Čo sú útoky DDoS a ako sa chrániť pred nimi

Útoky typu DDoS (Distributed Denial of Service) sú bohužiaľ častejšie, ako by sme si želali. Preto organizácie musia aktívne chrániť pred nimi a ďalšími hrozbami. Aj keď tieto typy útokov môžu byť nepríjemné a majú zásadný vplyv na vaše systémy, dajú sa tiež pomerne ľahko zistiť.

V tomto príspevku sa pozrieme na spôsoby, ako môžete chrániť svoje diela pred útokmi DDoS, a preskúmať niektoré produkty, ktoré vám s tým môžu pomôcť.

Začneme popisom útokov DDoS. Keď sa chystáte objaviť, ich princíp fungovania je rovnako jednoduchý ako ich potenciálny dopad. Preskúmame tiež, ako sa tieto útoky často kategorizujú a ako sa rôzne typy útokov skutočne líšia. Ďalej budeme diskutovať o tom, ako sa chrániť pred útokmi DDoS. Uvidíme, ako siete na doručovanie obsahu môžu útočníkom zabrániť v prístupe k serverom a ako môžu vyvažovače záťaže zistiť útok a nasmerovať útočníkov ďalej. Ale pre tie zriedkavé útoky, ktoré dokážu skutočne dosiahnuť váš server, potrebujete miestnu ochranu. Toto je kde systémy bezpečnostných informácií a udalostí (SIEM)

môže pomôcť, aby našou budúcou obchodnou činnosťou bolo preskúmanie niektorých najlepších systémov SIEM, ktoré sme našli.

O DDoS

Útok typu DoS (Denial of Service) je zlomyseľný pokus ovplyvniť dostupnosť cieľového systému, napríklad webovej stránky alebo aplikácie, jeho legitímnym koncovým používateľom. Útočníci zvyčajne generujú veľké množstvo paketov alebo žiadostí, ktoré nakoniec ohromujú cieľový systém. Útok distribuovaného odmietnutia služby (DDoS) je špecifický typ útoku DoS, pri ktorom útočník používa na vygenerovanie útoku viacero kompromitovaných alebo kontrolovaných zdrojov. Útoky DDoS sa často klasifikujú podľa toho, na ktorú vrstvu modelu OSI, na ktorý útočia, s väčšinou útokov vo vrstve siete (vrstva 3), transport (vrstva 4), prezentácia (vrstva 6) a aplikačná vrstva (vrstva) 7).

Útoky na spodných vrstvách (ako napríklad 3 a 4) sa zvyčajne kategorizujú ako útoky na vrstvu infraštruktúry. Sú zďaleka najbežnejším typom útoku DDoS a zahŕňajú vektory, ako sú povodne SYN a iné odrazové útoky, ako sú povodne UDP. Tieto útoky sú zvyčajne veľké a ich cieľom je preťaženie kapacity siete alebo aplikačných serverov. Dobrá vec (pre to, že je niečo napadnuté) je to, že ide o typ útoku, ktorý má jasné podpisy a je ich ľahšie odhaliť.

Čo sa týka útokov na vrstvách 6 a 7, často sa klasifikujú ako útoky na aplikačnú vrstvu. Aj keď sú tieto útoky menej časté, majú tendenciu byť sofistikovanejšie. Tieto útoky majú zvyčajne malý objem v porovnaní s útokmi na vrstvu infraštruktúry, ale majú tendenciu zameriavať sa na konkrétne drahé časti aplikácie. Príklady týchto typov útokov zahŕňajú záplavu požiadaviek HTTP na prihlasovaciu stránku alebo drahé vyhľadávacie rozhranie API alebo dokonca záplavy WordPress XML-RPC, ktoré sú známe aj ako útoky typu pingback WordPress.

MUSÍTE PREČÍTAŤ: 7 najlepších systémov prevencie prieniku (IPS)

Ochrana pred útokmi DDoS

Na účinnú ochranu pred útokom DDoS je čas nevyhnutný. Toto je typ útoku v reálnom čase, takže vyžaduje reakciu v reálnom čase. Alebo to? Jedným zo spôsobov ochrany pred útokmi DDoS je v skutočnosti poslať útočníkov niekde inde, ako sú vaše servery.

Jedným zo spôsobov, ako to dosiahnuť, je distribúcia vašich webových stránok prostredníctvom nejakého typu siete na distribúciu obsahu (CDN). Používatelia CDN, používatelia vašich webových stránok (legitímnych aj potenciálnych útočníkov) nikdy nenarazia na vaše webové servery, ale na servery CDN, čím chráni vaše servery a zaisťuje, že akýkoľvek útok DDoS ovplyvní iba relatívne malú podmnožinu vášho servera Klienti.

Ďalším spôsobom, ako zabrániť útokom DDoS na vaše servery, je použitie vyrovnávacích prostriedkov záťaže. Vyvažovače záťaže sú zariadenia, ktoré sa zvyčajne používajú na riadenie prichádzajúcich pripojení servera k viacerým serverom. Hlavným dôvodom, prečo sa používajú, je poskytnutie ďalšej kapacity. Predpokladajme, že jeden server dokáže spracovať až 500 spojení za minútu, ale vaša firma sa rozrástla a teraz máte 700 spojení za minútu. Môžete pridať druhý server s vyrovnávačom zaťaženia a prichádzajúce spojenia sa medzi týmito dvoma servermi automaticky vyvážia. Ale aj vyspelejšie vyvažovače záťaže majú bezpečnostné prvky ktoré môžu napríklad rozpoznať príznaky útoku DDoS a odoslať žiadosť na fiktívny server namiesto možného preťaženia vašich serverov. Aj keď sa účinnosť týchto technológií líši, predstavujú dobrú prvú obrannú líniu.

Bezpečnostné informácie a správa udalostí pre záchranu

Systémy bezpečnostných informácií a správy udalostí (SIEM) sú jedným z najlepších spôsobov ochrany pred útokmi DDoS. Spôsob, akým fungujú, umožňuje odhaliť takmer akúkoľvek podozrivú aktivitu a ich typické nápravné procesy môžu pomôcť zastaviť útoky mŕtvych v ich stopách. SIEM je často poslednou obrannou líniou proti útokom DDoS. Budú chytiť každý útok, ktorý skutočne robí to na vaše systémy, tie, ktorým sa podarilo obísť iné prostriedky ochrany.

Hlavné prvky SIEM

Chystáme sa podrobnejšie preskúmať každú hlavnú súčasť systému SIEM. Nie všetky systémy SIEM obsahujú všetky tieto komponenty a aj keď áno, môžu mať odlišné funkcie. Sú však najzákladnejšími zložkami, ktoré by človek bežne našiel v akejkoľvek forme v akomkoľvek systéme SIEM.

Zber a správa protokolov

Zber a správa protokolov je hlavnou súčasťou všetkých systémov SIEM. Bez nej neexistuje SIEM. Systém SIEM musí získavať údaje denníka z rôznych zdrojov. Môže ho buď vytiahnuť, alebo ho môžu rôzne detekčné a ochranné systémy posunúť do systému SIEM. Pretože každý systém má svoj vlastný spôsob kategorizácie a zaznamenávania údajov, je na SIEM, aby normalizoval údaje a urobil ich jednotnými bez ohľadu na to, aký je ich zdroj.

Po normalizácii sa zaznamenané údaje často porovnávajú so známymi vzormi útokov v snahe čo najskôr rozpoznať škodlivé správanie. Údaje sa tiež často porovnávajú s predtým zozbieranými údajmi, aby sa pomohlo vybudovať základnú líniu, ktorá ďalej zlepší detekciu abnormálnej aktivity.

TIEŽ PREČÍTAJTE:Najlepšie testované a skontrolované služby zaznamenávania údajov v cloude

Reakcia na udalosť

Po zistení udalosti je potrebné s tým niečo urobiť. O tom je modul reakcie na udalosti pre systém SIEM. Reakcia na udalosť môže mať rôzne formy. Pri najzákladnejšej implementácii sa na konzole systému vygeneruje varovná správa. Často sa môžu generovať aj e-mailové alebo SMS upozornenia.

Najlepšie systémy SIEM však idú o krok ďalej a často začnú proces nápravy. Toto je opäť niečo, čo môže mať mnoho podôb. Najlepšie systémy majú kompletný systém workflow reakcií na incidenty, ktorý je možné prispôsobiť tak, aby poskytoval presne požadovanú odpoveď. Ako by sa dalo očakávať, reakcia na incidenty nemusí byť jednotná a rôzne udalosti môžu spustiť rôzne procesy. Najlepšie systémy vám poskytnú úplnú kontrolu nad pracovným tokom reakcie na incidenty. Majte na pamäti, že pri hľadaní ochrany proti udalostiam v reálnom čase, ako sú útoky DDoS, je reakcia na udalosti pravdepodobne najdôležitejšou funkciou.

prístrojová doska

Po zavedení systému zberu a správy protokolov a systémov odozvy je ďalším dôležitým modulom dashboard. Koniec koncov, bude to vaše okno do stavu vášho systému SIEM av konečnom dôsledku do stavu vášho systému SIEM bezpečnosť siete. Sú tak dôležitou súčasťou mnohých nástrojov, ktoré ponúkajú viac dashboardov. Pretože rôzni ľudia majú rôzne priority a záujmy, ideálny informačný panel pre správcu siete sa bude líšiť od situácie správcu bezpečnosti a výkonný pracovník bude potrebovať úplne iný systém ako dobre.

Aj keď nemôžeme vyhodnotiť systém SIEM podľa počtu dashboardov, ktoré má, musíte si vybrať ten, ktorý má dashboardy, ktoré potrebujete. Toto je určite niečo, na čo by ste mali pamätať pri hodnotení dodávateľov. Mnoho z najlepších systémov vám umožní prispôsobiť vstavané dashboardy alebo zostaviť prispôsobené dashboardy podľa vašich predstáv.

hlásenie

Ďalším dôležitým prvkom systému SIEM je podávanie správ. Možno to ešte nepoznáte - a oni vám nepomôžu zabrániť alebo zastaviť útoky DDoS, ale nakoniec budete potrebovať správy. Vrcholový manažment ich bude musieť presvedčiť, že ich investície do systému SIEM sa vyplácajú. Možno budete potrebovať aj správy na účely zhody. Dodržiavanie noriem, ako sú PCI DSS, HIPAA alebo SOX, sa dá uľahčiť, keď váš systém SIEM dokáže generovať správy o zhode.

Aj keď správy nemusia byť jadrom systému SIEM, stále sú nevyhnutnými súčasťami. Podávanie správ bude často hlavným rozlišujúcim faktorom medzi konkurenčnými systémami. Správy sú ako cukríky, nikdy ich nemáte príliš veľa. Najlepšie systémy vám samozrejme umožnia prispôsobiť existujúce správy alebo vytvoriť vlastné.

Najlepšie nástroje na ochranu pred útokmi DDoS

Aj keď existujú rôzne typy nástrojov, ktoré môžu pomôcť chrániť pred útokmi DDoS, žiadny z nich neposkytuje rovnakú úroveň priamej ochrany ako bezpečnostné informácie a nástroje na správu udalostí. To je to, čo všetky nástroje v našom zozname sú v skutočnosti nástroje SIEM. Ktorýkoľvek z nástrojov na našom zozname poskytne určitý stupeň ochrany pred mnohými rôznymi typmi hrozieb vrátane DDoS. Nástroje uvádzame v zozname podľa našich osobných preferencií, ale napriek ich poradiu je všetkých šesť vynikajúce systémy, ktoré vám môžeme len odporučiť, vyskúšať si ich a zistiť, ako sa vám hodia prostredie.

Možno ste už počuli SolarWinds Pred. Názov pozná väčšina správcov siete a má dôvod. Hlavný produkt spoločnosti, Monitor výkonu siete je jedným z najlepších dostupných nástrojov na monitorovanie šírky pásma siete. Ale to nie je všetko, spoločnosť je známa aj množstvom svojich bezplatných nástrojov, ako je napríklad Pokročilé Kalkulačka podsiete alebo jeho SFTP server.

SolarWinds obsahuje nástroje pre takmer každú úlohu správy siete, ktorá zahŕňa aj SIEM. Napriek tomu SolarWinds zabezpečenia Manažér udalosti (tiež nazývaný SEM) je najlepšie opísaný ako vstupný systém SIEM, je to pravdepodobne jeden z najkonkurenčnejších vstupných systémov SIEM na trhu. SolarWinds SEM má všetko, čo od systému SIEM očakávate. Má vynikajúce správa protokolov a korelačné funkcie, skvelý prístrojový panel a pôsobivý mechanizmus podávania správ.

• SKÚŠKA ZADARMO: SolarWinds Security Event Manager
• Odkaz na stiahnutie: https://www.solarwinds.com/security-event-manager/registration

SolarWinds Správca udalostí zabezpečenia vás upozorní na najviac podozrivé správanie a umožní vám zamerať viac času a zdrojov na iné kritické projekty. Tento nástroj má stovky vstavaných pravidiel korelácie na sledovanie vašej siete a zhromažďovanie údajov z rôznych zdrojov denníka na identifikáciu potenciálnych hrozieb v reálnom čase. A nemusíte dostať iba pravidlá zhody, ktoré vám pomôžu začať, normalizácia údajov denníka umožňuje vytvorenie nekonečnej kombinácie pravidiel. Platforma má navyše zabudovaný informačný kanál o hrozbách, ktorý slúži na identifikáciu správania pochádzajúcich od známych zlých hercov.

Potenciálne škody spôsobené útokom DDoS sa často určujú podľa toho, ako rýchlo identifikujete hrozbu a začnete ju riešiť. SolarWinds Správca udalostí zabezpečenia môže urýchliť vašu reakciu automatizáciou ich vždy, keď sa spustia určité pravidlá korelácie. Reakcie môžu zahŕňať blokovanie IP adries, zmenu oprávnení, deaktiváciu účtov, blokovanie zariadení USB, zabíjanie aplikácií a ďalšie. Pokročilý systém odozvy nástroja v reálnom čase bude aktívne reagovať na každú hrozbu. A keďže je založená skôr na správaní ako na podpise, ste chránení pred neznámymi alebo budúcimi hrozbami. Táto vlastnosť z neho robí skvelý nástroj na ochranu DDoS.

SolarWinds Správca udalostí zabezpečenia je licencovaný počtom uzlov odosielajúcich denník a informácie o udalosti. V tomto kontexte je uzlom akékoľvek zariadenie (server, sieťové zariadenie, desktop, laptop atď.), Z ktorého sa zhromažďujú údaje denníka a / alebo udalosti. Ceny začínajú na 4 665 dolárov za 30 zariadení vrátane prvého roku údržby. K dispozícii sú ďalšie úrovne licencií až pre 2 500 zariadení. Ak chcete produkt vyskúšať pred jeho zakúpením, a bezplatná plne funkčná 30-dňová skúšobná verzia je k dispozícii na stiahnutie.

2. RSA NetWitness

Od roku 2016 NetWitness sa zamerala na produkty podporujúce „hlbokú realitu situačného povedomia v reálnom čase a agilnú reakciu siete“. História spoločnosti je trochu zložitá: potom, čo ju získal EMC ktoré sa potom zlúčili Dell, nietWitness podnikanie je teraz súčasťou internetu RSA pobočka Dell, čo je skvelá správa ako RSA má solídne renomé v oblasti IT bezpečnosti.

RSA NetWitness je vynikajúci produkt pre organizácie, ktoré hľadajú úplné riešenie sieťovej analýzy. Tento nástroj obsahuje informácie o vašej firme, ktoré pomáhajú pri prioritách upozornení. Podľa RSA, systém "zhromažďuje údaje na viacerých miestach snímania, počítačových platformách a zdrojoch informácií o hrozbách ako iné riešenia SIEM”. K dispozícii je tiež pokročilá detekcia hrozieb, ktorá kombinuje analýzu správania, techniky vedy o údajoch a spravodajstvo o hrozbách. A nakoniec, pokročilý systém odpovedí sa môže pochváliť funkciami orchestrácie a automatizácie, ktoré vám pomôžu zbaviť sa hrozieb skôr, ako ovplyvnia vaše podnikanie.

Jednou z hlavných nevýhod RSA NetWitness je to, že to nie je najjednoduchší produkt na použitie a konfiguráciu. K dispozícii je však veľa komplexnej dokumentácie, ktorá vám môže pomôcť s nastavením a používaním produktu. Toto je ďalší produkt podnikovej triedy a musíte sa obrátiť RSA predaj získate podrobné informácie o cenách.

3. ArcSight Enterprise Security Manager

ArcSight Enterprise Security Manager pomáha pri identifikácii a určovaní priorít bezpečnostných hrozieb, organizovaní a sledovaní činností v oblasti reakcie na incidenty a pri zjednodušovaní auditu a činností súvisiacich s dodržiavaním predpisov. Toto je ďalší produkt s trochu spletitou históriou. Doteraz sa predával pod HP značky, teraz sa zlúčila Micro Focus, ďalší HP dcérskou spoločnosťou.

ArcSight Enterprise Security Manager je ďalší nesmierne populárny nástroj SIEM, ktorý existuje už viac ako pätnásť rokov. Nástroj zhromažďuje údaje denníka z rôznych zdrojov a vykonáva rozsiahlu analýzu údajov, pričom hľadá príznaky škodlivej činnosti. A aby sa uľahčila rýchla identifikácia hrozieb, tento nástroj umožňuje zobraziť výsledky analýzy v reálnom čase.

Čo sa týka vlastností, tento produkt vám nenechá veľa čo hľadať. Má výkonnú distribuovanú koreláciu údajov v reálnom čase, automatizáciu pracovných postupov, organizáciu zabezpečenia a obsah zabezpečenia riadený komunitou. ArcSight Enterprise Security Manager integruje sa aj s ostatnými ArcSight výrobky ako Dátová platforma ArcSight a sprostredkovateľ udalostí alebo ArcSight Investigate. Toto je ďalší produkt podnikovej triedy, ktorý rovnako ako všetky kvalitné nástroje spoločnosti SIEM bude vyžadovať, aby ste sa obrátili na obchodný tím a získali podrobné informácie o cenách.

4. Splunk Enterprise Security

Splunk Enterprise Security-alebo Splunk ES, ako sa často nazýva - je pravdepodobne jedným z najpopulárnejších systémov SIEM a je obzvlášť známy svojimi analytickými schopnosťami. Tento nástroj monitoruje údaje vášho systému v reálnom čase a hľadá zraniteľné miesta a príznaky neobvyklej činnosti.

Bezpečnostná reakcia je ďalšou z nich Splunk ES'Silné obleky, a to je dôležité pri riešení útokov DDoS. Systém používa čo Splunk volá Rámec adaptívnej reakcie (ARF), ktorá sa integruje do vybavenia od viac ako 55 dodávateľov zabezpečenia. ARF vykonáva automatickú reakciu a zrýchľuje ručné úlohy. To vám umožní rýchlo získať navrch. Pridajte k tomu jednoduché a prehľadné užívateľské rozhranie a máte víťazné riešenie. Medzi ďalšie zaujímavé vlastnosti patrí honorácie funkcia, ktorá zobrazuje užívateľsky prispôsobiteľné výstrahy a Vyšetrovateľ aktív na označovanie škodlivých aktivít a predchádzanie ďalším problémom.

Splunk ES je produkt podnikovej triedy a ako taký obsahuje cenovku podnikovej veľkosti. Ako je to často v prípade podnikových systémov, z nich nemôžete získať informácie o cenách SplunkWebová stránka. Ak chcete získať cenovú ponuku, musíte sa obrátiť na obchodné oddelenie. Ale napriek svojej cene je to skvelý produkt a možno budete chcieť kontaktovať Splunk a využite dostupnú bezplatnú skúšobnú verziu.

5. McAfee Enterprise Security Manager

McAfee je ďalšie meno domácnosti v oblasti IT bezpečnosti a pravdepodobne si nevyžaduje žiadne predstavenie. Je však známy svojimi prípravkami na ochranu pred vírusmi. McAfee podnik SEZPEČNOSŤ MANAGER nie je iba softvér. Je to vlastne zariadenie, ktoré môžete získať vo virtuálnej alebo fyzickej podobe.

Pokiaľ ide o analytické schopnosti, mnohí zvažujú McAfee Enterprise Security Manager byť jeden z najlepších nástrojov SIEM. Systém zhromažďuje denníky na širokom spektre zariadení. Pokiaľ ide o jeho normalizačné schopnosti, je tiež prvotriedny. Korelačný modul ľahko zostavuje rôzne zdroje údajov, čo uľahčuje zisťovanie bezpečnostných udalostí keď sa tak stane, je to dôležitá vlastnosť pri pokusoch o ochranu pred udalosťami v reálnom čase, ako sú útoky DDoS.

Existuje však viac McAfee riešenie, než len jeho Enterprise Security Manager. Na získanie skutočne kompletného riešenia SIEM potrebujete tiež Enterprise Log Manager a Prijímač udalostí. Dobrou správou je, že všetky tri produkty sa dajú zabaliť do jedného zariadenia, čím sa proces získavania a nastavovania trochu zjednodušuje. Pre tých z vás, ktorí si možno želajú produkt vyskúšať pred jeho zakúpením, je k dispozícii bezplatná skúšobná verzia.