Hvad er DDoS-angreb, og hvordan man kan beskytte mod dem

Distribueret afslag på tjeneste (DDoS)) er desværre mere almindelige, end vi gerne. Derfor er organisationer også nødt til aktivt at beskytte mod dem og andre trusler. Og selvom disse typer angreb kan være grimme og have en stor indflydelse på dine systemer, er de også relativt lette at opdage.

I dette indlæg skal vi se på måder, du kan beskytte dine aktiver mod DDoS-angreb og gennemgå nogle produkter, der kan hjælpe dig med det.

Vi begynder med at beskrive, hvad DDoS-angreb er. Som du er ved at opdage, er deres driftsprincip så simpelt som deres potentielle indvirkning er stor. Vi vil også undersøge, hvordan disse angreb ofte kategoriseres, og hvordan forskellige typer angreb faktisk adskiller sig. Dernæst diskuterer vi, hvordan vi beskytter mod DDoS-angreb. Vi ser, hvordan indholdsleveringsnetværk kan holde angribere væk fra dine servere, og hvordan belastningsbalancører kan registrere et angreb og styre angribere væk. Men for de sjældne angreb, der faktisk klarer at nå dine servere, har du brug for nogen lokal beskyttelse. Det er her

sikkerhedsinformation og begivenhedsstyringssystemer (SIEM) kan hjælpe, så vores næste forretningsorden er at gennemgå nogle af de allerbedste SIEM-systemer, vi kunne finde.

Om DDoS

Et angreb på Denial of Service (DoS) er et ondsindet forsøg på at påvirke tilgængeligheden af ​​et målrettet system, f.eks. Et websted eller en applikation, til dets legitime slutbrugere. Typisk genererer angribere store mængder pakker eller anmodninger i sidste ende overvældende målsystemet. Et distribueret afslag på tjeneste (DDoS) -angreb er en bestemt type DoS-angreb, hvor angriberen bruger flere kompromitterede eller kontrollerede kilder til at generere angrebet. DDoS-angreb klassificeres ofte efter hvilket lag af OSI-modellen de angriber, hvor de fleste angreb sker ved netværkslaget (lag 3), transporten (lag 4), præsentationen (lag 6) og applikationslaget (lag) 7).

Angreb i de nedre lag (såsom 3 og 4) er typisk kategoriseret som angreb på infrastrukturlag. De er langt den mest almindelige type DDoS-angreb, og de inkluderer vektorer som SYN-oversvømmelser og andre refleksionsangreb som UDP-oversvømmelser. Disse angreb er normalt store i volumen og sigter mod at overbelaste kapaciteten på netværket eller applikationsserverne. Den gode ting (for så meget som der er noget godt ved at blive angrebet) er, at de er en type angreb, der har klare underskrifter, og de er lettere at opdage.

Hvad angår angreb på lag 6 og 7, kategoriseres de ofte som applikationslagangreb. Selvom disse angreb er mindre hyppige, har de også en tendens til at være mere sofistikerede. Disse angreb er typisk små i volumen sammenlignet med angrebene i infrastrukturlaget, men de har en tendens til at fokusere på særlige dyre dele af applikationen. Eksempler på disse typer angreb inkluderer en oversvømmelse af HTTP-anmodninger til en login-side eller et dyrt søge-API eller endda WordPress XML-RPC-oversvømmelser, der også kaldes WordPress-pingback-angreb.

SKAL LÆSES: 7 bedste systemer til forebyggelse af indtrængen (IPS)

Beskyttelse mod DDoS-angreb

For at effektivt beskytte mod et DDoS-angreb er tid af essensen. Dette er en realtidsangrebstype, så det kræver en reaktion i realtid. Eller gør det det? Faktisk er en måde at beskytte mod DDoS-angreb at sende angribere et andet sted end dine servere.

En måde dette kan opnås på er ved at distribuere dit websted gennem en slags indholdsdistributionsnetværk (CDN). Ved hjælp af et CDN rammer brugere af dit websted (både legitime og potentielle angribere) aldrig dine webservere, men dem af CDN, hvorved du beskytter dine servere og sikrer, at ethvert DDoS-angreb kun påvirker en relativt lille undergruppe af din klienter.

En anden måde at forhindre, at DDoS-angreb når ud til dine servere, er ved hjælp af belastningsbalancere. Belastningsbalancere er apparater, der typisk bruges til at styre indgående serverforbindelser til flere servere. Hovedårsagen til, at de bruges, er at give ekstra kapacitet. Lad os antage, at en enkelt server kan håndtere op til 500 forbindelser pr. Minut, men din virksomhed er vokset, og du har nu 700 forbindelser pr. Minut. Du kan tilføje en anden server med en belastningsafbalancering, og indgående forbindelser balanseres automatisk mellem de to servere. Men de mere avancerede belastningsbalancere har også sikkerhedsfunktioner der f.eks. kan genkende symptomerne på et DDoS-angreb og sende anmodningen til en dummy-server i stedet for potentielt at overbelaste dine servere. Mens effektiviteten af ​​sådanne teknologier varierer, udgør de en god første forsvarslinje.

Sikkerhedsinformation og begivenhedsstyring til redning

SIEM-systemer (Security Information and Event Management) er en af ​​de bedste måder at beskytte mod DDoS-angreb. Den måde, de fungerer på, gør det muligt at registrere næsten enhver form for mistænkelig aktivitet, og deres typiske afhjælpningsprocesser kan hjælpe med at stoppe angreb, der er døde i deres spor. SIEM er ofte den sidste forsvarslinie mod DDoS-angreb. De vil fange ethvert angreb, der faktisk gør det til dine systemer, dem, der har formået at omgå andre former for beskyttelse.

De vigtigste elementer i SIEM

Vi er ved at udforske dybere detaljer i hver hovedkomponent i et SIEM-system. Ikke alle SIEM-systemer inkluderer alle disse komponenter, og selv når de gør det, kunne de have forskellige funktionaliteter. De er dog de mest basale komponenter, som man typisk ville finde, i en eller anden form, i ethvert SIEM-system.

Logindsamling og styring

Logindsamling og styring er hovedkomponenten i alle SIEM-systemer. Uden det er der ingen SIEM. SIEM-systemet skal hente logdata fra en række forskellige kilder. Det kan enten trække det, eller forskellige detekterings- og beskyttelsessystemer kan skubbe det til SIEM. Da hvert system har sin egen måde at kategorisere og registrere data, er det op til SIEM at normalisere data og gøre dem ensartede, uanset hvad dens kilde er.

Efter normalisering sammenlignes loggførte data ofte mod kendte angrebsmønstre i et forsøg på at genkende ondsindet adfærd så tidligt som muligt. Data vil også ofte blive sammenlignet med tidligere indsamlede data for at hjælpe med at opbygge en baseline, der yderligere vil forbedre unormal aktivitetsdetektion.

LÆS OGSÅ:Bedste Cloud Logging Services testet og gennemgået

Begivenhedssvar

Når en begivenhed er registreret, skal der gøres noget ved det. Dette er, hvad hændelsesmodulet til SIEM-systemet handler om. Begivenhedsresponset kan antage forskellige former. I sin mest basale implementering genereres en alarmmeddelelse på systemets konsol. Ofte kan der også genereres e-mail- eller SMS-advarsler.

Men de bedste SIEM-systemer går et skridt videre og vil ofte indlede en eller anden afhjælpningsproces. Igen er dette noget, der kan tage mange former. De bedste systemer har et komplet workflow-system for hændelsesrespons, der kan tilpasses til at give nøjagtigt det svar, du ønsker. Og som man kunne forvente, behøver ikke hændelsesrespons at være ensartet, og forskellige begivenheder kan udløse forskellige processer. De bedste systemer giver dig fuld kontrol over arbejdsgangen til hændelsesrespons. Husk, at når du søger beskyttelse mod realtidsbegivenheder såsom DDoS-angreb, er begivenhedsrespons sandsynligvis den vigtigste funktion.

instrumentbræt

Når du først har logopsamlings- og styringssystemet og responssystemerne på plads, er det næste vigtige modul instrumentbrættet. Når alt kommer til alt er det dit vindue til status for dit SIEM-system og i forlængelse heraf status for dit netværkets sikkerhed. De er sådan en vigtig komponent, da mange værktøjer tilbyder flere betjeningspaneler. Fordi forskellige mennesker har forskellige prioriteter og interesser, er det perfekte instrumentbræt til en netværksadministrator vil være forskellig fra en sikkerhedsadministrator, og en udøvende har brug for en helt anden som godt.

Selvom vi ikke kan evaluere et SIEM-system ud fra det antal dashboards, det har, skal du vælge et, der har det eller de betjeningspaneler, du har brug for. Dette er bestemt noget, du skal huske, når du vurderer leverandører. Mange af de bedste systemer giver dig mulighed for at tilpasse indbyggede dashboards eller bygge tilpassede dashboards efter din smag.

Rapportering

Det næste vigtige element i et SIEM-system er rapportering. Du ved muligvis ikke det endnu - og de hjælper dig ikke med at forhindre eller stoppe DDoS-angreb, men du har til sidst brug for rapporter. Den øverste ledelse har brug for dem til selv at se, at deres investering i et SIEM-system lønner sig. Du har muligvis også brug for rapporter til overensstemmelsesformål. Overholdelse af standarder som PCI DSS, HIPAA eller SOX kan lettes, når dit SIEM-system kan generere overensstemmelsesrapporter.

Selvom rapporter muligvis ikke er kernen i et SIEM-system, er de stadig vigtige komponenter. Og ofte vil rapportering være en væsentlig differentierende faktor mellem konkurrerende systemer. Rapporter er som slik, du kan aldrig have for mange. Og selvfølgelig giver de bedste systemer dig mulighed for at tilpasse eksisterende rapporter eller oprette tilpassede rapporter.

De øverste værktøjer til beskyttelse mod DDoS-angreb

Selvom der er forskellige typer værktøjer, der kan hjælpe med at beskytte mod DDoS-angreb, giver ingen det samme niveau af direkte beskyttelse som sikkerhedsinformation og eventsstyringsværktøjer. Dette er, hvad alle værktøjer på vores liste faktisk er SIEM-værktøjer. Ethvert af værktøjerne på vores liste vil give en vis beskyttelse mod mange forskellige typer trusler, inklusive DDoS. Vi viser værktøjerne i rækkefølge efter vores personlige præference, men på trods af deres rækkefølge er alle seks fremragende systemer, som vi kun kan anbefale, at du prøver dem selv og se, hvordan de passer til dit miljø.

Du har måske hørt om SolarWinds Før. Navnet er kendt af de fleste netværksadministratorer og med grund. Virksomhedens flagskibsprodukt, the Network Performance Monitor er et af de bedste værktøjer til overvågning af netværksbåndbredde. Men det er ikke alt, virksomheden er også berømt for sine mange gratis værktøjer som f.eks Fremskreden Subnetberegner eller dets SFTP-server.

SolarWinds har værktøjer til stort set alle netværksadministrationsopgaver, og det inkluderer SIEM. Selvom SolarWinds Sikkerhed Event manager (også kaldet SEM) beskrives bedst som et entry-level SIEM-system, det er sandsynligvis et af de mest konkurrencedygtige entry-level SIEM-systemer på markedet. Det SolarWinds SEM har alt, hvad du er kommet til at forvente af et SIEM-system. Det har fremragende log management og korrelationsfunktioner, et fantastisk instrumentbræt og en imponerende rapporteringsmotor.

• GRATIS PRØVEVERSION: SolarWinds Security Event Manager
• Officielt downloadlink: https://www.solarwinds.com/security-event-manager/registration

Det SolarWinds Security Event Manager vil advare dig om den mest mistænkelige opførsel, så du kan fokusere mere af din tid og ressourcer på andre kritiske projekter. Værktøjet har hundredvis af indbyggede korrelationsregler til at se dit netværk og dele data fra de forskellige logkilder for at identificere potentielle trusler i realtid. Og du får ikke kun ukorrekte korrelationsregler for at hjælpe dig med at komme i gang. Normaliseringen af ​​logdata giver mulighed for at oprette en uendelig kombination af regler. Desuden har platformen et indbygget trusselsinformation, der fungerer til at identificere adfærd, der stammer fra kendte dårlige skuespillere.

Den potentielle skade forårsaget af et DDoS-angreb bestemmes ofte af, hvor hurtigt du identificerer truslen og begynder at tackle den. Det SolarWinds Security Event Manager kan fremskynde dit svar ved at automatisere dem, når visse korrelationsregler udløses. Svar kan omfatte blokering af IP-adresser, ændring af privilegier, deaktivering af konti, blokering af USB-enheder, dræbning af applikationer og mere. Værktøjets avancerede reaktionssystem i realtid reagerer aktivt på enhver trussel. Og da det er baseret på opførsel snarere end underskrift, er du beskyttet mod ukendte eller fremtidige trusler. Denne funktion alene gør det til et fantastisk værktøj til DDoS-beskyttelse.

Det SolarWinds Security Event Manager er licenseret af antallet af noder, der sender log- og begivenhedsoplysninger. I denne sammenhæng er en node enhver enhed (server, netværksenhed, desktop, laptop osv.), Hvorfra log- og / eller begivenhedsdata indsamles. Priser starter ved $ 4 665 for 30 enheder, inklusive det første år af vedligeholdelse. Andre licensniveauer er tilgængelige for op til 2 500 enheder. Hvis du vil prøve produktet, inden du køber det, a gratis fuldt funktionel 30-dages prøveversion er tilgængelig til download.

2. RSA NetWitness

Siden 2016 NetWitness har fokuseret på produkter, der understøtter ”dyb, realtidssituation på netværkssituationen og agile netværksrespons”. Virksomhedens historie er en smule kompleks: Efter at være blevet erhvervet af EMC som derefter fusionerede med Dell, det NetWitness forretning er nu en del af RSA gren af Dell, hvilket er gode nyheder som RSA nyder et solidt omdømme inden for it-sikkerhed.

RSA NetWitness er et fantastisk produkt for organisationer, der søger en komplet netværksanalyseløsning. Værktøjet indeholder oplysninger om din virksomhed, der hjælper med at prioritere alarmer. Ifølge RSA, systemet "indsamler data på tværs af flere indfangningspunkter, databehandlingsplatforme og trusselsinformationskilder end andre SIEM-løsninger”. Der er også avanceret trusselsdetektion, der kombinerer adfærdsanalyse, datavidenskabsteknikker og trusselsinformation. Og til sidst kan det avancerede responssystem prale af orkestrering og automatiseringsfunktioner for at hjælpe med at slippe af med trusler, før de påvirker din virksomhed.

En af de største ulemper ved RSA NetWitness er, at det ikke er det nemmeste produkt at bruge og konfigurere. Der er dog masser af omfattende dokumentation tilgængelig, som kan hjælpe dig med opsætning og brug af produktet. Dette er et andet produkt af virksomhedskvalitet, og du skal kontakte RSA salg for at få detaljerede prisoplysninger.

3. ArcSight Enterprise Security Manager

ArcSight Enterprise Security Manager hjælper med at identificere og prioritere sikkerhedstrusler, organisere og spore hændelsesresponsaktiviteter og forenkle revisions- og overholdelsesaktiviteter. Dette er et andet produkt med en lidt indviklet historie. Tidligere solgt under HP brand, er det nu fusioneret med Mikrofokus, en anden HP datterselskab.

Det ArcSight Enterprise Security Manager er et andet utroligt populært SIEM-værktøj, der har eksisteret i mere end femten år. Værktøjet samler logdata fra forskellige kilder og udfører omfattende dataanalyse for at se efter tegn på ondsindet aktivitet. Og for at gøre det let at identificere trusler hurtigt, giver værktøjet dig mulighed for at se analyseresultaterne i realtid.

Funktionelt set forlader dette produkt ikke meget at ønske. Det har kraftfuld distribueret real-time datakorrelation, automatisering af workflow, sikkerhedsorkestrering og samfundsdrevet sikkerhedsindhold. Det ArcSight Enterprise Security Manager integrerer også med andre ArcSight produkter såsom ArcSight Data Platform og Event Broker eller ArcSight Undersøg. Dette er endnu et produkt i virksomhedsklasse, som ligesom stort set alle SIEM-værktøjer af kvalitet skal kræve, at du kontakter salgsteamet for at få detaljerede prisoplysninger.

4. Splunk Enterprise Security

Splunk Enterprise Security-eller Splunk ES, som det ofte kaldes - er muligvis et af de mest populære SIEM-systemer, og det er især berømt for sine analysefunktioner. Værktøjet overvåger dit systems data i realtid og ser efter sårbarheder og tegn på unormal aktivitet.

Sikkerhedsrespons er en anden af Splunk ES'Stærke dragter, og det er vigtigt, når du håndterer DDoS-angreb. Systemet bruger hvad splunk kalder Adaptive Response Framework (ARF) som integreres med udstyr fra mere end 55 sikkerhedsleverandører. Det ARF udfører automatiseret respons og fremskynder manuelle opgaver. Dette giver dig mulighed for hurtigt at få overhånden. Dertil tilføjes en enkel og uklart brugergrænseflade, og du har en vindende løsning. Andre interessante funktioner inkluderer notabiliteter funktion, der viser brugerdefinerede advarsler og Asset Investigator til at markere ondsindede aktiviteter og forhindre yderligere problemer.

Splunk ES er et produkt i virksomhedsklasse og leveres som sådan med en virksomhedsstørrelse. Som det ofte er tilfældet med systemer i enterprise-grade, kan du ikke få prisoplysninger fra splunk'S websted. Du skal kontakte salgsafdelingen for at få et tilbud. Men på trods af sin pris er dette et fantastisk produkt, og du ønsker måske at kontakte splunk og drage fordel af en tilgængelig gratis prøveperiode.

5. McAfee Enterprise Security Manager

McAfee er et andet husholdningsnavn i it-sikkerhedsområdet, og det kræver sandsynligvis ingen introduktion. Det er dog bedre kendt for sine virusbeskyttelsesprodukter. Det McAfee Enterprise Sikkerhed Manager er ikke kun software. Det er faktisk et apparat, som du kan få i enten virtuel eller fysisk form.

Med hensyn til dets analysefunktioner overvejer mange McAfee Enterprise Security Manager at være et af de bedste SIEM-værktøjer. Systemet indsamler logfiler på tværs af en lang række enheder. Med hensyn til dets normaliseringsfunktioner er det også førsteklasses. Korrelationsmotoren kompilerer let forskellige datakilder, hvilket gør det lettere at registrere sikkerhedsbegivenheder som de sker, en vigtig funktion, når du prøver at beskytte mod realtidsbegivenheder, såsom DDoS-angreb.

Der er dog mere til McAfee løsning end bare dens Enterprise Security Manager. For at få en virkelig komplet SIEM-løsning har du også brug for Enterprise Log Manager og Begivenhedsmodtager. Den gode nyhed er, at alle tre produkter kan pakkes i et enkelt apparat, hvilket gør anskaffelses- og installationsprocesserne noget lettere. For dem af jer, der måske vil prøve produktet, før du køber det, er en gratis prøveversion tilgængelig.