Mik azok a DDoS támadások és hogyan lehet védekezni velük szemben?

Az elosztott szolgáltatásmegtagadási (DDoS) támadások sajnos gyakrabbak, mint szeretnénk. Ezért kell a szervezeteknek aktívan védeni őket és más fenyegetéseket is. És bár az ilyen típusú támadások csúnyaak lehetnek, és nagy hatással lehetnek a rendszereire, viszonylag könnyen észlelhetők.

Ebben a bejegyzésben megvizsgáljuk, hogyan lehet megvédeni eszközeit a DDoS támadások ellen, és áttekintünk néhány olyan terméket, amely segíthet ebben.

Először azt írjuk le, hogy mi a DDoS támadás. Amint felfedezte, működésük elve olyan egyszerű, mivel nagy a lehetséges hatásuk. Megvizsgáljuk azt is, hogy ezeket a támadásokat milyen gyakran kategorizálják, és hogy a különféle támadások valójában hogyan különböznek egymástól. Ezután megvitatjuk, hogyan lehet védeni a DDoS támadásokat. Látjuk, hogy a tartalomszolgáltató hálózatok hogyan tudják a támadókat távol tartani a szervereidetől, és hogyan tudják a terheléselosztók támadást észlelni és a támadókat irányítani. De azoknak a ritka támadásoknak a végrehajtásához, amelyek valóban eljutnak a szerverekre, szükség van valamilyen helyi védelemre. Ez az, ahol

biztonsági információs és eseménykezelő (SIEM) rendszerek segíthet, így a következő ügyrendünk az lesz, hogy áttekintsük a legmegfelelőbb SIEM rendszereket.

A DDoS-ról

A szolgáltatásmegtagadási (DoS) támadás rosszindulatú kísérlet arra, hogy befolyásolja egy célzott rendszer, például egy weboldal vagy alkalmazás elérhetőségét a törvényes végfelhasználók számára. A támadók általában nagy mennyiségű csomagot vagy kérést generálnak, amelyek végül meghaladják a célrendszert. Az elosztott szolgáltatásmegtagadási (DDoS) támadás egy olyan DoS támadás típusa, amelyben a támadó több veszélyeztetett vagy ellenőrzött forrást használ a támadás generálására. A DDoS támadásokat gyakran az OSI modell melyik rétegének megfelelően támadják meg, és a legtöbb támadás bekövetkezik a hálózati rétegnél (3. réteg) a szállítás (4. réteg), a bemutató (6. réteg) és az alkalmazásréteg (réteg) 7).

Az alsó rétegek támadásait (például a 3-as és a 4-es) általában Infrastruktúra-rétegek támadásainak tekintik. Ezek messze a DDoS támadások leggyakoribb típusai, és magukban foglalnak olyan vektorokat, mint például a SYN-áradások és más reflexiós támadások, például az UDP-áradások. Ezek a támadások általában nagy volumenűek, és célja a hálózat vagy az alkalmazáskiszolgálók kapacitásának túlterhelése. A jó dolog (bármennyire is jó a támadás alatt áll) az, hogy ezek olyan támadások, amelyeknek világos aláírása van, és könnyebben észlelhetők.

Ami a 6. és a 7. réteg támadásait illeti, ezeket gyakran alkalmazási réteg támadások kategóriájába sorolják. Noha ezek a támadások ritkábbak, ők is kifinomultabbok. Ezek a támadások általában csekély volumenűek, mint az Infrastruktúra réteg támadások, de inkább az alkalmazás bizonyos drága részeire koncentrálnak. Az ilyen típusú támadásokra példa a bejelentkezési oldalra irányuló HTTP kérések áradása vagy egy drága keresési API, vagy akár a WordPress XML-RPC áradások, amelyeket WordPress pingback támadásoknak is hívnak.

EL KELL OLVASNI: 7 legjobb behatolás-megelőző rendszer (IPS)

Védelem a DDoS támadások ellen

A DDoS támadás elleni hatékony védelem érdekében az idő nélkülözhetetlen. Ez egy valós idejű támadás, tehát valós idejű választ igényel. Vagy van? Valójában a DDoS támadások elleni védekezés egyik módja a támadók elküldése valahová, ahová a szervereidet küldik.

Ennek egyik módja az, ha webhelyét valamilyen típusú tartalom elosztó hálózaton (CDN) keresztül terjeszti. CDN használatával a webhely felhasználói (legitim és potenciális támadók egyaránt) soha nem érik el a webszervereidet, csak a CDN, ezáltal védi a szervereket és biztosítja, hogy minden DDoS támadás csak egy viszonylag kis részhalmazát érintse meg ügyfelek.

A DDoS támadások kiszolgálókhoz való eljutásának másik módja a terheléselosztók használata. A terheléselosztók olyan készülékek, amelyeket általában a kiszolgálók közötti bejövő kapcsolatok irányítására használnak. Használatuk fő oka az, hogy extra kapacitást biztosítsanak. Tegyük fel, hogy egyetlen szerver akár 500 kapcsolatot is képes kezelni percenként, de vállalkozása növekedett, és most percenként 700 kapcsolattal rendelkezik. Felvehet egy második szervert terheléselosztóval, és a bejövő kapcsolatok automatikusan kiegyensúlyozódnak a két szerver között. De a fejlettebb terheléselosztóknak is van biztonsági jellemzők amelyek felismerhetik például a DDoS támadás tüneteit, és elküldhetik a kérést egy dummy szervernek ahelyett, hogy a szervereket esetleg túlterhelik. Noha az ilyen technológiák hatékonysága változó, jó védelmi vonalat képeznek.

Biztonsági információk és eseménykezelés a mentéshez

A biztonsági információs és eseménykezelő (SIEM) rendszerek az egyik legjobb módszer a DDoS támadások elleni védekezésre. Működésüknek köszönhetően szinte bármilyen gyanús tevékenységet fel lehet fedezni, és tipikus kármentesítési folyamataik segíthetnek megállítani a nyomvonalakon halott támadásokat. A SIEM gyakran az utolsó védelmi vonal a DDoS támadások ellen. Csapdába ejti azokat a támadásokat, amelyek valójában a rendszerükbe kerülnek, és azokba, amelyek meg tudták kerülni a védelem egyéb eszközeit.

A SIEM fő elemei

Arra készülünk, hogy mélyebben bemutassuk a SIEM rendszer minden fő elemét. Nem minden SIEM rendszer tartalmazza ezeket a komponenseket, és még ha ilyenek is lennének, eltérő funkciókkal rendelkezhetnek. Ezek azonban a legalapvetőbb alkotóelemek, amelyeket általában bármely formában megtalálnak bármelyik SIEM rendszerben.

Napló gyűjtése és kezelése

Napló gyűjtése és kezelése az összes SIEM rendszer fő alkotóeleme. Enélkül nincs SIEM. A SIEM rendszernek naplóadatokat kell gyűjtenie számos különböző forrásból. Vagy meghúzhatja, vagy különféle érzékelő és védelmi rendszerek tolhatják el a SIEM-hez. Mivel minden rendszernek saját módja van az adatok kategorizálásának és rögzítésének, az SIEM feladata az adatok normalizálása és egységesítése, függetlenül attól, hogy melyik forrásuk van.

A normalizálás után a naplózott adatokat gyakran összehasonlítják az ismert támadási mintákkal annak érdekében, hogy a lehető legkorábban felismerjék a rosszindulatú viselkedést. Az adatokat gyakran összehasonlítják a korábban összegyűjtött adatokkal is, hogy elősegítsék az alapvonal létrehozását, amely tovább javítja a rendellenes aktivitás észlelését.

OLVASSA FEL:A tesztelt és felülvizsgált legjobb felhőnaplózási szolgáltatások

Esemény válasz

Miután észleltek egy eseményt, meg kell tenni valamit. Erről szól a SIEM rendszer esemény-válaszmodulja. Az eseményre adott válasz különféle formákat ölthet. A legalapvetőbb megvalósításban riasztási üzenet jön létre a rendszer konzolján. Gyakran e-mail vagy SMS figyelmeztetés is generálható.

A legjobb SIEM rendszerek azonban egy lépéssel tovább mennek, és gyakran kezdenek valamilyen javítási folyamatot. Ez ismét valami formája lehet. A legjobb rendszereknek van egy teljes eseménykezelő munkafolyamat-rendszere, amely testreszabható úgy, hogy pontosan a kívánt választ adja. És amint az elvárható, az eseményekre adott válasznak nem kell egységesnek lennie, és a különböző események különböző folyamatokat válthatnak ki. A legjobb rendszerek teljes ellenőrzést adnak az eseményekre való reagálás munkafolyamata felett. Ne feledje, hogy a valós idejű események, például a DDoS támadások elleni védelem keresésekor az eseményekre való reagálás valószínűleg a legfontosabb szolgáltatás.

Irányítópult

Miután a naplógyűjtő és -kezelő rendszer, valamint a válaszrendszerek a helyén vannak, a következő fontos modul a műszerfal. Végül is az Ön ablaka lesz a SIEM rendszerének állapotához, és kiterjesztésképpen az Ön állapotához a hálózat biztonsága. Olyan fontos alkatrész ezek a kalapok, amelyek sok eszköz több műszerfalat kínálnak. Mivel a különböző emberek prioritásai és érdekei eltérőek, a tökéletes műszerfal egy hálózati rendszergazda számára különbözik a biztonsági adminisztrátorokétól, és egy ügyvezetőnek teljesen másra lesz szüksége jól.

Noha a SIEM rendszert nem tudjuk értékelni a rendelkezésére álló műszerfalak száma alapján, ki kell választania azt, amelyik rendelkezik a szükséges műszerfallal. Ez minden bizonnyal érdemes szem előtt tartani, amikor a szállítókat értékeli. A legjobb rendszerek közül sok lehetővé teszi a beépített műszerfalak testreszabását vagy testreszabott műszerfalak építését az Ön igényei szerint.

Jelentés

A SIEM rendszer következő fontos eleme a jelentéstétel. Lehet, hogy még nem ismeri ezt - és nem fognak segíteni a DDoS támadások megakadályozásában vagy leállításában, ám végül jelentésekre lesz szükségük. A felső vezetésnek szüksége lesz rájuk, hogy meggyőződjenek arról, hogy a SIEM-rendszerbe történő befektetésük megtérül. Előfordulhat, hogy jelentésekre is szükség van megfelelőség céljából. A PCI DSS, HIPAA vagy SOX szabványoknak való megfelelés megkönnyíthető, ha az SIEM rendszere megfelelőségi jelentéseket készít.

Noha a jelentések lehet, hogy nem képezik a SIEM rendszer lényegét, ők továbbra is nélkülözhetetlenek. És gyakran a jelentéstétel lesz a megkülönböztető tényező a versengő rendszerek között. A jelentések olyan, mint cukorkák, soha nem lehet túl sok. És természetesen a legjobb rendszerek lehetővé teszik a meglévő jelentések adaptálását vagy az egyedi jelentések létrehozását.

A DDoS támadások elleni védelem legfontosabb eszközei

Bár léteznek különféle eszközök, amelyek segítenek a DDoS támadások elleni védelemben, egyik sem nyújt ugyanolyan szintű közvetlen védelmet, mint a biztonsági információk és az eseménykezelő eszközök. Ez az, ami a listánkban szereplő összes eszköz valójában SIEM eszköz. A listán szereplő eszközök bármelyike ​​bizonyos fokú védelmet nyújt számos különféle típusú fenyegetés ellen, beleértve a DDoS-t is. Az eszközöket személyes preferenciáink szerint soroljuk fel, de sorrendjük ellenére mind a hat ilyen kiváló rendszerek, amelyeket csak azt javasolhatunk, hogy próbáld ki őket magadnak, és nézze meg, hogy megfelelnek-e az Ön számára környezet.

Lehet, hogy hallottál róla SolarWinds előtt. A nevet a legtöbb hálózati rendszergazda ismeri és okkal. A cég zászlóshajója, a Hálózati teljesítményfigyelő az elérhető legjobb hálózati sávszélességet figyelő eszközök. De ez még nem minden, a cég híres számos ingyenes eszközéről, mint például az Fejlett Alhálózati számológép vagy annak SFTP szerver.

SolarWinds szinte minden hálózati felügyeleti feladathoz tartalmaz eszközöket, amely magában foglalja a SIEM-et is. Habár a SolarWinds Biztonság Eseményszervező (más néven SEM) A legjobban belépési szintű SIEM-rendszerként írják le, ez valószínűleg az egyik legversenyképesebb belépő szintű SIEM-rendszer a piacon. Az SolarWinds SEM mindent tartalmaz, amire számíthat egy SIEM rendszertől. Kiváló naplókezelés és korrelációs funkciók, nagyszerű műszerfal és lenyűgöző jelentéskészítő motor.

• INGYENES PRÓBAVERZIÓ: SolarWinds biztonsági eseménykezelő
• Hivatalos letöltési link: https://www.solarwinds.com/security-event-manager/registration

Az SolarWinds Biztonsági eseménykezelő figyelmezteti Önt a leggyakoribb viselkedésre, lehetővé téve, hogy több idejét és erőforrásait más kritikus projektekre összpontosítsa. Az eszköz százainak beépített korrelációs szabályaival követik a hálózatot, és összegyűjtik a különböző naplóforrásokból származó adatokat, hogy valós időben azonosítsák a lehetséges veszélyeket. És nem csak a dobozból származó korrelációs szabályokat kap az induláshoz, a naplóadatok normalizálása lehetővé teszi a szabályok végtelen kombinációjának létrehozását. Ezenkívül a platformon van egy beépített fenyegetési hírszerző anyag, amely az ismert rossz szereplőktől származó viselkedés azonosítására szolgál.

A DDoS támadás által okozott lehetséges károkat gyakran az határozza meg, hogy milyen gyorsan azonosítja a fenyegetést és elkezdi kezelni azt. Az SolarWinds Biztonsági eseménykezelő felgyorsíthatja a válaszát, ha automatizálja őket, amikor bizonyos korrelációs szabályok aktiválódnak. A válaszok magukban foglalhatják az IP-címek blokkolását, a jogosultságok megváltoztatását, a fiókok letiltását, az USB-eszközök blokkolását, az alkalmazások megsemmisítését és egyebeket. Az eszköz fejlett, valós idejű reagáló rendszere aktívan reagál minden veszélyre. És mivel inkább viselkedésen, mint aláíráson alapszik, védelmet élvez az ismeretlen vagy jövőbeli fenyegetésekkel szemben. Ez a szolgáltatás önmagában kiváló eszközzé teszi a DDoS védelmet.

Az SolarWinds Biztonsági eseménykezelő a napló- és eseményinformációkat küldő csomópontok száma által engedélyezett. Ebben az összefüggésben a csomópont bármely olyan eszköz (szerver, hálózati eszköz, asztali, laptop stb.), Ahonnan napló- és / vagy eseményadatokat gyűjtenek. Az árak 4 665 USD-tól kezdődnek 30 eszközön, beleértve a karbantartás első évét. Más engedélyezési szintek legfeljebb 2 500 eszközre kaphatók. Ha meg akarja próbálni a terméket vásárlás előtt, a ingyenes, teljes mértékben működőképes 30 napos próbaverzió letölthető.

2. RSA NetWitness

2016 óta NetWitness olyan termékekre összpontosított, amelyek „mély, valós idejű hálózati helyzeti tudatosságot és agilis hálózati reakciókat” támogatnak. A vállalat története kissé összetett: miután megszerezte EMC amelyek azután összeolvadtak kis erdős völgy, az netWitness az üzlet most része a RSA ága kis erdős völgy, amely nagyszerű hír, mint RSA szilárd hírnévnek örvend az informatikai biztonság területén.

RSA NetWitness kiváló termék a teljes hálózati elemzési megoldást kereső szervezetek számára. Az eszköz információkat tartalmaz a vállalkozásáról, amely elősegíti a riasztások rangsorolását. Alapján RSA, a rendszer "több adatgyűjtési ponton, számítógépes platformon és fenyegetés intelligencia forrásán gyűjt adatokat, mint a többi SIEM megoldás”. Van fejlett fenyegetés-felderítés, amely egyesíti a viselkedés elemzését, az adattudomány technikáit és a fenyegetés intelligenciáját. És végül: a fejlett válaszrendszer hangszerkesztési és automatizálási képességekkel büszkélkedhet, amelyek segítenek megszabadulni a fenyegetésektől, még mielőtt azok befolyásolnák az Ön vállalkozását.

Az egyik fő hátránya RSA NetWitness az, hogy nem a legegyszerűbb termék, amelyet használni és konfigurálni lehet. Rengeteg átfogó dokumentáció áll rendelkezésre, amelyek segítenek a termék beállításában és használatában. Ez egy másik vállalati szintű termék, és kapcsolatba kell lépnie velük RSA értékesítés, hogy részletes árinformációkat kapjon.

3. ArcSight Enterprise biztonsági menedzser

ArcSight Enterprise biztonsági menedzser elősegíti a biztonsági fenyegetések azonosítását és fontossági sorrendbe állítását, az eseményekre való reagálás tevékenységeinek megszervezését és nyomon követését, valamint az ellenőrzési és megfelelőségi tevékenységek egyszerűsítését. Ez egy másik termék, kissé összetett történelemmel. Korábban a HP márkanévvel, ez már beleolvadt a Micro Focus, egy másik HP leányvállalat.

Az ArcSight Vállalati biztonsági menedzser egy rendkívül népszerű SIEM eszköz, amely több mint tizenöt éve működik. Az eszköz különböző forrásokból származó naplóadatokat gyűjt, és kiterjedt elemzést végez a rosszindulatú tevékenységek jeleire. A fenyegetések gyors azonosításának megkönnyítése érdekében az eszköz lehetővé teszi az elemzés eredményeinek valós időben történő megtekintését.

Funkció szempontból ez a termék nem hagy sok vágyat. Hatékony, elosztott valós idejű adatkorrelációval, munkafolyamat-automatizálással, biztonsági rendezéssel és közösségvezérelt biztonsági tartalommal rendelkezik. Az ArcSight Vállalati biztonsági menedzser integrálódik másokkal ArcSight olyan termékek, mint a ArcSight adatplatform és eseményközvetítő vagy ArcSight Vizsgálja meg. Ez egy újabb, vállalati szintű termék, amelyhez - hasonlóan a legtöbb SIEM eszközhöz - ehhez az árképzési információk eléréséhez is kapcsolatba kell lépnie az értékesítési csapattal.

4. Splunk vállalati biztonság

Splunk vállalati biztonság-vagy Splunk ES, mint gyakran nevezik - valószínűleg az egyik legnépszerűbb SIEM-rendszer, és különösen híres elemző képességeiről. Az eszköz valós időben figyeli a rendszer adatait, keresve a sebezhetőségeket és a rendellenes tevékenység jeleit.

A biztonsági válasz egy másik Splunk ESErős ruhák, és ez fontos, ha DDoS támadásokkal foglalkozunk. A rendszer mit használ Splunk felhívja a Adaptív reakciókeret (ARF), amely több mint 55 biztonsági gyártó berendezéseivel integrálódik. Az ARF automatikus reagálást hajt végre, felgyorsítva a kézi feladatokat. Ez lehetővé teszi, hogy gyorsan megszerezze a kezét. Ehhez adjon hozzá egy egyszerű és tiszta felhasználói felületet, és van nyerő megoldása. További érdekes funkciók közé tartozik a előkelőség funkció, amely megjeleníti a felhasználó által testreszabható figyelmeztetéseket és a Eszköz nyomozó a rosszindulatú tevékenységek megjelölésére és a további problémák megelőzésére.

Splunk ES egy vállalati szintű termék, és mint ilyen, vállalkozás méretű árcédulával rendelkezik. Mint ez gyakran fordul elő a vállalati szintű rendszereknél, az árazási információk nem szerezhetők be SplunkWebhelyén. Ajánlatot kérnie kell az értékesítési osztálytól. Ára ellenére ez egy nagyszerű termék, és érdemes felvenni a kapcsolatot Splunk és élvezze a rendelkezésre álló ingyenes próbaverzió előnyeit.

5. McAfee Enterprise biztonsági menedzser

A McAfee egy másik háztartási név az informatikai biztonság területén, és valószínűleg nem igényel bevezetést. A vírusvédelmi termékeiről azonban jobban ismert. Az McAfee Vállalkozás SB IZTONSÁGON Manager nem csak szoftver. Valójában egy eszköz, amelyet virtuális vagy fizikai formában is megszerezhet.

Analitikai képességeik szempontjából sokan a következőket veszik figyelembe: McAfee Enterprise biztonsági menedzser lenni az egyik legjobb SIEM eszköz. A rendszer naplókat gyűjt sokféle eszközön. Ami a normalizálási képességeket illeti, ez szintén csúcsminőségű. A korrelációs motor könnyen összegyűjti az eltérő adatforrásokat, megkönnyítve ezzel a biztonsági események észlelését amint azok történnek, fontos jellemző a valós idejű események, például a DDoS támadások elleni védelem során.

Van azonban még több a McAfee megoldás, nem csak annak Vállalati biztonsági menedzser. Ahhoz, hogy valóban teljes SIEM megoldást kapjon, a következőkre is szükség van Enterprise Log Manager és Esemény vevő. A jó hír az, hogy mindhárom termék csomagolható egyetlen készülékbe, így a beszerzési és beállítási folyamat kissé megkönnyíti. Azoknak, akik a termék megvásárlása előtt kipróbálhatják, ingyenes próbaverzió áll rendelkezésre.