Što su DDoS napadi i kako se zaštititi od njih

Napadi distribuiranog uskraćivanja usluge (DDoS) nažalost su češći nego što bismo željeli. Zbog toga se organizacije moraju aktivno zaštititi od njih i drugih prijetnji. Iako ove vrste napada mogu biti gadne i imati veliki utjecaj na vaše sustave, također ih je relativno lako otkriti.

U ovom ćemo postu pregledati načine na koji možete zaštititi svoju imovinu od DDoS napada i pregledati neke proizvode koji vam mogu pomoći u tome.

Počet ćemo opisom što su DDoS napadi. Kao što ćete otkriti, njihov je princip djelovanja jednostavan koliko je potencijalni utjecaj velik. Također ćemo istražiti kako su ti napadi često kategorizirani i kako se različite vrste napada zapravo razlikuju. Zatim ćemo raspraviti kako se zaštititi od DDoS napada. Vidjet ćemo kako mreže za dostavu sadržaja mogu napadače držati podalje od vaših poslužitelja i kako balanseri mogu učitati napad i odbiti napadače dalje. Ali za one rijetke napade koji uspiju doprijeti do vaših poslužitelja, potrebna vam je lokalna zaštita. Ovo je gdje

sustavi sigurnosnih informacija i upravljanja događajima (SIEM) To može pomoći kako bi naš sljedeći redoslijed poslovanja bio pregledati neke od najboljih SIEM sustava koje možemo pronaći.

O DDoS-u

Napad uskraćivanja usluge (DoS) zlonamjerni je pokušaj utjecaja na dostupnost ciljanog sustava, poput web mjesta ili aplikacije, njegovim legitimnim krajnjim korisnicima. Napadači obično generiraju veliku količinu paketa ili zahtjeva koji na kraju preplavljuju ciljni sustav. Napad distribuiranog uskraćivanja usluge (DDoS) specifična je vrsta DoS napada u kojem napadač koristi više kompromitiranih ili kontroliranih izvora za generiranje napada. DDoS napadi se često klasificiraju prema kojem sloju OSI modela napadaju, pri čemu se događa većina napada na mrežnom sloju (sloj 3), transportu (sloj 4), prezentaciji (sloj 6) i aplikacijskom sloju (sloj 7).

Napadi na donjim slojevima (kao što su 3 i 4) obično su kategorizirani kao napadi na infrastrukturni sloj. Oni su daleko najčešća vrsta DDoS napada i uključuju vektore kao što su SYN poplave i drugi napadi refleksije poput UDP poplava. Ti napadi su obično velikih količina i ciljaju na preopterećenje kapaciteta mreže ili poslužitelja aplikacija. Dobra stvar (za koliko ima išta dobro u napadu) je da je vrsta napada koja ima jasne potpise i koju je lakše detektirati.

Što se tiče napada na slojevima 6 i 7, oni su često kategorizirani kao napadi sloja aplikacije. Iako su ti napadi rjeđi, oni imaju tendenciju da budu sofisticiraniji. Ti napadi su obično malog volumena u usporedbi s napadima na infrastrukturni sloj, ali imaju tendenciju da se usredotoče na posebno skupe dijelove aplikacije. Primjeri ove vrste napada uključuju poplavu HTTP zahtjeva na stranicu za prijavu ili skupi API za pretraživanje ili čak poplave WordPress XML-RPC, koji su poznati i kao napadi pingback-a za WordPress.

MORA PROČITATI: 7 najboljih sustava za sprječavanje provale (IPS)

Zaštita od DDoS napada

Učinkovita zaštita od DDoS napada vrijeme je od suštinske važnosti. Ovo je vrsta napada u stvarnom vremenu, pa je potreban odgovor u stvarnom vremenu. Ili? Zapravo, jedan od načina zaštite od DDoS napada je slanje napadača negdje drugdje na vašim serverima.

Jedan od načina za postizanje toga je distribucija vaše web stranice putem neke vrste mreže za distribuciju sadržaja (CDN). Koristeći CDN, korisnici vaše web stranice (i legitimni i potencijalni napadači) nikada ne napadaju vaše web poslužitelje, već one od CDN, na taj način štiteći vaše poslužitelje i osiguravajući da će svaki DDoS napad utjecati na relativno mali podskup vaših klijenti.

Drugi način sprječavanja napada DDoS-a na vaše servere jest upotreba alata za podešavanje opterećenja. Balansi za opterećenje su uređaji koji se obično koriste za usmjeravanje dolaznih veza na više poslužitelja. Glavni razlog zašto se koriste je pružanje dodatnih kapaciteta. Pretpostavimo da jedan poslužitelj može podnijeti do 500 veza u minuti, ali vaše je poduzeće poraslo i sada imate 700 veza u minuti. Možete dodati drugi poslužitelj s aparatom za balansiranje opterećenja i dolazne veze automatski će se uravnotežiti između dva poslužitelja. Ali imaju i napredniji balans za opterećenje sigurnosne značajke koji mogu, na primjer, prepoznati simptome DDoS napada i zahtjev poslati na lažni poslužitelj umjesto da potencijalno preoptereti vaše poslužitelje. Iako je učinkovitost takvih tehnologija različita, oni predstavljaju dobru prvu liniju obrane.

Sigurnosne informacije i upravljanje događajima na spas

Sustavi sigurnosnih informacija i upravljanja događajima (SIEM) jedan su od najboljih načina zaštite od DDoS napada. Način na koji djeluju omogućava otkrivanje gotovo svake vrste sumnjivih aktivnosti, a tipični postupci sanacije mogu pomoći u zaustavljanju napada mrtvih u njihovim tragovima. SIEM je često zadnja linija obrane od DDoS napada. Zarobit će svaki napad koji ga zapravo nađe na vaše sustave, one koji su uspjeli zaobići druga sredstva zaštite.

Glavni elementi SIEM-a

Upravo ćemo detaljnije istražiti svaku glavnu komponentu SIEM sustava. Nisu svi SIEM-ovi sustavi uključeni u sve ove komponente i, čak i kad to učine, mogli bi imati različite funkcionalnosti. Međutim, to su najosnovnije komponente koje bi se u ovom ili onom obliku obično našle u bilo kojem SIEM sustavu.

Prikupljanje i upravljanje zapisnicima

Prikupljanje i upravljanje zapisnicima je glavna komponenta svih SIEM sustava. Bez njega nema SIEM-a. SIEM sustav mora prikupljati podatke dnevnika iz različitih izvora. Može ga povući ili ga različiti sustavi za otkrivanje i zaštitu mogu dovesti do SIEM-a. Budući da svaki sustav ima svoj način kategoriziranja i bilježenja podataka, na SIEM-u je da normalizira podatke i učini ih ujednačenima, bez obzira na izvor.

Nakon normalizacije, zabilježeni podaci često će se uspoređivati ​​s poznatim obrascima napada u pokušaju prepoznavanja zlonamjernog ponašanja što je prije moguće. Podaci će se također često uspoređivati ​​s ranije prikupljenim podacima kako bi se pomoglo izgraditi osnovnu liniju koja će dodatno poboljšati otkrivanje nenormalnih aktivnosti.

TAKO PROČITAJTE:Isprobane i pregledane najbolje usluge oblačnog evidentiranja

Odgovor događaja

Jednom kada se događaj otkrije, o njemu se mora nešto učiniti. O tome se radi u modulu odgovora na događaje za SIEM sustav. Reakcija događaja može biti u različitim oblicima. U svojoj najosnovnijoj implementaciji generirat će se poruka upozorenja na konzoli sustava. Često se mogu generirati i e-mail ili SMS upozorenja.

Ali najbolji SIEM sustavi idu korak dalje i često će pokrenuti neki postupak sanacije. Opet, to je nešto što može poprimiti mnoge oblike. Najbolji sustavi imaju cjelovit sustav radnog odziva na incident koji se može prilagoditi tako da pruži točno željeni odgovor. I kao što se može očekivati, reakcija na incident ne mora biti jednolika i različiti događaji mogu pokrenuti različite procese. Najbolji sustavi pružit će vam potpunu kontrolu nad tijekom rada na reakciju na incident. Imajte na umu da je prilikom traženja zaštite od događaja u stvarnom vremenu, poput DDoS napada, odgovor događaja vjerojatno najvažnija značajka.

kontrolna ploča

Nakon što uspostavite sustav za prikupljanje i upravljanje zapisnicima i sustave odziva, sljedeći važan modul je nadzorna ploča. Napokon, to će biti vaš prozor u status vašeg sustava SIEM, a nakon toga i status vašeg sigurnost mreže. Oni su tako važna komponenta šešira da mnogi alati nude više nadzornih ploča. Budući da različiti ljudi imaju različite prioritete i interese, savršena nadzorna ploča za mrežnog administratora razlikovat će se od sigurnosnog administratora, a izvršnoj službi trebat će potpuno drugačiji dobro.

Iako ne možemo procijeniti SIEM sustav prema broju nadzornih ploča, morate odabrati onu koja će vam biti potrebna nadzorna ploča. Ovo je definitivno nešto što biste željeli imati na umu dok ocjenjujete dobavljače. Mnogi od najboljih sustava omogućit će vam da prilagodite ugrađene nadzorne ploče ili izgradite prilagođene nadzorne ploče po vašoj želji.

Izvještavanje

Sljedeći važan element SIEM sustava je izvještavanje. To možda još ne znate - i neće vam pomoći u sprečavanju ili zaustavljanju DDoS napada, ali s vremenom će vam trebati izvješća. Vrhovni menadžment će im trebati da sami vide da se njihovo ulaganje u sustav SIEM isplati. Možda će vam trebati i izvješća u svrhu sukladnosti. U skladu sa standardima kao što su PCI DSS, HIPAA ili SOX može se olakšati kada vaš SIEM sustav može generirati izvješća o sukladnosti.

Iako izvješća možda nisu u srcu SIEM sustava, oni su i dalje bitne komponente. Često je izvješćivanje glavni faktor razlikovanja između konkurentskih sustava. Izvještaji su poput bombona, nikad ih ne možete imati previše. I naravno, najbolji sustavi će vam omogućiti prilagodbu postojećih izvješća ili izradu prilagođenih.

Najbolji alati za zaštitu od DDoS napada

Iako postoje razne vrste alata koji mogu pomoći u zaštiti od DDoS napada, nijedan ne pruža istu razinu izravne zaštite kao sigurnosni podaci i alati za upravljanje događajima. Ovo su svi alati na našoj listi zapravo alati SIEM. Bilo koji od alata s našeg popisa pružit će određeni stupanj zaštite od mnogo različitih vrsta prijetnji, uključujući DDoS. Navodimo alate prema vlastitim željama, ali unatoč njihovom redoslijedu, svih šest je izvrsni sustavi koje vam možemo preporučiti samo da ih isprobate i vidite kako vam odgovaraju okoliš.

Možda ste čuli SolarWinds prije. Ime znaju većina administratora mreže i s razlogom. Glavni proizvod tvrtke, Monitor performansi mreže jedan je od najboljih raspoloživih alata za praćenje propusnosti mreže. Ali to nije sve, tvrtka je također poznata po brojnim besplatnim alatima poput svog Napredna Podmreža Kalkulator ili njegovo SFTP poslužitelj.

SolarWinds ima alate za gotovo svaki zadatak upravljanja mrežom, a to uključuje i SIEM. iako SolarWinds sigurnosti Event Manager (također se naziva SEM) najbolje je opisan kao ulazni SIEM sustav, vjerojatno je jedan od najkonkurentnijih ulaznih sustava SIEM-a na tržištu. SolarWinds SEM ima sve što očekujete od SIEM sustava. Ima izvrsno upravljanje zapisnicima i mogućnosti povezivanja, odlična nadzorna ploča i impresivan motor za izvještavanje.

• BESPLATNO ISPITIVANJE: Upravitelj sigurnosnih događaja SolarWinds
• Službena veza za preuzimanje: https://www.solarwinds.com/security-event-manager/registration

SolarWinds Upravitelj sigurnosnih događaja upozorit će vas na najsumnjiva ponašanja, omogućujući vam da više vremena i resursa usredotočite na druge kritične projekte. Alat ima stotine ugrađenih pravila za korelaciju kako bi gledali vašu mrežu i objedinjavali podatke iz različitih izvora zapisa radi prepoznavanja potencijalnih prijetnji u stvarnom vremenu. A ne morate dobiti samo pravila o korelaciji izvan okvira kako biste lakše započeli, normalizacija podataka dnevnika omogućava stvaranje beskrajne kombinacije pravila. Nadalje, platforma ima ugrađen feed za obavještajne prijetnje koji djeluje na prepoznavanje ponašanja koja potječu od poznatih loših aktera.

Potencijalna šteta uzrokovana DDoS napadom često se određuje koliko brzo prepoznajete prijetnju i počnete je rješavati. SolarWinds Upravitelj sigurnosnih događaja može ubrzati vaš odgovor automatiziranjem, kad god se pokrenu određena pravila korelacije. Odgovori mogu uključivati ​​blokiranje IP adresa, promjenu privilegija, onemogućavanje računa, blokiranje USB uređaja, ubijanje aplikacija i još mnogo toga. Napredni sustav reagiranja u realnom vremenu aktivno će reagirati na svaku prijetnju. A budući da se temelji na ponašanju, a ne na potpisu, zaštićeni ste od nepoznatih ili budućih prijetnji. Sama ova značajka čini ga odličnim alatom za zaštitu DDoS-a.

SolarWinds Upravitelj sigurnosnih događaja je licenciran brojem čvorova koji šalju podatke dnevnika i događaja. U tom kontekstu, čvor je svaki uređaj (poslužitelj, mrežni uređaj, radna površina, prijenosno računalo itd.) S kojeg se sakupljaju podaci dnevnika i / ili događaja. Cijene počinju od 4 665 USD za 30 uređaja, uključujući prvu godinu održavanja. Ostali slojevi licenci dostupni su za do 2 500 uređaja. Ako želite isprobati proizvod prije kupnje, a besplatna potpuno funkcionalna probna inačica od 30 dana je dostupan za preuzimanje.

2. RSA NetWitness

Od 2016. god. NetWitness usredotočila se na proizvode koji podržavaju „duboku mrežnu situaciju u stvarnom vremenu i brzi odgovor mreže“. Povijest tvrtke malo je složena: nakon što ju je preuzeo tvrtka EMC koja se tada spojila sa šumovita dolina, the NeTWitness posao je sada dio RSA ogranak šumovita dolina, što je odlična vijest kao RSA uživa solidnu reputaciju u IT sigurnosti.

RSA NetWitness odličan je proizvod za organizacije koje traže cjelovito rješenje mrežne analize. Alat sadrži podatke o vašoj tvrtki što pomaže u postavljanju prioriteta upozorenja. Prema RSA, sustav "prikuplja podatke na više mjesta hvatanja, računalnim platformama i izvorima inteligencije o prijetnji u odnosu na druga SIEM rješenja”. Postoji i napredno otkrivanje prijetnji koje kombinira analizu ponašanja, tehnike nauke podataka i inteligenciju prijetnji. I na kraju, napredni sustav odziva ima mogućnosti orkestracije i automatizacije kako bi se riješili prijetnji prije nego što utječu na vaše poslovanje.

Jedan od glavnih nedostataka RSA NetWitness jest da to nije najlakši proizvod za upotrebu i konfiguriranje. Na raspolaganju je, međutim, mnogo opsežne dokumentacije koja vam može pomoći pri postavljanju i korištenju proizvoda. Ovo je još jedan proizvod za tvrtke i morate se obratiti RSA prodaje za dobivanje detaljnih informacija o cijenama.

3. ArcSight Enterprise Security Manager

ArcSight Enterprise Security Manager pomaže identificirati i prioritetno razraditi sigurnosne prijetnje, organizirati i pratiti aktivnosti reagiranja na incident i pojednostaviti aktivnosti revizije i poštivanja propisa. Ovo je još jedan proizvod s pomalo isprepletenom poviješću. Ranije se prodaje pod HP marka, sada se spojila s Mikro fokus, još jedan HP podružnica.

ArcSight Enterprise Security Manager je još jedan od izuzetno popularnih alata SIEM koji postoji već više od petnaest godina. Alat sastavlja podatke dnevnika iz različitih izvora i provodi opsežnu analizu podataka, tražeći znakove zlonamjerne aktivnosti. A kako biste olakšali brzo prepoznavanje prijetnji, alat vam omogućuje pregled rezultata u stvarnom vremenu.

Značajno, ovaj proizvod ne ostavlja mnogo željenog. Ima moćnu raspodjelu podataka u stvarnom vremenu, automatizaciju tijekova rada, sigurnosnu orkestraciju i sigurnosni sadržaj vođen zajednicom. ArcSight Enterprise Security Manager integrira i s ostalim ArcSight proizvodi kao što su ArcSight platforma podataka i događaj posrednik ili ArcSight Istražite. Ovo je još jedan proizvod korporativnog razreda za koji će, poput gotovo svih kvalitetnih alata SIEM, trebati kontaktirati prodajni tim kako biste dobili detaljne informacije o cijenama.

4. Splunk Enterprise Security

Splunk Enterprise Security-ili Splunk ES, kako se često naziva -, možda je jedan od najpopularnijih SIEM sustava, a posebno je poznat po svojim analitičkim mogućnostima. Alat prati podatke vašeg sustava u stvarnom vremenu, tražeći ranjivosti i znakove nenormalne aktivnosti.

Odgovor sigurnosti je još jedan od Splunk ESJaka odijela i to je važno kada se bavite DDoS napadima. Sustav koristi što Splunk poziva Okvir za prilagodljivi odgovor (ARF) koji se integrira s opremom više od 55 dobavljača sigurnosti. ARF izvodi automatizirani odgovor, ubrzavajući ručne zadatke. Tako ćete brzo steći prednost. Dodajte tom jednostavnom i nespretnom korisničkom sučelju i imate dobitno rješenje. Ostale zanimljive značajke uključuju ugledne ličnosti funkcija koja prikazuje upozorenja prilagođena korisniku i Ispitivač imovine za označavanje zlonamjernih aktivnosti i sprečavanje daljnjih problema.

Splunk ES proizvod je poduzeća i kao takav dolazi s cijenom veličine poduzeća. Kao što je to često kod korporativnih sustava, ne možete dobiti informacije o cijenama SplunkWeb mjesto. Morate se obratiti odjelu prodaje da biste dobili ponudu. No unatoč cijeni, ovo je sjajan proizvod i možda biste željeli kontaktirati Splunk i iskoristite dostupno besplatno probno razdoblje.

5. Menadžer za sigurnost tvrtke McAfee

McAfee je još jedno ime kućanstva iz područja informatičke sigurnosti i vjerojatno ne treba uvoditi. Međutim, poznatiji je po proizvodima za zaštitu od virusa. McAfee Poduzeće Security Manager nije samo softver. To je zapravo uređaj koji možete dobiti u bilo virtualnom ili fizičkom obliku.

Mnogi u obzir uzimaju analitičke mogućnosti Menadžer za sigurnost tvrtke McAfee biti jedan od najboljih alata SIEM. Sustav prikuplja zapisnike na širokom rasponu uređaja. Što se tiče njegovih mogućnosti normalizacije, ona je ujedno i vrhunska. Korelacijski mehanizam lako sastavlja različite izvore podataka, što olakšava otkrivanje sigurnosnih događaja dok se događaju, važna je značajka kada se pokušavate zaštititi od događaja u stvarnom vremenu, poput DDoS napada.

Ipak, ima još toga McAfee rješenje nego samo njegovo Enterprise Security Manager. Da biste dobili potpuno cjelovito rješenje SIEM-a također vam je potrebno Enterprise Log Manager i Prijemnik događaja. Dobra vijest je da se sva tri proizvoda mogu upakirati u jedan aparat, što olakšava postupak nabave i postavljanja. Za one od vas koji će možda htjeti isprobati proizvod prije nego što ga kupite, dostupna je besplatna proba.