ما هي هجمات حجب الخدمة الموزعة وكيفية حمايتها

click fraud protection

هجمات رفض الخدمة الموزعة (DDoS) للأسف أكثر شيوعًا مما نود. هذا هو السبب في أن المنظمات بحاجة إلى حماية نشطة ضدهم والتهديدات الأخرى كذلك. وعلى الرغم من أن هذه الأنواع من الهجمات يمكن أن تكون سيئة ولها تأثير كبير على أنظمتك ، إلا أنه من السهل نسبياً اكتشافها.

كيفية منع إرفاق DDoS

في هذا المنشور ، سنلقي نظرة على الطرق التي يمكنك من خلالها حماية أصولك ضد هجمات DDoS ومراجعة بعض المنتجات التي يمكن أن تساعدك في ذلك.

سنبدأ بوصف هجمات DDoS. كما توشك على الاكتشاف ، فإن مبدأ عملها بسيط مثل تأثيرها المحتمل مرتفع. سنستكشف أيضًا كيفية تصنيف هذه الهجمات غالبًا وكيف تختلف الأنواع المختلفة من الهجمات في الواقع. بعد ذلك ، سنناقش كيفية الحماية من هجمات DDoS. سنرى كيف يمكن لشبكات توصيل المحتوى إبعاد المهاجمين عن الخوادم الخاصة بك وكيف يمكن لموازنات التحميل أن تكتشف هجومًا وتوجه المهاجمين بعيدًا. ولكن بالنسبة لتلك الهجمات النادرة التي تمكنت بالفعل من الوصول إلى خوادمك ، فإنك تحتاج إلى بعض الحماية المحلية. هذا هو المكان نظم المعلومات الأمنية وإدارة الأحداث (SIEM) يمكن أن يساعد حتى يكون ترتيب أعمالنا التالي هو مراجعة بعض من أفضل أنظمة SIEM التي يمكن أن نجدها.

instagram viewer

حول DDoS

يعد هجوم رفض الخدمة (DoS) محاولة ضارة للتأثير على توفر نظام مستهدف ، مثل موقع ويب أو تطبيق ، لمستخدميه الشرعيين. عادة ، يولد المهاجمون كميات كبيرة من الحزم أو الطلبات في النهاية تربك النظام المستهدف. هجوم رفض الخدمة الموزعة (DDoS) هو نوع محدد من هجمات DoS يستخدم فيه المهاجم العديد من المصادر المخترقة أو الخاضعة للسيطرة لتوليد الهجوم. غالبًا ما يتم تصنيف هجمات DDoS وفقًا لأي طبقة من نموذج OSI التي تهاجمها ، مع حدوث معظم الهجمات عند طبقة الشبكة (الطبقة 3) ، والنقل (الطبقة 4) ، والعرض التقديمي (الطبقة 6) ، وطبقة التطبيق (الطبقة 7).

تُصنَّف الهجمات على الطبقات السفلية (مثل 3 و 4) على أنها هجمات طبقة البنية التحتية. وهي إلى حد بعيد أكثر أنواع هجمات DDoS شيوعًا وتتضمن نواقل مثل فيضانات SYN وهجمات انعكاسية أخرى مثل فيضانات UDP. عادة ما تكون هذه الهجمات كبيرة الحجم وتهدف إلى زيادة سعة الشبكة أو خوادم التطبيقات. الشيء الجيد (بقدر ما يكون هناك أي شيء جيد بشأن التعرض للهجوم) هو أنها نوع من الهجوم له توقيعات واضحة ويسهل اكتشافه.

بالنسبة للهجمات على الطبقتين 6 و 7 ، غالبًا ما يتم تصنيفها على أنها هجمات طبقة التطبيق. على الرغم من أن هذه الهجمات أقل تكرارًا ، إلا أنها تميل إلى أن تكون أكثر تعقيدًا. عادةً ما تكون هذه الهجمات صغيرة الحجم مقارنة بهجمات طبقة البنية التحتية ، لكنها تميل إلى التركيز على أجزاء باهظة الثمن من التطبيق. تشمل الأمثلة على هذه الأنواع من الهجمات تدفق طلبات HTTP إلى صفحة تسجيل الدخول أو واجهة برمجة تطبيقات بحث مكلفة ، أو حتى فيضانات WordPress XML-RPC ، والتي تُعرف أيضًا باسم هجمات WordPress pingback.

يجب أن يقرأ: 7 أفضل أنظمة منع التطفل (IPS)

الحماية ضد هجمات DDoS

للحماية الفعالة ضد هجوم DDoS ، فإن الوقت هو الجوهر. هذا نوع من الهجمات في الوقت الفعلي ، لذا يتطلب استجابة في الوقت الفعلي. أم تفعل ذلك؟ في الواقع ، إحدى الطرق للحماية من هجمات DDoS هي إرسال المهاجمين إلى مكان آخر خوادمك.

إحدى الطرق لتحقيق ذلك هي عن طريق توزيع موقع الويب الخاص بك من خلال نوع من شبكة توزيع المحتوى (CDN). باستخدام CDN ، لم يصل مستخدمو موقعك على الويب (سواء الشرعيون والمهاجمون المحتملون) إلى خوادم الويب الخاصة بك ولكن خوادم CDN ، وبالتالي حماية خوادمك والتأكد من أن أي هجوم DDoS سيؤثر فقط على مجموعة فرعية صغيرة نسبيًا من عملاء.

هناك طريقة أخرى لمنع هجمات DDoS من الوصول إلى خوادمك من خلال استخدام موازنات التحميل. موازنات التحميل هي أجهزة تُستخدم عادةً لتوجيه اتصالات الخادم الواردة إلى خوادم متعددة. السبب الرئيسي لاستخدامها هو توفير سعة إضافية. لنفترض أن خادمًا واحدًا يمكنه التعامل مع ما يصل إلى 500 اتصال في الدقيقة ولكن نشاطك التجاري قد نما ، ولديك الآن 700 اتصال في الدقيقة. يمكنك إضافة خادم ثان مع موازن تحميل وسيتم موازنة الاتصالات الواردة تلقائيًا بين الخادمين. لكن موازنات الحمل الأكثر تقدمًا أيضًا ميزات الأمان يمكنه ، على سبيل المثال ، التعرف على أعراض هجوم DDoS وإرسال الطلب إلى خادم وهمي بدلاً من زيادة التحميل على الخوادم. بينما تختلف كفاءة هذه التقنيات ، فإنها تشكل خط الدفاع الأول الجيد.

معلومات الأمن وإدارة الأحداث إلى الإنقاذ

تعد أنظمة معلومات الأمان وإدارة الأحداث (SIEM) واحدة من أفضل الطرق للحماية من هجمات DDoS. الطريقة التي تعمل بها تسمح بذلك باكتشاف أي نوع من الأنشطة المشبوهة تقريبًا ، ويمكن أن تساعد عمليات العلاج النموذجية في إيقاف الهجمات الميتة في مساراتها. غالبًا ما يكون SIEM خط الدفاع الأخير ضد هجمات DDoS. سيقومون باعتقال أي هجوم يصل بالفعل إلى أنظمتك ، تلك التي تمكنت من تجاوز وسائل الحماية الأخرى.

العناصر الرئيسية لـ SIEM

نحن على وشك استكشاف تفاصيل أعمق لكل مكون رئيسي لنظام SIEM. لا تتضمن جميع أنظمة SIEM كل هذه المكونات ، وحتى عندما تفعل ذلك ، يمكن أن يكون لها وظائف مختلفة. ومع ذلك ، فهي المكونات الأساسية التي يمكن للمرء أن يجدها ، بشكل أو بآخر ، في أي نظام SIEM.

جمع السجلات وإدارتها

جمع السجلات وإدارتها هو المكون الرئيسي لجميع أنظمة SIEM. بدونها ، لا يوجد SIEM. يجب على نظام SIEM الحصول على بيانات السجل من مجموعة متنوعة من المصادر المختلفة. يمكنها إما سحبها أو يمكن لأنظمة الكشف والحماية المختلفة دفعها إلى SIEM. نظرًا لأن لكل نظام طريقته الخاصة في تصنيف البيانات وتسجيلها ، فإن الأمر متروك لـ SIEM لتطبيع البيانات وجعلها موحدة ، بغض النظر عن مصدرها.

بعد التطبيع ، غالبًا ما تتم مقارنة البيانات المسجلة بأنماط الهجوم المعروفة في محاولة للتعرف على السلوك الضار في أقرب وقت ممكن. غالبًا ما تتم مقارنة البيانات بالبيانات التي تم جمعها سابقًا للمساعدة في بناء خط أساس من شأنه أن يعزز اكتشاف النشاط غير الطبيعي.

اقرأ أيضا:تم اختبار ومراجعة أفضل خدمات تسجيل السحابة

استجابة الحدث

بمجرد اكتشاف حدث ما ، يجب القيام بشيء حيال ذلك. هذا هو ما تدور حوله وحدة استجابة الحدث لنظام SIEM. يمكن أن تتخذ استجابة الحدث أشكالًا مختلفة. في أبسط تطبيق ، سيتم إنشاء رسالة تنبيه على وحدة تحكم النظام. غالبًا ما يمكن أيضًا إنشاء تنبيهات بالبريد الإلكتروني أو الرسائل القصيرة.

لكن أفضل أنظمة SIEM تذهب إلى أبعد من ذلك وستبدأ غالبًا في بعض الإجراءات العلاجية. مرة أخرى ، هذا شيء يمكن أن يتخذ العديد من الأشكال. تحتوي أفضل الأنظمة على نظام سير عمل كامل للاستجابة للحوادث يمكن تخصيصه لتوفير الاستجابة التي تريدها بالضبط. وكما هو متوقع ، لا يجب أن تكون الاستجابة للحوادث موحدة ويمكن أن تؤدي الأحداث المختلفة إلى عمليات مختلفة. ستمنحك أفضل الأنظمة التحكم الكامل في سير عمل الاستجابة للحوادث. ضع في اعتبارك أنه عند طلب الحماية من الأحداث في الوقت الفعلي مثل هجمات DDoS ، فإن استجابة الحدث هي على الأرجح أهم ميزة.

لوحة القيادة

بمجرد أن يكون لديك نظام جمع وإدارة السجلات وأنظمة الاستجابة في مكانها ، فإن الوحدة المهمة التالية هي لوحة القيادة. بعد كل شيء ، ستكون النافذة الخاصة بك إلى حالة نظام SIEM الخاص بك ، وبالتالي ، حالة أمن الشبكة. إنها قبعة مكونة مهمة توفر العديد من الأدوات لوحات تحكم متعددة. نظرًا لأن الأشخاص المختلفين لديهم أولويات ومصالح مختلفة ، فإن لوحة التحكم المثالية لمسؤول الشبكة ستكون مختلفة عن تلك الخاصة بمسؤول الأمان ، وسيحتاج المدير التنفيذي إلى مدير مختلف تمامًا مثل حسنا.

على الرغم من أنه لا يمكننا تقييم نظام SIEM حسب عدد لوحات التحكم الموجودة به ، إلا أنك تحتاج إلى اختيار نظام به لوحة (لوحات) البيانات التي تحتاجها. هذا بالتأكيد شيء يجب أن تضعه في اعتبارك أثناء تقييم البائعين. ستتيح لك العديد من أفضل الأنظمة تكييف لوحات المعلومات المدمجة أو إنشاء لوحات تحكم مخصصة حسب رغبتك.

إعداد التقارير

العنصر التالي المهم لنظام SIEM هو إعداد التقارير. قد لا تعرف ذلك بعد - ولن يساعدك في منع هجمات DDoS أو إيقافها ، ولكنك ستحتاج في النهاية إلى تقارير. ستحتاجهم الإدارة العليا لأن يروا بأنفسهم أن استثمارهم في نظام SIEM يؤتي ثماره. قد تحتاج أيضًا إلى تقارير لأغراض المطابقة. يمكن تسهيل الامتثال لمعايير مثل PCI DSS أو HIPAA أو SOX عندما يتمكن نظام SIEM من إنشاء تقارير المطابقة.

في حين أن التقارير قد لا تكون في صميم نظام SIEM ، إلا أنها لا تزال مكونات أساسية. وكثيراً ما يكون إعداد التقارير عاملاً مختلفاً بين الأنظمة المتنافسة. التقارير تشبه الحلويات ، لا يمكن أن يكون لديك الكثير. وبالطبع ، ستتيح لك أفضل الأنظمة تكييف التقارير الحالية أو إنشاء تقارير مخصصة.

أفضل الأدوات للحماية من هجمات DDoS

على الرغم من وجود أنواع مختلفة من الأدوات التي يمكن أن تساعد في الحماية من هجمات DDoS ، إلا أن أيا منها لا يوفر نفس المستوى من الحماية المباشرة مثل معلومات الأمان وأدوات إدارة الأحداث. هذا هو كل الأدوات في قائمتنا هي في الواقع أدوات SIEM. ستوفر أي من الأدوات في قائمتنا درجة من الحماية ضد العديد من أنواع التهديدات المختلفة ، بما في ذلك DDoS. نحن ندرج الأدوات بترتيب تفضيلاتنا الشخصية ، ولكن على الرغم من ترتيبها ، فإن جميع الأدوات الست موجودة أنظمة ممتازة لا يسعنا إلا أن نوصيك بتجربتها بنفسك ومعرفة مدى ملاءمتها لك بيئة.

ربما سمعت عن الرياح الشمسية قبل. الاسم معروف من قبل معظم مسؤولي الشبكة ولسبب. المنتج الرئيسي للشركة ، مراقب أداء الشبكة هي واحدة من أفضل أدوات مراقبة عرض النطاق الترددي للشبكة المتاحة. ولكن هذا ليس كل شيء ، فالشركة مشهورة أيضًا بأدواتها المجانية العديدة مثل أدواتها المتقدمة حاسبة الشبكة الفرعية أو لها خادم SFTP.

الرياح الشمسية يحتوي على أدوات لكل مهمة إدارة شبكة تقريبًا والتي تتضمن SIEM. على الرغم من أن الرياح الشمسية الأمان مدير الحدث (أيضا يسمى SEM) أفضل وصف لنظام SIEM للمبتدئين ، فمن المحتمل أن يكون أحد أكثر أنظمة SIEM للمنافسة على مستوى الدخول في السوق. ال الرياح الشمسية سم لديها كل ما تتوقعه من نظام SIEM. لديها ممتازة إدارة السجل وميزات الارتباط ، لوحة قيادة رائعة ومحرك تقارير مثير للإعجاب.

لقطة للشاشة SolarWinds Security Event Manager
  • تجربة مجانية: مدير الأحداث الشمسية SolarWinds
  • رابط التنزيل الرسمي: https://www.solarwinds.com/security-event-manager/registration

ال الرياح الشمسية مدير الأحداث الأمنية سوف ينبهك إلى أكثر السلوكيات المشبوهة ، مما يسمح لك بالتركيز أكثر من وقتك ومواردك على المشاريع الهامة الأخرى. تحتوي الأداة على المئات من قواعد الارتباط المضمنة لمشاهدة شبكتك وتجميع البيانات من مصادر السجل المختلفة لتحديد التهديدات المحتملة في الوقت الفعلي. ولا تحصل فقط على قواعد الارتباط الجاهزة لمساعدتك على البدء ، فإن تطبيع بيانات السجل يسمح بإنشاء مجموعة لا نهائية من القواعد. علاوة على ذلك ، تحتوي المنصة على خلاصة ذكاء تهديد مدمجة تعمل على تحديد السلوكيات الناشئة عن الجهات السيئة المعروفة.

غالبًا ما يتم تحديد الضرر المحتمل الناجم عن هجوم DDoS من خلال مدى سرعة تحديد التهديد وبدء معالجته. ال الرياح الشمسية مدير الأحداث الأمنية يمكن أن يُسرّع استجابتك من خلال التشغيل التلقائي لها عند تشغيل بعض قواعد الارتباط. يمكن أن تتضمن الاستجابات حظر عناوين IP وتغيير الامتيازات وتعطيل الحسابات وحظر أجهزة USB وقتل التطبيقات والمزيد. سيتفاعل نظام الاستجابة المتقدم في الوقت الفعلي للأداة بنشاط مع كل تهديد. ونظرًا لأنه يستند إلى السلوك بدلاً من التوقيع ، فأنت محمي ضد التهديدات غير المعروفة أو المستقبلية. هذه الميزة وحدها تجعلها أداة رائعة لحماية DDoS.

ال الرياح الشمسية مدير الأحداث الأمنية مرخص بعدد العقد التي ترسل معلومات السجل والحدث. في هذا السياق ، العقدة هي أي جهاز (خادم ، جهاز شبكة ، سطح مكتب ، كمبيوتر محمول ، إلخ) يتم من خلاله جمع بيانات السجل و / أو الحدث. تبدأ الأسعار من 4 665 دولارًا مقابل 30 جهازًا ، بما في ذلك السنة الأولى من الصيانة. تتوفر مستويات ترخيص أخرى لما يصل إلى 2500 جهاز. إذا كنت ترغب في تجربة المنتج قبل شرائه ، أ نسخة تجريبية مجانية تعمل بكامل طاقتها لمدة 30 يومًا متاح للتحميل.

2. RSA NetWitness

منذ عام 2016 ، NetWitness ركزت على المنتجات التي تدعم "الوعي الظرفي العميق بالشبكة في الوقت الفعلي واستجابة الشبكة الرشيقة". تاريخ الشركة معقد بعض الشيء: بعد الاستحواذ عليه EMC ثم اندمجت مع ديل، ال نيtWالسعادة الأعمال هي الآن جزء من RSA فرع ديل، وهو خبر عظيم كما RSA تتمتع بسمعة راسخة في أمن تكنولوجيا المعلومات.

RSA NetWitness هو منتج رائع للمؤسسات التي تسعى إلى حل تحليلات شبكة كاملة. تتضمن الأداة معلومات حول عملك مما يساعد في تحديد أولويات التنبيهات. بالنسبة الى RSA، النظام "يجمع البيانات عبر المزيد من نقاط الالتقاط ومنصات الحوسبة ومصادر استخبارات التهديدات مقارنةً بحلول SIEM الأخرى”. هناك أيضًا اكتشاف متقدم للتهديدات يجمع بين التحليل السلوكي وتقنيات علوم البيانات وذكاء التهديدات. وأخيرًا ، يفتخر نظام الاستجابة المتقدمة بقدرات التنسيق والأتمتة للمساعدة على التخلص من التهديدات قبل أن تؤثر على عملك.

لقطة من الشاشه RSA NetWitness

واحدة من السلبيات الرئيسية RSA NetWitness هو أنه ليس أسهل منتج للاستخدام والتهيئة. ومع ذلك ، هناك الكثير من الوثائق الشاملة المتاحة التي يمكن أن تساعدك في إعداد المنتج واستخدامه. هذا منتج آخر على مستوى المؤسسة وستحتاج إلى الاتصال RSA المبيعات للحصول على معلومات تسعير مفصلة.

3. مدير ArcSight Enterprise Security Manager

مدير ArcSight Enterprise Security Manager يساعد في تحديد التهديدات الأمنية وتحديد أولوياتها ، وتنظيم وتتبع أنشطة الاستجابة للحوادث ، وتبسيط أنشطة المراجعة والامتثال. هذا منتج آخر له تاريخ معقد إلى حد ما. بيعت سابقا تحت HP العلامة التجارية ، تم دمجها الآن مع التركيز الجزئيوآخر HP شركة فرعية.

ال ArcSight مدير أمن المؤسسة هي أداة SIEM أخرى شائعة للغاية موجودة منذ أكثر من خمسة عشر عامًا. تقوم الأداة بتجميع بيانات السجل من مصادر مختلفة وتقوم بتحليل شامل للبيانات ، وتبحث عن علامات النشاط الضار. ولتسهيل التعرف على التهديدات بسرعة ، تتيح لك الأداة عرض نتائج التحليل في الوقت الفعلي.

مركز قيادة ArcSight

من ناحية الميزات ، لا يترك هذا المنتج الكثير مما هو مرغوب فيه. لديها ارتباط قوي للبيانات الموزعة في الوقت الحقيقي ، وأتمتة سير العمل ، وتنسيق الأمان ، ومحتوى الأمان المدفوع بالمجتمع. ال ArcSight مدير أمن المؤسسة يتكامل أيضا مع الآخرين ArcSight منتجات مثل منصة بيانات ArcSight ووسيط الأحداث أو تحقيق ArcSight. هذا منتج آخر على مستوى المؤسسة ، مثل جميع أدوات SIEM عالية الجودة ، سيتطلب منك الاتصال بفريق المبيعات للحصول على معلومات تفصيلية عن الأسعار.

4. Splunk Enterprise Security

Splunk Enterprise Security-أو Splunk ES، كما يطلق عليه غالبًا - ربما يكون أحد أشهر أنظمة SIEM وهو مشهور بشكل خاص بقدراته التحليلية. تراقب الأداة بيانات نظامك في الوقت الفعلي ، وتبحث عن نقاط الضعف وعلامات النشاط غير الطبيعي.

الرد الأمني ​​هو آخر Splunk ES"بدلات قوية وهذا مهم عند التعامل مع هجمات DDoS. يستخدم النظام ما شلل يدعو إطار الاستجابة التكيفية (ARF) الذي يتكامل مع المعدات من أكثر من 55 بائعًا للأمان. ال ARF ينفذ الاستجابة الآلية ، وتسريع المهام اليدوية. سيتيح لك ذلك الحصول على اليد العليا بسرعة. أضف إلى ذلك واجهة مستخدم بسيطة ومرتبة ولديك حل ناجح. وتشمل الميزات الأخرى المثيرة للاهتمام وجهاء الدالة التي تظهر تنبيهات قابلة للتخصيص من قبل المستخدم و محقق الأصول لإبلاغ الأنشطة الضارة ومنع المزيد من المشاكل.

تحليل المخاطر ES Splunk

Splunk ES هو منتج على مستوى المؤسسة ، وعلى هذا النحو ، فإنه يأتي مع علامة سعر بحجم المؤسسة. كما هو الحال في كثير من الأحيان مع أنظمة على مستوى المؤسسة ، لا يمكنك الحصول على معلومات التسعير منها شللموقع الويب. ستحتاج إلى الاتصال بقسم المبيعات للحصول على عرض أسعار. ولكن على الرغم من سعره ، فهذا منتج رائع وقد ترغب في الاتصال به شلل والاستفادة من الإصدار التجريبي المجاني المتاح.

5. مدير McAfee Enterprise Security Manager

McAfee هو اسم مألوف آخر في مجال أمن تكنولوجيا المعلومات وربما لا يتطلب أي تعريف. ومع ذلك ، فهي معروفة بشكل أفضل بمنتجات الحماية من الفيروسات. ال مكافي مشروع - مغامرة سالأمن مشواء ليست مجرد برامج. إنه في الواقع جهاز يمكنك الحصول عليه إما بشكل افتراضي أو فعلي.

من حيث قدرات التحليلات ، يعتبر الكثيرون أن مدير McAfee Enterprise Security Manager أن تكون واحدة من أفضل أدوات SIEM. يجمع النظام السجلات عبر مجموعة واسعة من الأجهزة. أما قدرات التطبيع فهي من الطراز الأول. يقوم محرك الارتباط بسهولة بتجميع مصادر البيانات المتباينة ، مما يسهل اكتشاف الأحداث الأمنية عند حدوثها ، ميزة مهمة عند محاولة الحماية من الأحداث في الوقت الحقيقي مثل هجمات DDoS.

مدير McAfee Enterprise Security Manager

ومع ذلك ، هناك المزيد مكافي حل من مجرد لها مدير أمن المؤسسة. للحصول على حل SIEM الكامل ، تحتاج أيضًا إلى مدير سجل المؤسسة و استقبال الحدث. الخبر السار هو أنه يمكن تعبئة المنتجات الثلاثة في جهاز واحد ، مما يجعل عمليات الاستحواذ والإعداد أسهل إلى حد ما. بالنسبة لأولئك منكم الذين قد يرغبون في تجربة المنتج قبل شرائه ، يتوفر إصدار تجريبي مجاني.

watch instagram story