Wat zijn DDoS-aanvallen en hoe u zich ertegen kunt beschermen

Distributed Denial of Service (DDoS) -aanvallen komen helaas vaker voor dan we zouden willen. Dit is de reden waarom organisaties zich actief moeten beschermen tegen hen en ook tegen andere bedreigingen. En hoewel dit soort aanvallen vervelend kunnen zijn en een grote impact hebben op uw systemen, zijn ze ook relatief eenvoudig te detecteren.

In dit bericht bekijken we hoe u uw middelen kunt beschermen tegen DDoS-aanvallen en bespreken we enkele producten die u daarbij kunnen helpen.

We beginnen met te beschrijven wat DDoS-aanvallen zijn. Zoals u op het punt staat te ontdekken, is hun werkingsprincipe even eenvoudig als hun potentiële impact groot. We zullen ook onderzoeken hoe deze aanvallen vaak worden gecategoriseerd en hoe verschillende soorten aanvallen eigenlijk verschillen. Vervolgens bespreken we hoe we ons kunnen beschermen tegen DDoS-aanvallen. We zullen zien hoe content delivery-netwerken aanvallers weg kunnen houden van uw servers en hoe load balancers een aanval kunnen detecteren en aanvallers weg kunnen sturen. Maar voor die zeldzame aanvallen die uw servers daadwerkelijk bereiken, heeft u lokale bescherming nodig. Dit is waar

beveiligingsinformatie en event management (SIEM) systemen kan helpen, zodat het onze volgende taak is om enkele van de allerbeste SIEM-systemen te bekijken die we konden vinden.

Over DDoS

Een Denial of Service (DoS) -aanval is een kwaadwillende poging om de beschikbaarheid van een gericht systeem, zoals een website of applicatie, voor de legitieme eindgebruikers te beïnvloeden. Aanvallers genereren doorgaans grote hoeveelheden pakketten of verzoeken die uiteindelijk het doelsysteem overrompelen. Een DDoS-aanval (Distributed Denial of Service) is een specifiek type DoS-aanval waarbij de aanvaller meerdere gecompromitteerde of gecontroleerde bronnen gebruikt om de aanval te genereren. DDoS-aanvallen worden vaak geclassificeerd volgens welke laag van het OSI-model ze aanvallen, waarbij de meeste aanvallen plaatsvinden op de netwerklaag (laag 3), het transport (laag 4), de presentatie (laag 6) en de applicatielaag (laag 7).

Aanvallen op de lagere lagen (zoals 3 en 4) worden doorgaans gecategoriseerd als aanvallen op de infrastructuurlaag. Ze zijn verreweg het meest voorkomende type DDoS-aanval en ze bevatten vectoren zoals SYN-overstromingen en andere reflectie-aanvallen zoals UDP-overstromingen. Deze aanvallen zijn meestal groot in omvang en hebben tot doel de capaciteit van het netwerk of de applicatieservers te overbelasten. Het goede ding (voor zover er iets goeds is aan aangevallen worden) is dat het een type aanval is met duidelijke handtekeningen en dat ze gemakkelijker te detecteren zijn.

Wat betreft aanvallen op lagen 6 en 7, deze worden vaak gecategoriseerd als aanvallen op applicatielagen. Hoewel deze aanvallen minder vaak voorkomen, zijn ze meestal ook geavanceerder. Deze aanvallen zijn doorgaans klein van omvang in vergelijking met aanvallen op de infrastructuurlaag, maar richten zich meestal op bepaalde dure onderdelen van de applicatie. Voorbeelden van dit soort aanvallen zijn onder meer een stroom van HTTP-verzoeken naar een inlogpagina of een dure zoek-API, of zelfs WordPress XML-RPC-overstromingen, ook wel bekend als WordPress pingback-aanvallen.

MOET LEZEN: 7 beste inbraakpreventiesystemen (IPS)

Bescherming tegen DDoS-aanvallen

Om effectief te beschermen tegen een DDoS-aanval, is tijd van essentieel belang. Dit is een realtime aanval, dus het vereist een realtime reactie. Of toch? In feite is een manier om u te beschermen tegen DDoS-aanvallen, door aanvallers ergens anders heen te sturen dan uw servers.

Een manier om dit te bereiken is door uw website te distribueren via een bepaald type content distributienetwerk (CDN). Met behulp van een CDN raken gebruikers van uw website (zowel legitieme als potentiële aanvallers) nooit uw webservers, maar die van de CDN, waardoor uw servers worden beschermd en ervoor wordt gezorgd dat elke DDoS-aanval slechts een relatief kleine subset van u beïnvloedt klanten.

Een andere manier om te voorkomen dat DDoS-aanvallen uw servers bereiken, is door het gebruik van load balancers. Load balancers zijn apparaten die doorgaans worden gebruikt om inkomende serververbindingen naar meerdere servers te sturen. De belangrijkste reden waarom ze worden gebruikt, is om extra capaciteit te bieden. Stel dat een enkele server tot 500 verbindingen per minuut kan verwerken, maar uw bedrijf is gegroeid en u heeft nu 700 verbindingen per minuut. U kunt een tweede server toevoegen met een load balancer en inkomende verbindingen worden automatisch uitgebalanceerd tussen de twee servers. Maar de meer geavanceerde load balancers hebben ook beveiligingsfuncties die bijvoorbeeld de symptomen van een DDoS-aanval kan herkennen en het verzoek naar een dummy-server kan sturen in plaats van uw servers mogelijk te overbelasten. Hoewel de efficiëntie van dergelijke technologieën varieert, vormen ze een goede eerste verdedigingslinie.

Beveiligingsinformatie en gebeurtenisbeheer tot de redding

Security Information and Event Management (SIEM) -systemen zijn een van de beste manieren om te beschermen tegen DDoS-aanvallen. De manier waarop ze werken, maakt het mogelijk om bijna elke vorm van verdachte activiteit te detecteren en hun typische herstelprocessen kunnen helpen om dodelijke aanvallen te stoppen. SIEM is vaak de laatste verdedigingslinie tegen DDoS-aanvallen. Ze vangen elke aanval op die daadwerkelijk uw systemen bereikt, degenen die erin geslaagd zijn om andere beschermingsmethoden te omzeilen.

De belangrijkste elementen van SIEM

We staan ​​op het punt dieper in te gaan op elk belangrijk onderdeel van een SIEM-systeem. Niet alle SIEM-systemen bevatten al deze componenten en, zelfs als ze dat wel doen, kunnen ze verschillende functionaliteiten hebben. Het zijn echter de meest elementaire componenten die men normaal gesproken in een of andere vorm in elk SIEM-systeem zou vinden.

Verzameling en beheer van logboeken

Verzameling en beheer van logboeken is het belangrijkste onderdeel van alle SIEM-systemen. Zonder dit is er geen SIEM. Het SIEM-systeem moet loggegevens verzamelen uit verschillende bronnen. Het kan het trekken of verschillende detectie- en beveiligingssystemen kunnen het naar de SIEM duwen. Aangezien elk systeem zijn eigen manier heeft om gegevens te categoriseren en vast te leggen, is het aan de SIEM om gegevens te normaliseren en uniform te maken, ongeacht de bron.

Na normalisatie worden gelogde gegevens vaak vergeleken met bekende aanvalspatronen in een poging om kwaadaardig gedrag zo vroeg mogelijk te herkennen. Gegevens worden ook vaak vergeleken met eerder verzamelde gegevens om een ​​basislijn op te bouwen die de detectie van abnormale activiteiten verder zal verbeteren.

LEES OOK:Beste Cloud Logging-services getest en beoordeeld

Event Response

Zodra een gebeurtenis is gedetecteerd, moet er iets aan worden gedaan. Dit is waar de event response module van het SIEM-systeem om draait. De reactie op een evenement kan verschillende vormen aannemen. In de meest eenvoudige implementatie wordt er een waarschuwingsbericht gegenereerd op de systeemconsole. Vaak kunnen ook e-mail- of sms-waarschuwingen worden gegenereerd.

Maar de beste SIEM-systemen gaan een stap verder en zullen vaak een herstelproces initiëren. Nogmaals, dit is iets dat vele vormen kan aannemen. De beste systemen hebben een compleet workflowsysteem voor incidentrespons dat kan worden aangepast om precies het antwoord te geven dat u wilt. En zoals je zou verwachten, hoeft de respons op incidenten niet uniform te zijn en kunnen verschillende gebeurtenissen verschillende processen veroorzaken. De beste systemen geven u volledige controle over de workflow voor incidentrespons. Houd er rekening mee dat bij het zoeken naar bescherming tegen realtime gebeurtenissen zoals DDoS-aanvallen, reactie op gebeurtenissen waarschijnlijk de belangrijkste functie is.

Dashboard

Zodra u het systeem voor het verzamelen en beheren van logboeken en de reactiesystemen hebt geïnstalleerd, is de volgende belangrijke module het dashboard. Het is tenslotte uw venster naar de status van uw SIEM-systeem en, bij uitbreiding, de status van uw netwerkbeveiliging. Ze zijn zo'n belangrijk onderdeel omdat veel tools meerdere dashboards bieden. Omdat verschillende mensen verschillende prioriteiten en interesses hebben, is dit het perfecte dashboard voor een netwerkbeheerder zal anders zijn dan die van een beveiligingsbeheerder, en een leidinggevende heeft een heel andere nodig goed.

Hoewel we een SIEM-systeem niet kunnen beoordelen op het aantal dashboards dat het heeft, moet u er een kiezen met het (de) dashboard (s) die u nodig heeft. Dit is zeker iets waar u rekening mee wilt houden bij het evalueren van leveranciers. Met veel van de beste systemen kunt u ingebouwde dashboards aanpassen of aangepaste dashboards naar wens samenstellen.

Rapportage

Het volgende belangrijke element van een SIEM-systeem is rapportage. U weet het misschien nog niet - en ze helpen u niet om DDoS-aanvallen te voorkomen of te stoppen, maar u heeft uiteindelijk rapporten nodig. Het hoger management zal ze nodig hebben om zelf te zien dat hun investering in een SIEM-systeem zijn vruchten afwerpt. Mogelijk hebt u ook rapporten nodig voor conformiteitsdoeleinden. Voldoen aan standaarden zoals PCI DSS, HIPAA of SOX kan worden vereenvoudigd wanneer uw SIEM-systeem conformiteitsrapporten kan genereren.

Hoewel rapporten misschien niet de kern vormen van een SIEM-systeem, zijn het nog steeds essentiële componenten. En vaak zal rapportage een belangrijke onderscheidende factor zijn tussen concurrerende systemen. Rapporten zijn als snoepjes, je kunt er nooit teveel hebben. En met de beste systemen kunt u natuurlijk bestaande rapporten aanpassen of aangepaste rapporten maken.

De beste tools voor bescherming tegen DDoS-aanvallen

Hoewel er verschillende soorten tools zijn die kunnen helpen beschermen tegen DDoS-aanvallen, biedt geen enkele hetzelfde niveau van directe bescherming als beveiligingsinformatie en tools voor gebeurtenisbeheer. Dit is wat alle tools op onze lijst eigenlijk SIEM-tools zijn. Alle tools op onze lijst bieden een zekere mate van bescherming tegen veel verschillende soorten bedreigingen, waaronder DDoS. We geven de tools weer in volgorde van onze persoonlijke voorkeur, maar ondanks hun volgorde zijn ze alle zes uitstekende systemen die we u alleen kunnen aanraden, probeer ze zelf uit en kijk hoe ze bij u passen milieu.

Je hebt er misschien wel van gehoord SolarWinds voordat. De naam is bekend bij de meeste netwerkbeheerders en met reden. Het paradepaardje van het bedrijf, de Netwerkprestatiemonitor is een van de beste beschikbare tools voor netwerkbandbreedtebewaking. Maar dat is niet alles, het bedrijf staat ook bekend om zijn talrijke gratis tools zoals het Geavanceerd Subnet Calculator of zijn SFTP-server.

SolarWinds heeft tools voor vrijwel elke netwerkbeheertaak en dat omvat SIEM. Hoewel de SolarWinds Veiligheid Event Manager (ook wel genoemd SEM) wordt het best omschreven als een SIEM-systeem op instapniveau, het is waarschijnlijk een van de meest concurrerende SIEM-systemen op instapniveau op de markt. De SolarWinds SEM heeft alles wat u van een SIEM-systeem gewend bent. Het heeft uitstekend logboekbeheer en correlatiefuncties, een geweldig dashboard en een indrukwekkende rapportage-engine.

• GRATIS PROEF: SolarWinds Security Event Manager
• Officiële downloadlink: https://www.solarwinds.com/security-event-manager/registration

De SolarWinds Security Event Manager zal u waarschuwen voor het meest verdachte gedrag, zodat u meer tijd en middelen kunt besteden aan andere kritieke projecten. De tool heeft honderden ingebouwde correlatieregels om uw netwerk te bekijken en gegevens uit de verschillende logboekbronnen samen te voegen om potentiële bedreigingen in realtime te identificeren. En u krijgt niet alleen kant-en-klare correlatieregels om u op weg te helpen, de normalisatie van logboekgegevens zorgt voor een eindeloze combinatie van regels. Bovendien heeft het platform een ​​ingebouwde feed voor bedreigingsinformatie die werkt om gedrag te identificeren dat afkomstig is van bekende slechte acteurs.

De mogelijke schade veroorzaakt door een DDoS-aanval wordt vaak bepaald door hoe snel u de bedreiging identificeert en begint aan te pakken. De SolarWinds Security Event Manager kan uw reactie bespoedigen door ze te automatiseren wanneer bepaalde correlatieregels worden geactiveerd. Reacties kunnen onder meer zijn het blokkeren van IP-adressen, het wijzigen van rechten, het uitschakelen van accounts, het blokkeren van USB-apparaten, het doden van applicaties en meer. Het geavanceerde, realtime reactiesysteem van de tool reageert actief op elke dreiging. En aangezien het gebaseerd is op gedrag in plaats van handtekening, bent u beschermd tegen onbekende of toekomstige bedreigingen. Deze functie alleen al maakt het een geweldig hulpmiddel voor DDoS-bescherming.

De SolarWinds Security Event Manager is gelicentieerd door het aantal knooppunten dat log- en gebeurtenisinformatie verzendt. In dat verband is een knooppunt elk apparaat (server, netwerkapparaat, desktop, laptop, enz.) Waaruit log- en / of gebeurtenisgegevens worden verzameld. Prijzen beginnen bij $ 4665 voor 30 apparaten, inclusief het eerste jaar van onderhoud. Andere licentieniveaus zijn beschikbaar voor maximaal 2500 apparaten. Als u het product wilt uitproberen voordat u het koopt, een gratis volledig functionele 30-dagen proefversie is beschikbaar om te downloaden.

2. RSA NetWitness

Sinds 2016 NetWitness heeft zich gericht op producten die "diepgaande, real-time netwerksituatiebewustheid en flexibele netwerkrespons" ondersteunen. De geschiedenis van het bedrijf is een beetje complex: na te zijn overgenomen door EMC die vervolgens fuseerde met Dell, de NetWitness bedrijf maakt nu deel uit van de RSA tak van Dell, wat geweldig nieuws is als RSA heeft een solide reputatie op het gebied van IT-beveiliging.

RSA NetWitness is een geweldig product voor organisaties die op zoek zijn naar een complete oplossing voor netwerkanalyse. De tool bevat informatie over uw bedrijf waarmee u prioriteit kunt geven aan waarschuwingen. Volgens RSA, het systeem "verzamelt gegevens over meer veroveringspunten, computerplatforms en bronnen voor informatie over bedreigingen dan andere SIEM-oplossingen”. Er is ook geavanceerde bedreigingsdetectie die gedragsanalyse, data science-technieken en bedreigingsinformatie combineert. En tot slot biedt het geavanceerde reactiesysteem orkestratie- en automatiseringsmogelijkheden om bedreigingen te verwijderen voordat ze uw bedrijf beïnvloeden.

Een van de grootste nadelen van RSA NetWitness is dat het niet het gemakkelijkste product is om te gebruiken en te configureren. Er is echter veel uitgebreide documentatie beschikbaar die u kan helpen bij het installeren en gebruiken van het product. Dit is een ander product van bedrijfsniveau en u moet contact opnemen RSA verkoop voor gedetailleerde prijsinformatie.

3. ArcSight Enterprise Security Manager

ArcSight Enterprise Security Manager helpt bij het identificeren en prioriteren van beveiligingsbedreigingen, het organiseren en volgen van incidentresponsactiviteiten en het vereenvoudigen van audit- en compliance-activiteiten. Dit is een ander product met een enigszins ingewikkelde geschiedenis. Voorheen verkocht onder de HP merk, is het nu samengevoegd met Micro Focus, een andere HP dochteronderneming.

De ArcSight Enterprise Security Manager is een andere immens populaire SIEM-tool die al meer dan vijftien jaar bestaat. De tool verzamelt loggegevens uit verschillende bronnen en voert een uitgebreide gegevensanalyse uit, op zoek naar tekenen van kwaadaardige activiteiten. En om het gemakkelijk te maken om bedreigingen snel te identificeren, kunt u met de tool de analyseresultaten in realtime bekijken.

Qua functionaliteit laat dit product niet veel te wensen over. Het heeft krachtige gedistribueerde real-time gegevenscorrelatie, workflowautomatisering, beveiligingsorkestratie en community-gestuurde beveiligingsinhoud. De ArcSight Enterprise Security Manager integreert ook met andere ArcSight producten zoals de ArcSight Data Platform en Event Broker of ArcSight Investigate. Dit is weer een product van ondernemingsniveau dat, zoals vrijwel alle SIEM-tools van hoge kwaliteit, vereist dat u contact opneemt met het verkoopteam voor gedetailleerde prijsinformatie.

4. Splunk Enterprise-beveiliging

Splunk Enterprise-beveiliging-of Splunk ES, zoals het vaak wordt genoemd, is mogelijk een van de meest populaire SIEM-systemen en staat vooral bekend om zijn analysemogelijkheden. De tool bewaakt de gegevens van uw systeem in realtime, op zoek naar kwetsbaarheden en tekenen van abnormale activiteit.

Beveiligingsreactie is er nog een van Splunk ES’Sterke punten en dat is belangrijk bij het omgaan met DDoS-aanvallen. Het systeem gebruikt wat Splunk noemt de Adaptive Response Framework (ARF) die integreert met apparatuur van meer dan 55 beveiligingsleveranciers. De ARF voert automatische respons uit en versnelt handmatige taken. Hierdoor krijgt u snel de overhand. Tel daar een eenvoudige en overzichtelijke gebruikersinterface bij op en je hebt een winnende oplossing. Andere interessante kenmerken zijn de Notabelen functie die door de gebruiker aanpasbare waarschuwingen en de Asset Investigator voor het markeren van kwaadaardige activiteiten en het voorkomen van verdere problemen.

Splunk ES is een product van ondernemingsniveau en daarom wordt het geleverd met een zakelijk prijskaartje. Zoals vaak het geval is bij systemen van ondernemingsniveau, kunt u geen prijsinformatie opvragen Splunk’S website. U moet contact opnemen met de verkoopafdeling om een ​​offerte te ontvangen. Maar ondanks de prijs is dit een geweldig product en wilt u misschien contact opnemen Splunk en profiteer van een gratis proefperiode.

5. McAfee Enterprise Security Manager

McAfee is een andere begrip op het gebied van IT-beveiliging en vereist waarschijnlijk geen introductie. Het is echter beter bekend om zijn antivirusproducten. De McAfee Onderneming Security Mboosheid is niet alleen software. Het is eigenlijk een apparaat dat u in virtuele of fysieke vorm kunt krijgen.

Velen beschouwen de McAfee Enterprise Security Manager zijn een van de beste SIEM-tools. Het systeem verzamelt logboeken op een groot aantal apparaten. Wat betreft de normalisatiemogelijkheden, het is ook van topklasse. De correlatie-engine stelt gemakkelijk verschillende gegevensbronnen samen, waardoor het gemakkelijker wordt om beveiligingsgebeurtenissen te detecteren wanneer ze zich voordoen, een belangrijke functie bij het beschermen tegen real-time gebeurtenissen zoals DDoS-aanvallen.

Er is echter meer aan de hand McAfee oplossing dan alleen haar Enterprise Security Manager. Om een ​​echt complete SIEM-oplossing te krijgen, hebt u ook de Enterprise Log Manager en Event ontvanger. Het goede nieuws is dat alle drie de producten in één apparaat kunnen worden verpakt, waardoor de acquisitie- en installatieprocessen iets eenvoudiger worden. Voor degenen onder u die het product misschien willen uitproberen voordat u het koopt, is een gratis proefversie beschikbaar.