DDoS-Bedrohungslandschaften entwickeln sich ständig weiter
Digitale Infrastrukturen wachsen – und damit wächst auch die Bedrohung durch DDoS-Angriffe (Distributed Denial of Service). Was einst einfache volumetrische Angriffe waren, hat sich zu ausgeklügelten Multi-Vektor-Kampagnen entwickelt, die auf die anfälligsten Aspekte der Anwendungsebene abzielen. Herkömmliche Verteidigungsmechanismen, die auf Traffic-Durchsatz, statischen Schwellenwerten und Signaturen basieren, sind derart komplexen Bedrohungen nicht gewachsen. Daher ist ein anpassungsfähigerer und intelligenterer Ansatz nötig.
Die wichtigsten Trends bei DDoS-Angriffen
- Multi-Vektor-Angriffe: Angreifer nutzen zunehmend Kombinationen aus mehreren Vektoren, was die Erkennung und Abwehr von Angriffen durch statische Abwehrmechanismen erschwert. In den letzten 18 Monaten wurden mehr als 11 Billionen Layer-7-DDoS-Angriffe in Hightech-Branchen, im Handel und in sozialen Medien aufgezeichnet.
- API-Ausnutzung: Da Unternehmen zunehmend auf APIs angewiesen sind, nutzen Angreifer diese Einstiegspunkte aus. Allein im Jahr 2024 wurden 108 Milliarden API-Angriffe beobachtet, wobei viele dieser Angriffe DDoS-basiert waren.
- Steigende Komplexität der Bedrohungen: Das Finanzwesen erfuhr einen Anstieg der Layer-7-DDoS-Angriffe aufgrund von geopolitischen Spannungen. Diese Angriffe werden immer ausgefeilter und setzen zunehmend Botnets und KI ein, wobei die Zahl der Angriffe auf europäische Bankendeutlich ansteigt.
Wir stellen vor: Behavioral DDoS Engine*
Um diese sich wandelnden Bedrohungen zu bekämpfen, hat Akamai die Behavioral DDoS Engineentwickelt, eine hochmoderne Funktion, die dem Akamai App & API Protector hinzugefügt wurde und die sich in Echtzeit an Angriffsmuster anpasst. Diese innovative Engine bietet Unternehmen den Schutz, den sie benötigen, um ausgeklügelten und anhaltenden DDoS-Bedrohungen standzuhalten.
Verhaltensbezogene DDoS-Abwehr verstehen
Die meisten herkömmlichen DDoS-Abwehrmechanismen basieren auf raten- und volumenbasierten Erkennungen, die häufig mit statischen Schwellenwerten konfiguriert und entsprechend anfällig für False Positives sind. Im Gegensatz dazu erlernt die Behavioral DDoS Engine von Akamai kontinuierlich Traffic-Muster, sodass Angriffe in Echtzeit identifiziert und abgewehrt werden können und gleichzeitig legitimer Traffic kaum beeinträchtigt wird.
Durch die Verwendung von maschinellem Lernen zur Überwachung von Anomalien kann die IT zwischen normalen Spitzen (wie viralen Ereignissen) und ausgeklügelten DDoS-Angriffen unterscheiden. So wird ein proaktiver, präziser Schutz ohne manuelle Eingriffe gewährleistet. Dieser adaptive Ansatz ermöglicht eine effektivere Abwehr komplexer Bedrohungen.
Die Verhaltensanalyse umfasst:
Überwachung von Traffic-Daten in Echtzeit: Die Engine überwacht den Traffic kontinuierlich und analysiert Anfragen, um eine Basis für normale Aktivitäten zu ermitteln.
Modelle für maschinelles Lernen: Fortschrittliche Algorithmen analysieren Abweichungen von normalen Traffic-Mustern und identifizieren Bedrohungen in Echtzeit. Dies ermöglicht es der Engine, anomales Verhalten schnell zu klassifizieren und notwendige Maßnahmen zu ergreifen, um selbst subtile Bedrohungen abzuwehren, ohne dass menschliches Eingreifen erforderlich ist.
Erkennen von legitimem Traffic: Die Engine kann zwischen legitimen Traffic-Spitzen, z. B. solchen, die durch ein virales Ereignis verursacht werden, und tatsächlichen Layer-7-DDoS-Angriffenunterscheiden, die oft stark verteilt sind und legitimes Verhalten nachahmen.
Eine leistungsstarke Ergänzung Ihrer tiefgreifenden Verteidigungsstrategie
Die Behavioral DDoS Engine von Akamai ist eine leistungsstarke Verbesserung Ihrer tiefgreifenden Verteidigungsstrategie und ergänzt herkömmliche, ratenbasierte Erkennungsansätze. Obwohl die Ratenbegrenzung für die Traffic-Verwaltung weiterhin wertvoll ist, ist häufig eine manuelle Optimierung erforderlich.
Die Behavioral DDoS Engine automatisiert die Erkennung von Bedrohungen durch fortschrittliches maschinelles Lernen und Einblicke aus der globalen Plattform von Akamai, insbesondere der täglichen 946 TB Daten zu Sicherheitsereignissen. Zusammen bieten diese Tools einen ausgewogenen Ansatz: Sie kombinieren die Präzision der Ratenbegrenzung mit der Anpassungsfähigkeit der Verhaltensanalyse und gewährleisten so einen robusten Schutz vor komplexen DDoS-Bedrohungen.
Individueller DDoS-Schutz basierend auf den Anforderungen Ihrer Website oder API
Die Behavioral DDoS Engine bietet erweitertes Tracking und vorausschauende Analysen, überwacht Traffic-Trends über dynamische Traffic-Dimensionen hinweg, wie z. B. das Ursprungsland des Traffics, Client-TLS-Muster und Netzwerk-Fingerabdrücke. Durch die Analyse des Traffics für jeden Hostnamen und jede HTTP-Methode passt die neue Funktion die Schutzstrategien an die individuellen Anforderungen jeder Website oder API an.
Diese Anpassungsfähigkeit gewährleistet, dass die Engine bei neuen Bedrohungen und Sicherheitserkenntnissen auf dem neuesten Stand bleibt, ohne dass zusätzliches Eingreifen seitens der Kunden erforderlich ist. Die Engine kann auch die Traffic-Dimensionen automatisch anpassen, um sie zu nutzen, wenn sich die Bedrohungen weiterentwickeln. Das Ergebnis ist eine robuste Verteidigung, die die Sicherheit erhöht und gleichzeitig ein nahtloses Nutzererlebnis gewährleistet.
Abbildung 1 zeigt die neuen Baseline-Traffic-Berichte, die das Vertrauen der Nutzer verbessern, indem sie den Baseline-Status des Traffics und wichtige Erkenntnisse zum Schutz darstellen.
Abb. 1: Baseline-Traffic-Status und relevante Informationen zum Schutz in einem Behavioral DDoS Engine-Bericht
Die Lösung erkennt anormale Traffic-Spitzen und filtert sie aus dem Baseline-Traffic heraus, um Genauigkeit und Präzision zu gewährleisten (Abb. 2). Dies führt zu einem bereinigten Traffic, der für die Generierung multidimensionaler Ansichten verwendet wird, die jeweils auf unterschiedliche HTTP-Anfragemethoden wie GET, POST und OTHER zugeschnitten sind (auch seltener genutzter Methoden wie PUT, PATCH, DELETE usw.).
Abb. 2: Behavioral DDoS Engine-Bericht, in dem die Baseline-Normalisierung dargestellt ist
Ein eigenständiger Ansatz, der auf Ihre Risikobereitschaft zugeschnitten ist
Die Behavioral DDoS Engine bietet drei Schutzstufen, sodass Sie die Option wählen können, die am besten auf Ihre Risikotoleranz und Sicherheitsanforderungen Ihres Unternehmens abgestimmt ist (Abbildung 3).
Abb. 3: Behavioral DDoS Engine-Bericht, in dem die Empfindlichkeitsstufen im Vergleich zur Baseline dargestellt sind
Streng: Bietet schnelle Reaktion selbst bei geringfügigen Anomalien; empfohlen für Hochsicherheitsumgebungen, in denen bereits geringfügige Traffic-Abweichungen auf einen potenziellen DDoS-Angriff hinweisen könnten.
Moderat: (Von Akamai empfohlen) Liefert einen ausgewogenen Ansatz, der einen robusten Schutz bietet und gleichzeitig die Anzahl der Fehlalarme reduziert; ideal geeignet für die meisten Betriebsumgebungen, in denen mit gewissen Traffic-Schwankungen zu rechnen ist.
Konservativ: Bietet Toleranz für größere Traffic-Abweichungen und hohe Schwankungen, die andernfalls unnötig DDoS-Schutzmaßnahmen auslösen könnten.
Hinter den Kulissen: Wie alles zusammenspielt
Die Lösung besteht aus mehreren wichtigen Elementen, und jede Komponente ist für das Gesamtkonzept von entscheidender Bedeutung (Abbildung 4).
- Die Erkennungs-Engine identifiziert DDoS-Angriffe anhand einer mehrdimensionalen Traffic-Ansicht und nutzt die Intelligenz des Baseline-Generators.
Die Abwehr-Engine identifiziert und bekämpft DDoS-Angreifer mithilfe von Dimensionskombinationen und nutzt Informationen aus dem Baseline-Generator und den Bedrohungssignalen.
Die Bedrohungssignale, einschließlich Heuristiken für Plattform-DDoS-Informationen, bieten Einblicke in DDoS-Angreifer basierend auf historischen Angriffsdaten. Dafür nutzen sie sowohl die umfangreichen Daten von Akamai als auch das Know-how des Akamai Threat Research Teams.
filler
Der Baseline-Validator, unterstützt durch KI-basierte Optimierung, ist eine entscheidende Komponente, die jeden Monat Hunderte von DDoS-Angriffen auswertet, um die Lösung weiter zu verbessern.
Die Rauschen-/False-Positive-Reduktion ist ein Modell-Framework für maschinelles Lernen, das Rohdaten in wertvolle Erkenntnisse für den Baseline-Generator und den Baseline-Validator umwandelt.
Der Baseline-Generator ist die primäre Komponente, die die bereinigten Daten über einen Zeitraum von zwei Wochen verarbeitet. Darüber hinaus werden die neuesten Erkenntnisse zur Bedrohungsforschung verwendet, um mehrere Traffic-Profile und Einstellungen für die Erkennungs- und Abwehr-Engines zu erstellen.
Erstklassige Effizienz und Präzision
Die Behavioral DDoS Engine verbessert die Sicherheit, indem sie die Erkennungsgenauigkeit verbessert und gleichzeitig erforderliche Auswirkungen auf den Nutzer minimiert. Sie bietet eine proaktive Abwehr, indem Bedrohungen erkannt und neutralisiert werden, bevor sie sich auf den Betrieb auswirken.
Sehen wir uns zwei Fallstudien an, in denen gezeigt wird, wie die Behavioral DDoS Engine Sicherheitsteams mit höherer betrieblicher Effizienz, weniger manuellen Eingriffen und nahtloser Integration in bestehende Workflows unterstützen kann, wodurch ein optimiertes Sicherheitsmanagement ohne Abstriche ermöglicht wird. [Hinweis: Die Ergebnisse können je nach den vom Kunden gewählten Empfindlichkeitseinstellungen und der jeweiligen Traffic-Baseline variieren. Die Genauigkeit in den folgenden Fallstudien wurde bei strengen Empfindlichkeitseinstellungen beobachtet.]
Fallstudie 1: Erkennung eines stark verteilten Layer-7-DDoS-Angriffs während der Olympischen Spiele in Paris
Das Ziel war eine Ticketwebsite. Bei diesem stark verteilten Angriff wurde ein Anstieg von 1,4 Milliarden HTTP-GET-Anfragen mit TLS-Randomisierung von mehr als 7.000 IP-Adressen in 839 Netzwerken ausgelöst. Die Behavioral DDoS Engine zeigte eine überlegene Präzision mit einer Erkennungs- und Abwehrrate von 99,95 %.
Fallstudie 2: Schutz einer APJ-Homepage für E-Commerce vor einem stark verteilten DDoS-Angriff
Bei diesem DDoS-Angriff wurden zu Spitzenzeiten 185 Milliarden HTTP-GET-Anfragen mit TLS-Randomisierung von mehr als 5.000 IP-Adressen in 643 Netzwerken ausgelöst. Die Behavioral DDoS Engine zeigte erneut eine überlegene Präzision mit einer Erkennungs- und Abwehrrate von 99,50 %.
Eine neue Ära der DDoS-Verteidigung mit dem App & API Protector von Akamai
Die neue Behavioral DDoS Engine von Akamai ist ein bedeutender Schritt in der modernen Bedrohungsabwehr und bietet proaktiven, intelligenten Schutz, um die Anforderungen der komplexen Bedrohungslandschaft von heute zu erfüllen. Diese Innovation verbessert die Erkennungsgenauigkeit, reduziert die Notwendigkeit manueller Eingriffe und lässt sich nahtlos in bestehende Workflows integrieren.
Mehr erfahren
Sind Sie bereit, die Behavioral DDoS Engine in Aktion zu sehen? Wenden Sie sich an uns, um eine Demo oder vorzeitigen Zugang zu erhalten, oder um herauszufinden, wie Akamai Ihre DDoS-Abwehrstrategie verbessern kann.
Und noch etwas! Sichern Sie sich das Rezept für erweiterte Layer-7-DDoS-Angriffsabwehr
Laden Sie Zutaten für Cybersicherheit: Das ultimative Kochbuch für Layer-7-DDoS-Ausfallsicherheit erstellen noch heute herunter und statten Sie Ihr Team mit dem Wissen und den Tools aus, um den neuesten Bedrohungen in der Cybersicherheit stets einen Schritt voraus zu sein.
Bei modernem Layer-7-DDoS-Schutz geht es nicht nur um die Vermeidung von Ausfallzeiten, sondern auch um den Schutz Ihrer Marke, Ihrer Kunden und Ihres Geschäftsergebnisses. Funktionen wie Ratenbegrenzung und verhaltensbasierter DDoS-Schutz vor DDoS-Angriffen auf Anwendungsebene sind unerlässlich, um zu gewährleisten, dass HTTP-Anfragen ordnungsgemäß verwaltet werden und schädlicher Traffic abgewehrt wird.
* Die Behavioral DDoS Engine ist derzeit für ausgewählte Kunden verfügbar. Der plattformweite Zugang wird 2025 bereitgestellt.