מהן התקפות DDoS ואיך לשמור עליהם

התקפות של מניעת שירות (DDoS) מבוצעות לרוע המזל לרוב לצערנו. זו הסיבה שארגונים צריכים להגן עליהם באופן פעיל ואיומים אחרים. ולמרות שסוגי התקפות אלו יכולים להיות מגעילים ולהשפיע רבות על המערכות שלך, הם גם קלים יחסית לאיתור.

בפוסט זה נבחן דרכים בהן תוכלו להגן על הנכסים שלכם מפני התקפות DDoS ונבדוק כמה מוצרים שיכולים לעזור לכם בכך.

נתחיל בתיאור מהם התקפות DDoS. כפי שאתה עומד לגלות, עיקרון הפעולה שלהם פשוט כמו שההשפעה הפוטנציאלית שלהם גבוהה. כמו כן, נבדוק כיצד לעיתים קרובות מסווגים התקפות אלו ואיך שונה סוגים שונים של התקפות. בשלב הבא נדון כיצד להגן מפני התקפות DDoS. נראה כיצד רשתות למשלוח תוכן יכולות להרחיק את התוקפים מהשרתים שלך וכיצד מאזני עומס יכולים לאתר התקפה ולהרחיק את התוקפים. אבל עבור התקפות נדירות שמצליחות להגיע לשרתים שלך בפועל, אתה זקוק להגנה מקומית מסוימת. זה איפה מערכות אבטחה וניהול אירועים (SIEM) יכול לעזור כך שההזמנה הבאה שלנו לעסקים תהיה לבדוק כמה מערכות SIEM הטובות ביותר שיכולנו למצוא.

אודות DDoS

התקפת מניעת שירות (DoS) היא ניסיון זדוני להשפיע על הזמינות של מערכת ממוקדת, כגון אתר או יישום, למשתמשים הקצה הלגיטימיים שלה. בדרך כלל, התוקפים מייצרים כמויות גדולות של מנות או בקשות המציגות בסופו של דבר את מערכת היעד. מתקפת מניעת שירות מבוזרת (DDoS) היא סוג ספציפי של מתקפת DoS בה התוקף משתמש בכמה מקורות שנפרצו או מבוקרים על מנת לייצר את ההתקפה. התקפות DDoS מסווגות לרוב על פי איזו שכבה במודל OSI הם תוקפים, כאשר מרבית ההתקפות מתרחשות בשכבת הרשת (שכבה 3), ההובלה (שכבה 4), המצגת (שכבה 6) ושכבת היישום (שכבה) 7).

התקפות בשכבות התחתונות (כגון 3 ו -4) מסווגות בדרך כלל כתקפות שכבת תשתית. הם ללא ספק הסוג הנפוץ ביותר של התקפת DDoS והם כוללים וקטורים כמו שיטפונות SYN והתקפות השתקפות אחרות כמו שיטפונות UDP. התקפות אלה בדרך כלל גדולות בנפח ומטרתן להעמיס על קיבולת הרשת או שרתי היישומים. הדבר הטוב (שכן יש משהו טוב בלהיות תחת מתקפה) הוא שהם סוג של התקפה שיש להם חתימות ברורות וקלים יותר לאיתור.

באשר להתקפות בשכבות 6 ו -7, הם מסווגים לעתים קרובות כהתקפות שכבת יישומים. למרות שהתקפות אלה שכיחות פחות, הן נוטות להיות מתוחכמות יותר. התקפות אלה בדרך כלל קטנות בהיקף לעומת התקפות שכבת התשתיות, אך הן נוטות להתמקד בחלקים יקרים במיוחד של היישום. דוגמאות לסוגי התקפות אלה כוללות שיטפון של בקשות HTTP לדף כניסה או לממשק API יקר של חיפוש, או אפילו שיטפונות של וורדפרס XML-RPC, הידועים גם בשם התקפות פינגבק של וורדפרס.

חייב לקרוא: 7 המערכות הטובות ביותר למניעת חדירות (IPS)

הגנה מפני התקפות DDoS

כדי להגן בצורה יעילה מפני התקפת DDoS, הזמן הוא המהות. זהו סוג התקפה בזמן אמת ולכן הוא דורש תגובה בזמן אמת. או שזה כן? למעשה, דרך אחת להתגונן מפני התקפות DDoS היא לשלוח תוקפים למקום אחר שהשרתים שלכם.

אחת הדרכים לכך ניתן להשיג היא על ידי הפצת אתר האינטרנט שלך דרך איזושהי רשת להפצת תוכן (CDN). המשתמשים ב- CDN, משתמשים באתר שלך (לגיטימיים ותוקפים פוטנציאליים) מעולם לא פגעו בשרתי האינטרנט שלך אלא אלה של CDN, ובכך להגן על השרתים שלך ולהבטיח שכל התקפה של DDoS תשפיע רק על תת-קבוצה קטנה יחסית שלך לקוחות.

דרך נוספת למנוע התקפות של DDoS להגיע לשרתים שלך היא באמצעות מאזני עומס. מאזני עומס הם מכשירים המשמשים בדרך כלל להפעלת חיבורי שרת נכנסים לשרתים מרובים. הסיבה העיקרית לכך שהם משמשים היא לספק יכולת נוספת. נניח ששרת בודד יכול להתמודד עם עד 500 חיבורים בדקה אבל העסק שלך צמח וכעת יש לך 700 חיבורים בדקה. ניתן להוסיף שרת שני עם איזון עומסים וחיבורים נכנסים יתאזן אוטומטית בין שני השרתים. אבל יש גם לאיזורי העומסים המתקדמים יותר מאפייני אבטחה זה יכול, למשל, לזהות את הסימפטומים של התקפת DDoS ולשלוח את הבקשה לשרת דמה במקום להעמיס על השרתים שלך. בעוד שהיעילות של טכנולוגיות כאלה משתנה, הן מהוות קו הגנה ראשון טוב.

מידע אבטחה וניהול אירועים להצלה

מערכות אבטחה וניהול אירועים (SIEM) הן אחת הדרכים הטובות ביותר להגנה מפני התקפות DDoS. הדרך בה הם פועלים מאפשרת לזהות כמעט כל סוג של פעילות חשודה ותהליכי התיקון הטיפוסיים שלהם יכולים לעזור לעצור פיגועים מתים בעקבותיהם. SIEM הוא לרוב קו ההגנה האחרון מפני התקפות DDoS. הם ימלכדו כל התקפה שתגיע למעשה למערכות שלך, אלה שהצליחו לעקוף אמצעי הגנה אחרים.

המרכיבים העיקריים של SIEM

אנו עומדים לחקור בפירוט מעמיק יותר כל מרכיב עיקרי במערכת SIEM. לא כל מערכות ה- SIEM כוללות את כל המרכיבים הללו, וגם אם כן, יכולות להיות להן פונקציות שונות. עם זאת, הם המרכיבים הבסיסיים ביותר שניתן למצוא בדרך כלל, בצורה כזו או אחרת, בכל מערכת SIEM.

אוסף יומנים וניהול

איסוף יומן וניהול הוא המרכיב העיקרי בכל מערכות SIEM. בלעדיו אין SIEM. מערכת SIEM צריכה לרכוש נתוני יומן ממגוון מקורות שונים. זה יכול למשוך אותו או שמערכות גילוי והגנה שונות יכולות לדחוף אותו ל- SIEM. מכיוון שלכל מערכת יש דרך משלה לקטלג נתונים ולהקליטם, SIEM מתאימה לנרמל נתונים ולהפוך אותם לאחידים, לא משנה מה המקור שלה.

לאחר הנורמליזציה, בדרך כלל ישוו נתונים רשומים כנגד דפוסי התקפה ידועים בניסיון לזהות התנהגות זדונית מוקדם ככל האפשר. לעתים קרובות ישוו בין נתונים לנתונים שנאספו בעבר כדי לעזור לבנות קו בסיס אשר ישפר עוד יותר את איתור הפעילות הלא תקינה.

קרא גם:שירותי הרישום הטובים ביותר בענן שנבדקו ונבדקו

תגובה לאירוע

ברגע שמתגלה אירוע, יש לעשות משהו בנדון. זה מה שעוסק במודול תגובת האירועים עבור מערכת SIEM. תגובת האירוע יכולה ללבוש צורות שונות. ביישום הבסיסי ביותר, תיווצר הודעת התראה במסוף המערכת. לעתים קרובות ניתן ליצור התראות דוא"ל או SMS.

אבל מערכות ה- SIEM הטובות ביותר עוברות צעד אחד קדימה ולעיתים קרובות יוזמות תהליך מתקנה כלשהו. שוב, זה משהו שיכול ללבוש צורות רבות. המערכות הטובות ביותר כוללות מערכת זרימת עבודה מלאה לתגובה לאירועים הניתנת להתאמה אישית כדי לספק בדיוק את התגובה הרצויה. וכפי שניתן היה לצפות, תגובת האירועים אינה חייבת להיות אחידה ואירועים שונים יכולים לעורר תהליכים שונים. המערכות הטובות ביותר יעניקו לך שליטה מלאה בזרימת העבודה בתגובה לאירועים. זכור כי כשאתה מחפש הגנה מפני אירועים בזמן אמת כמו התקפות DDoS, תגובת האירועים היא ככל הנראה התכונה החשובה ביותר.

לוח מחוונים

ברגע שיש לך את מערכת איסוף היומנים והניהול ומערכות התגובה, המודול החשוב הבא הוא לוח המחוונים. אחרי הכל, זה יהיה החלון שלך למצב של מערכת SIEM שלך, ובסיומה, הסטטוס שלך אבטחת הרשת. הם כה מרכיב חשוב שכלי כלים רבים מציעים לוחות מחוונים מרובים. מכיוון שלאנשים שונים יש סדר עדיפויות ואינטרסים שונים, לוח המחוונים המושלם עבור מנהל רשת יהיה שונה מזה של מנהל אבטחה, ומנהל זקוק למנהל שונה לחלוטין כמו נו.

אמנם איננו יכולים להעריך מערכת SIEM לפי מספר לוח המחוונים שיש לה, אך עליך לבחור אחת שיש לה לוח המחוונים הדרוש לך. זה בהחלט משהו שתרצה לזכור כשאתה מעריך ספקים. רבות מהמערכות הטובות ביותר יאפשרו לכם להתאים לוח מחוונים מובנה או לבנות לוחות מחוונים בהתאמה אישית לטעמכם.

דיווח

המרכיב החשוב הבא במערכת SIEM הוא הדיווח. יתכן שלא תדע זאת עדיין - והם לא יעזרו לך למנוע או להפסיק התקפות DDoS, אך בסופו של דבר תזדקק לדוחות. ההנהלה העליונה תצטרך אותם לראות בעצמם שההשקעה שלהם במערכת SIEM משתלמת. ייתכן שתצטרך גם דוחות למטרות התאמה. ניתן להקל על עמידה בתקנים כמו PCI DSS, HIPAA או SOX כאשר מערכת ה- SIEM שלך יכולה ליצור דוחות התאמה.

אמנם ייתכן שדוחות אינם בבסיס מערכת SIEM, אך הם עדיין מרכיבים חיוניים. ולעתים קרובות הדיווח יהיה גורם מבדיל משמעותי בין מערכות מתחרות. דוחות הם כמו סוכריות, לעולם אינך יכול לקבל יותר מדי. וכמובן, המערכות הטובות ביותר יאפשרו לכם להתאים דוחות קיימים או ליצור דוחות מותאמים אישית.

הכלים המובילים להגנה מפני התקפות DDoS

למרות שישנם סוגים שונים של כלים שיכולים לעזור בהגנה מפני התקפות DDoS, אף אחד מהם לא מספק את אותה רמת הגנה ישירה כמו כלי אבטחה וכלי ניהול אירועים. זה מה שכל הכלים ברשימה שלנו הם למעשה כלי SIEM. כל אחד מהכלים ברשימה שלנו יספק מידה מסוימת של הגנה מפני סוגים רבים של איומים, כולל DDoS. אנו מפרטים את הכלים לפי העדפתנו האישית, אך למרות סדרם, ששת הכלים הם מערכות מצוינות שנוכל רק להמליץ ​​לך לנסות אותן בעצמך ולראות איך הן מתאימות לך סביבה.

יתכן ששמעת עליו SolarWinds לפני. השם ידוע ברוב מנהלי הרשת ובסיבה לכך. מוצר הדגל של החברה, ה- צג ביצועי רשת הוא אחד מכלי הניטור של רוחב הפס הטובים ביותר שקיימים. אך זה לא הכל, החברה מפורסמת גם בשל כלים חינמיים רבים כמו שלה מתקדם מחשבון רשת משנה או שלה שרת SFTP.

SolarWinds יש כלים כמעט לכל משימה לניהול רשת וזה כולל SIEM. למרות ש SolarWinds אבטחה מנהל אירוע (המכונה גם SEM) מתואר בצורה הטובה ביותר כמערכת SIEM ברמת כניסה, היא ככל הנראה אחת ממערכות ה- SIEM ברמת הכניסה בשוק. ה SolarWinds סא.מ. יש לך כל מה שבא לך לצפות ממערכת SIEM. יש בו מעולה ניהול יומן ותכונות מתאם, לוח מחוונים נהדר ומנוע דיווח מרשים.

• ניסיון חינם: מנהל אירועי אבטחה של SolarWinds
• קישור הורדה רשמי: https://www.solarwinds.com/security-event-manager/registration

ה SolarWinds מנהל אירועי אבטחה יתריע בפניך על ההתנהגויות החשודות ביותר, ויאפשר לך למקד יותר מזמנך ומשאביך בפרויקטים קריטיים אחרים. הכלי כולל מאות כללי מתאם מובנים לצפייה ברשת שלך וחיבור נתונים ממקורות היומן השונים כדי לזהות איומים פוטנציאליים בזמן אמת. ואתה לא מקבל רק כללי מתאם מחוץ לתיבה שיעזרו לך להתחיל, הנורמליזציה של נתוני יומן מאפשרת ליצור שילוב של כללים אינסופיים. יתר על כן, לפלטפורמה יש עדכון מובנה של מודיעין איומים הפועל לזיהוי התנהגויות שמקורן בשחקנים רעים ידועים.

הנזק הפוטנציאלי שנגרם כתוצאה מהתקף DDoS נקבע לרוב על ידי כמה מהר אתה מזהה את האיום ומתחיל לטפל בו. ה SolarWinds מנהל אירועי אבטחה יכול לזרז את תגובתך על ידי אוטומציה שלהן בכל פעם שמופיעים כללי מתאם מסוימים. התגובות יכולות לכלול חסימת כתובות IP, שינוי הרשאות, השבתת חשבונות, חסימת התקני USB, הרג יישומים ועוד. מערכת התגובה המתקדמת של הכלי בזמן אמת תגיב באופן פעיל לכל איום. ומכיוון שהוא מבוסס על התנהגות ולא על חתימה, אתה מוגן מפני איומים לא ידועים או עתידיים. תכונה זו בלבד הופכת אותה לכלי נהדר להגנת DDoS.

ה SolarWinds מנהל אירועי אבטחה מורשה על ידי מספר הצמתים ששולחים יומן ומידע על אירועים. בהקשר זה, צומת הוא כל מכשיר (שרת, התקן רשת, שולחן עבודה, מחשב נייד וכו ') ממנו נאספים נתוני יומן ו / או אירועים. התמחור מתחיל ב -4 665 דולר עבור 30 מכשירים, כולל השנה הראשונה לתחזוקה. קיימים שכבות רישוי אחרות עבור עד 2 500 מכשירים. אם אתה רוצה לנסות את המוצר לפני שאתה רוכש אותו, א גרסת ניסיון של 30 יום בחינם תפקודית לחלוטין זמין להורדה.

2. RSA NetWitness

מאז 2016, NetWitness התמקדה במוצרים התומכים ב"מודעות מצבית עמוקה בזמן אמת ותגובת רשת זריזת ". ההיסטוריה של החברה מעט מורכבת: לאחר שנרכשה על ידי EMC אשר אז התמזגה עם דל, ה NetWitness העסק הוא כעת חלק מ RSA סניף של דל, שהם חדשות נהדרות כמו RSA נהנה ממוניטין יציב בתחום אבטחת IT.

RSA NetWitness הוא מוצר נהדר לארגונים המחפשים פיתרון ניתוח רשת מלא. הכלי משלב מידע על העסק שלך שעוזר לתעדף התראות. לפי RSA, המערכת "אוספת נתונים על פני יותר נקודות לכידה, פלטפורמות מחשוב ומקורות מודיעין איום מאשר פתרונות אחרים של SIEM”. יש גם איתור איומים מתקדם המשלב ניתוח התנהגות, טכניקות מדעי נתונים ואינטליגנציית איומים. ולבסוף, מערכת התגובה המתקדמת מתהדרת ביכולות תזמור ואוטומציה כדי להיפטר מאיומים לפני שהן משפיעות על העסק שלך.

אחד החסרונות העיקריים של RSA NetWitness הוא שזה לא המוצר הקל ביותר לשימוש ולהגדרת תצורה. עם זאת יש המון תיעוד מקיף שיכול לעזור לך בהגדרת המוצר ושימוש בו. זהו מוצר אחר בדרגה ארגונית ותצטרך ליצור קשר RSA מכירות כדי לקבל מידע על מחירים מיוחדים.

3. מנהל האבטחה של ארקיסייט

מנהל האבטחה של ארקיסייט עוזר בזיהוי ותעדוף איומי אבטחה, ארגון ומעקב אחר פעילויות תגובת אירועים, ופשטת פעילויות ביקורת ותאימות. זהו מוצר אחר עם היסטוריה מעט מפותלת. נמכר בעבר תחת HP המותג, כעת הוא התמזג עם מיקרו פוקוס, אחר HP חברה בת.

ה ArcSight מנהל אבטחה ארגונית הוא עוד כלי SIEM פופולרי להפליא שקיים כבר למעלה מחמש עשרה שנים. הכלי אוסף נתוני יומן ממקורות שונים ומבצע ניתוח נתונים נרחב, ומחפש סימנים של פעילות זדונית. וכדי להקל על זיהוי איומים במהירות, הכלי מאפשר לך להציג את תוצאות הניתוח בזמן אמת.

בתכונה, מוצר זה לא משאיר הרבה מה להיות נחשק. יש לו מתאם נתונים מופץ בזמן אמת, אוטומציה של זרימת עבודה, תזמור אבטחה ותוכן אבטחה מונחה קהילה. ה ArcSight מנהל אבטחה ארגונית משתלב גם עם אחרים ArcSight מוצרים כגון פלטפורמת נתונים וסוכנת אירועים של ArcSight או ArcSight לחקור. זהו מוצר נוסף בדרגה ארגונית שכמו כמעט כל כלי SIEM האיכותי ידרוש ממך לפנות לצוות המכירות כדי לקבל מידע על מחירים מיוחדים.

4. Splunk Enterprise Security

Splunk Enterprise Security—או Splunk ESכפי שהיא מכונה לעתים קרובות - היא אולי אחת ממערכות ה- SIEM הפופולריות ביותר והיא מפורסמת במיוחד בגלל יכולות הניתוח שלה. הכלי עוקב אחר נתוני המערכת בזמן אמת ומחפש פגיעויות וסימנים של פעילות לא תקינה.

התגובה הביטחונית היא אחרת מ Splunk ESחליפות חזקות וזה חשוב כשמתמודדים עם התקפות DDoS. המערכת משתמשת במה מתיז קורא ל- מסגרת תגובה אדפטיבית (ARF) שמשתלב עם ציוד של יותר מ- 55 ספקי אבטחה. ה ARF מבצע מענה אוטומטי ומזרז משימות ידניות. זה יאפשר לך להשיג במהירות את העליונה. הוסף לזה ממשק משתמש פשוט ולא מסודר ויש לך פיתרון מנצח. תכונות מעניינות אחרות כוללות את בולטים פונקציה שמציגה התראות הניתנות להתאמה אישית על ידי המשתמש ואת חוקר נכסים עבור סימון פעילויות זדוניות ומניעת בעיות נוספות.

Splunk ES הוא מוצר בדרגה ארגונית וככזה, הוא מגיע עם תג מחיר בגודל ארגוני. כפי שקורה לעתים קרובות עם מערכות בדרגה ארגונית, אינך יכול לקבל ממנו מידע על מחירים מתיזאתר האינטרנט. עליך ליצור קשר עם מחלקת המכירות כדי לקבל הצעת מחיר. אך למרות מחירו, מדובר במוצר נהדר וייתכן שתרצו ליצור קשר מתיז ונצלו את תקופת הניסיון החינמית הזמינה.

5. מנהל האבטחה של מק'אפי

מקאפי הוא שם משק בית נוסף בתחום אבטחת ה- IT וכנראה שהוא אינו דורש הקדמה. עם זאת, הוא ידוע יותר בזכות מוצרי ההגנה שלו מפני וירוסים. ה מקאפי ארגוני סטוהר Mאנאגר אינה רק תוכנה. זה למעשה מכשיר שתוכלו להשיג בצורה וירטואלית או פיזית.

מבחינת יכולות הניתוח שלה, רבים לוקחים בחשבון את ה- מנהל האבטחה של מק'אפי להיות אחד הכלים הטובים ביותר ל- SIEM. המערכת אוספת יומנים במגוון רחב של מכשירים. באשר ליכולות הנורמליזציה שלו, הוא גם מהשורה הראשונה. מנוע המתאם אוסף בקלות מקורות נתונים שונים, מה שמקל על איתור אירועי אבטחה כפי שהם קורים, תכונה חשובה כשמנסים להגן מפני אירועים בזמן אמת כמו התקפות DDoS.

עם זאת, יש יותר ל מקאפי פיתרון מאשר רק שלה מנהל אבטחה ארגונית. כדי לקבל פיתרון SIEM שלם באמת, אתה זקוק גם ל מנהל יומן ארגוני ו מקלט אירוע. החדשות הטובות הן שאפשר לארוז את שלושת המוצרים במכשיר יחיד, מה שמקל על תהליכי הרכישה וההגדרה במקצת. לאלו מכם שאולי ירצו לנסות את המוצר לפני שאתם קונים אותו, תקופת ניסיון חינם זמינה.