Kaj so napadi DDoS in kako se obvarovati proti njim

Napadi distribuirane zavrnitve storitve (DDoS) so žal pogostejši, kot bi želeli. Zaradi tega se morajo organizacije aktivno zaščititi pred njimi in drugimi grožnjami. In čeprav so te vrste napadov lahko grde in močno vplivajo na vaše sisteme, jih je tudi razmeroma enostavno zaznati.

V tej objavi si bomo ogledali načine, kako lahko zaščitite svoje premoženje pred napadi DDoS in pregledali nekatere izdelke, ki vam lahko pomagajo pri tem.

Začeli bomo z opisom, kaj so napadi DDoS. Ko boste odkrivali, je njihovo načelo delovanja tako preprosto, kot je njihov potencialni vpliv velik. Preučili bomo tudi, kako so ti napadi pogosto kategorizirani in kako se različne vrste napadov dejansko razlikujejo. Nato bomo razpravljali o tem, kako se zaščititi pred napadi DDoS. Videli bomo, kako lahko omrežja za pošiljanje vsebine napadajoče vodijo stran od vaših strežnikov in kako uravnoteženci nalaganja lahko zaznajo napad in usmerjajo napadalce stran. Toda za tiste redke napade, ki uspejo dejansko doseči vaše strežnike, potrebujete nekaj lokalne zaščite. Tukaj je

sistemi za varnostne informacije in upravljanje dogodkov (SIEM) lahko pomagamo, da bo naš naslednji posel pregled nekaterih najboljših sistemov SIEM, ki jih lahko najdemo.

O DDoS

Napad za zavrnitev storitve (DoS) je zlonamerni poskus vplivanja na razpoložljivost ciljnega sistema, na primer spletnega mesta ali aplikacije, za njegove zakonite končne uporabnike. Običajno napadalci ustvarijo velike količine paketov ali zahtevkov, ki končno preplavijo ciljni sistem. Napad distribuiranega zavračanja storitve (DDoS) je posebna vrsta napada DoS, v katerem napadalec za napad ustvari več ogroženih ali nadzorovanih virov. DDoS napadi so pogosto razvrščeni glede na to, kateri sloj modela OSI napadajo, pri čemer se zgodi večina napadov na ravni omrežja (plast 3), prenosa (plast 4), predstavitve (plast 6) in aplikacijskega sloja (plast 7).

Napadi na spodnjih plasteh (kot sta 3 in 4) so ​​običajno kategorizirani kot napadi na infrastrukturno plast. So daleč najpogostejša vrsta DDoS napada in vključujejo vektorje, kot so poplave SYN in drugi napadi refleksije, kot so poplave UDP. Ti napadi so ponavadi obsežni in stremijo k preobremenitvi zmogljivosti omrežja ali aplikacijskih strežnikov. Dobra stvar (kolikor ni nič dobrega o napadu) je, da gre za vrsto napada, ki ima jasne podpise in jih je lažje zaznati.

Kar zadeva napade na slojih 6 in 7, jih pogosto uvrščamo med napade aplikacijskega sloja. Čeprav so ti napadi manj pogosti, so ponavadi tudi bolj izpopolnjeni. Ti napadi so ponavadi majhni po obsegu v primerjavi z napadi na infrastrukturno plast, vendar se osredotočajo na posebne drage dele aplikacije. Primeri tovrstnih napadov vključujejo poplavo zahtev HTTP na prijavno stran ali drag API za iskanje ali celo poplave WordPress XML-RPC, ki so znane tudi kot napadi pingbacka WordPressa.

MORATI PREBRATI: 7 najboljših sistemov za preprečevanje vdorov (IPS)

Zaščita pred napadi DDoS

Za učinkovito zaščito pred napadom DDoS je čas bistvenega pomena. To je napad v realnem času, zato je potreben odziv v realnem času. Ali pač? Pravzaprav je eden od načinov zaščite pred napadi DDoS ta, da pošljete napadalce nekam drugam, ki jih vaši strežniki.

Eden od načinov za dosego tega je distribucija vašega spletnega mesta prek neke vrste omrežja za distribucijo vsebine (CDN). Uporabniki vašega spletnega mesta (tako legitimni kot potencialni napadalci) s CDN-jem nikoli ne posegajo v vaše spletne strežnike, ampak tiste v CDN, s čimer zaščitite vaše strežnike in zagotovite, da bo vsak napad DDoS vplival le na relativno majhno podmnožico vaše stranke.

Drug način preprečevanja napadov DDoS, da bi dosegli vaše strežnike, je uporaba izravnalnikov obremenitev. Balansi za nalaganje so naprave, ki se običajno uporabljajo za usmerjanje dohodnih strežniških povezav na več strežnikov. Glavni razlog, zakaj se uporabljajo, je zagotavljanje dodatnih zmogljivosti. Predpostavimo, da lahko en strežnik prenese do 500 povezav na minuto, vendar je vaše podjetje raslo in zdaj imate 700 povezav na minuto. Dodate lahko drugi strežnik z izravnalnikom obremenitve in dohodne povezave bodo samodejno uravnotežene med obema strežnikoma. Imajo pa tudi naprednejše izravnalnike obremenitve varnostne funkcije ki lahko na primer prepozna simptome DDoS napada in pošlje zahtevo preskusnemu strežniku, namesto da bi potencialno preobremenil vaše strežnike. Učinkovitost teh tehnologij se sicer razlikuje, vendar predstavljajo dobro prvo obrambno linijo.

Varnostne informacije in upravljanje dogodkov v reševanje

Sistemi varnostnih informacij in upravljanja dogodkov (SIEM) so eden najboljših načinov zaščite pred napadi DDoS. Način delovanja omogoča, da odkrijejo skoraj vse vrste sumljivih dejavnosti, njihovi tipični postopki sanacije pa lahko pomagajo zaustaviti napade mrtvih v njihovih tirih. SIEM je pogosto zadnja linija obrambe pred napadi DDoS. Ujeli bodo vsak napad, ki ga dejansko naredi na vaše sisteme, tiste, ki jim je uspelo zaobiti druga zaščitna sredstva.

Glavni elementi SIEM

Zdaj bomo podrobneje raziskali vsako glavno sestavino sistema SIEM. Vsi sistemi SIEM ne vključujejo vseh teh komponent in tudi, če se pojavijo, bi lahko imeli različne funkcije. Vendar gre za najosnovnejše sestavine, ki bi jih v takšni ali drugačni obliki običajno našli v katerem koli sistemu SIEM.

Zbiranje in upravljanje dnevnikov

Zbiranje in upravljanje dnevnikov je glavni sestavni del vseh sistemov SIEM. Brez tega SIEM ni. Sistem SIEM mora pridobiti podatke dnevnika iz različnih virov. Lahko ga vleče ali pa ga različni sistemi zaznavanja in zaščite potisnejo v SIEM. Ker ima vsak sistem svoj način razvrščanja in zapisovanja podatkov, mora SIEM normalizirati podatke in jih narediti enotne, ne glede na izvor.

Po normalizaciji se zabeleženi podatki pogosto primerjajo z znanimi vzorci napadov, da bi čim prej prepoznali zlonamerno vedenje. Podatke bodo pogosto primerjali s predhodno zbranimi podatki, kar bo pomagalo sestaviti osnovno črto, ki bo še izboljšala odkrivanje nenormalnih aktivnosti.

TUDI PREBERITE:Preizkušene in pregledane najboljše storitve beleženja v oblaku

Odziv dogodka

Ko je dogodek zaznan, je treba nekaj storiti glede tega. To je tisto, kar sestavlja modul za odziv na dogodke v sistemu SIEM. Odziv na dogodek je lahko v različnih oblikah. V svoji najbolj osnovni izvedbi se bo na konzoli sistema ustvarilo opozorilno sporočilo. Pogosto se lahko ustvarijo tudi opozorila po e-pošti ali SMS.

Toda najboljši sistemi SIEM gredo še korak dlje in bodo pogosto sprožili postopek sanacije. Spet je to nekaj, kar lahko potegne več oblik. Najboljši sistemi imajo celoten sistem delovnega toka odzivanja na incident, ki ga je mogoče prilagoditi tako, da zagotavlja natančno ustrezen odziv. In kot bi pričakovali, odziv na incident ne mora biti enoten in različni dogodki lahko sprožijo različne procese. Najboljši sistemi vam bodo omogočili popoln nadzor nad potekom odziva na incident. Upoštevajte, da je odziv na dogodke verjetno najpomembnejša funkcija pri iskanju zaščite pred dogodki v realnem času, kot so napadi DDoS.

Armaturna plošča

Ko imate vzpostavljen sistem zbiranja in upravljanja dnevnikov ter odzivnih sistemov, je naslednji pomemben modul nadzorna plošča. Konec koncev bo to vaše okno v status vašega sistema SIEM in po koncu tudi status vašega varnost omrežja. So tako pomemben sestavni del klobuka, veliko orodij ponuja več nadzornih plošč. Ker imajo različni ljudje različne prioritete in zanimanja, je popolna nadzorna plošča za omrežnega skrbnika se bo razlikoval od skrbnika za varnost, izvršni direktor pa bo potreboval popolnoma drugačen kot dobro.

Čeprav sistema SIEM ne moremo oceniti po številu armaturnih plošč, morate izbrati takšnega, na katerem je potrebna nadzorna plošča. Pri ocenjevanju prodajalcev boste to zagotovo želeli upoštevati. Mnogi najboljši sistemi vam bodo omogočili, da vgradite armaturne plošče ali sestavite prilagojene nadzorne plošče po svojih željah.

Poročanje

Naslednji pomemben element sistema SIEM je poročanje. Morda še ne veste - in ne bodo vam pomagali preprečiti ali zaustaviti DDoS napadov, vendar boste sčasoma potrebovali poročila. Zgornje vodstvo jih bo moralo prepričati, da se jim naložba v sistem SIEM izplača. Za namene skladnosti boste morda potrebovali tudi poročila. Upoštevanje standardov, kot so PCI DSS, HIPAA ali SOX, je mogoče olajšati, če vaš sistem SIEM lahko ustvari poročila o skladnosti.

Čeprav poročila morda niso jedro sistema SIEM, so še vedno bistvena sestavina. In pogosto bo poročanje glavni razlikovalni dejavnik med konkurenčnimi sistemi. Poročila so kot bonboni, nikoli jih ne morete imeti preveč. In najboljši sistemi vam bodo seveda omogočili, da prilagodite obstoječa poročila ali ustvarite poročila po meri.

Najboljša orodja za zaščito pred napadi DDoS

Čeprav obstajajo različne vrste orodij, ki lahko pomagajo zaščititi pred napadi DDoS, nobeno ne zagotavlja enake ravni neposredne zaščite kot varnostne informacije in orodja za upravljanje dogodkov. To so vsa orodja na našem seznamu pravzaprav orodja SIEM. Vsako orodje na našem seznamu bo zagotovilo določeno stopnjo zaščite pred številnimi različnimi vrstami groženj, vključno z DDoS. Orodja navajamo po svojih osebnih željah, vendar je kljub šestim vrstnim redom vseh šest odlične sisteme, ki jih lahko samo priporočamo, da jih preizkusite sami in si ogledate, kako ustrezajo vašim okolje.

Morda ste že slišali SolarWinds prej. Ime pozna večina skrbnikov omrežij in z razlogom. Vodilni izdelek podjetja, Monitor zmogljivosti omrežja je eno najboljših orodij za nadzor pasovne širine, ki so na voljo. A to še ni vse, podjetje je znano tudi po številnih brezplačnih orodjih, kot je njegovo Napredno Kalkulator podomrežja ali njegove SFTP strežnik.

SolarWinds ima orodja za skoraj vsako nalogo upravljanja omrežja, ki vključuje SIEM. Čeprav je SolarWinds Varnost Vodja dogodkov (imenovano tudi SEM) je najbolje opisan kot vstopni sistem SIEM, verjetno je eden najbolj konkurenčnih vstopnih sistemov SIEM na trgu. The SolarWinds SEM ima vse, kar lahko pričakujete od sistema SIEM. Ima odlično upravljanje dnevnikov in korelacijske lastnosti, odlična nadzorna plošča in impresiven mehanizem poročanja.

• BREZPLAČEN PREIZKUS: SolarWinds Security Event Manager
• Uradna povezava za prenos: https://www.solarwinds.com/security-event-manager/registration

The SolarWinds Vodja varnostnih dogodkov vas bo opozoril na najbolj sumljiva vedenja in vam omogočil, da več časa in sredstev usmerite v druge kritične projekte. Orodje ima na stotine vgrajenih korelacijskih pravil, s katerimi si lahko ogledate svoje omrežje in združi podatke iz različnih virov dnevnikov, da v realnem času prepozna potencialne grožnje. In ne potrebujete samo pravil o korelaciji, ki vam pomagajo pri začetku, normalizacija podatkov dnevnika omogoča ustvarjanje neskončne kombinacije pravil. Poleg tega ima platforma vgrajen vir obveščevalnih podatkov o grožnjah, ki deluje na prepoznavanje vedenj, ki izvirajo iz znanih slabih akterjev.

Možna škoda, ki jo povzroči napad DDoS, je pogosto določena s tem, kako hitro prepoznate grožnjo in jo začnete obravnavati. The SolarWinds Vodja varnostnih dogodkov lahko pohitri vaš odziv z avtomatizacijo, kadar se sprožijo določena pravila korelacije. Odzivi lahko vključujejo blokiranje naslovov IP, spreminjanje privilegijev, onemogočanje računov, blokiranje USB naprav, ubijanje aplikacij in drugo. Napredni sistem odziva v realnem času bo orodje aktivno reagiral na vsako grožnjo. In ker temelji na vedenju in ne na podpisu, ste zaščiteni pred neznanimi ali prihodnjimi grožnjami. Sama funkcija je odlično orodje za zaščito pred DDoS.

The SolarWinds Vodja varnostnih dogodkov je licencirano s številom vozlišč, ki pošiljajo podatke dnevnika in dogodkov. V tem kontekstu je vozlišče vsaka naprava (strežnik, omrežna naprava, namizje, prenosni računalnik itd.), Iz katere se zbirajo podatki dnevnika in / ali dogodka. Cena se začne pri 4 665 USD za 30 naprav, vključno s prvim letom vzdrževanja. Druge stopnje licenc so na voljo za do 2 500 naprav. Če želite izdelek preizkusiti pred nakupom, a brezplačna popolnoma funkcionalna 30-dnevna preizkusna različica je na voljo za prenos.

2. RSA NetWitness

Od leta 2016 je dr. NetWitness se je osredotočila na izdelke, ki podpirajo "globoko zavedanje situacij v realnem času in hitro posredovanje omrežja". Zgodovina podjetja je nekoliko zapletena: po pridobitvi s strani EMC ki se je nato združil s Dell, the NetWitness posel je zdaj del RSA podružnica Dell, kar je odlična novica kot RSA uživa trden ugled na področju varnosti IT.

RSA NetWitness je odličen izdelek za organizacije, ki iščejo celovito rešitev za mrežno analitiko. Orodje vsebuje podatke o vašem podjetju, ki pomagajo razpisati opozorila. Po navedbah RSA, sistem "zbira podatke na več točkah zajemanja, računalniških platformah in virih obveščevalnih podatkov o grožnjah kot druge rešitve SIEM”. Na voljo je tudi napredno odkrivanje groženj, ki združuje vedenjsko analizo, tehnike podatkovnih podatkov in obveščanje o grožnjah. In končno, napredni odzivni sistem se ponaša z zmogljivostmi za orkestracijo in avtomatizacijo, s pomočjo katerih se lahko znebite groženj, preden vplivajo na vaše podjetje.

Ena glavnih pomanjkljivosti RSA NetWitness je, da ni najlažji izdelek za uporabo in konfiguriranje. Na voljo pa je veliko obsežne dokumentacije, ki vam lahko pomaga pri nastavitvi in ​​uporabi izdelka. To je drug podjetniški izdelek, ki ga boste morali poklicati RSA prodaje, če želite dobiti podrobne informacije o cenah.

3. ArcSight Enterprise Security Manager

ArcSight Enterprise Security Manager pomaga prepoznati in določiti prednostne varnostne grožnje, organizirati in spremljati dejavnosti odzivanja na dogodke ter poenostaviti dejavnosti revizije in skladnosti. To je še en izdelek z nekoliko zmedeno zgodovino. Prej prodana pod HP blagovne znamke, zdaj se je združila z Micro Focus, drugo HP hčerinsko podjetje.

The ArcSight Enterprise Security Manager je še eno izjemno priljubljeno orodje SIEM, ki obstaja že več kot petnajst let. Orodje zbira podatke dnevnika iz različnih virov in izvaja obsežno analizo podatkov ter išče znake zlonamerne dejavnosti. Za lažje prepoznavanje groženj vam orodje omogoča ogled rezultatov analize v realnem času.

Po mnenju izdelka ta izdelek ne pušča veliko želenega. Ima močno porazdeljeno povezavo podatkov v realnem času, avtomatizacijo delovnega toka, varnostno orkestracijo in varnostno vsebino, ki jo vodi skupnost. The ArcSight Enterprise Security Manager se tudi integrira z drugimi ArcSight izdelke, kot so Podatkovna platforma ArcSight in posrednik dogodkov ali ArcSight razišče. To je še en podjetniški izdelek, ki bo tako kot skoraj vsa kakovostna orodja SIEM zahteval, da se obrnete na prodajno ekipo, da dobite podrobne informacije o cenah.

4. Splunk Enterprise Security

Splunk Enterprise SecurityAli Splunk ES, kot se pogosto imenuje - je verjetno eden najbolj priljubljenih sistemov SIEM, še posebej znan po svojih analitičnih zmožnostih. Orodje v realnem času spremlja podatke vašega sistema in išče ranljivosti in znake nenormalne aktivnosti.

Varnostni odziv je še en od Splunk ESMočne obleke in to je pomembno pri obravnavi napadov DDoS. Sistem uporablja kaj Splunk kliče Prilagodljivi odzivni okvir (ARF), ki se združuje z opremo več kot 55 varnostnih prodajalcev. The ARF izvaja avtomatiziran odziv in pospešuje ročna opravila. Tako boste hitro pridobili prednost. Temu dodajte preprost in brezskrben uporabniški vmesnik in dobili boste zmagovalno rešitev. Druge zanimive lastnosti vključujejo Znameniti funkcijo, ki prikazuje opozorila, ki jih lahko prilagodite uporabnikom, in Preiskovalec premoženja za označevanje zlonamernih dejavnosti in preprečevanje nadaljnjih težav.

Splunk ES je izdelek, ki ustreza podjetju, in kot tak prihaja s cenovno cenovno oznako po velikosti podjetja. Kot je to pogosto pri podjetniških sistemih, ne morete dobiti informacij o cenah SplunkSpletnega mesta. Če želite dobiti ponudbo, se obrnite na oddelek prodaje. Toda kljub svoji ceni je to odličen izdelek in morda boste želeli stopiti v stik Splunk in izkoristite razpoložljivo brezplačno preskusno različico.

5. McAfee Enterprise Security Manager

McAfee je drugo ime gospodinjstva na področju varnosti IT in ga verjetno ni treba uvesti. Je pa bolj znan po izdelkih za zaščito pred virusi. The McAfee Enterprise Svarnost Manager ni samo programska oprema. Pravzaprav je naprava, ki jo lahko dobite v virtualni ali fizični obliki.

Številni upoštevajo svoje analitične zmožnosti McAfee Enterprise Security Manager biti eno najboljših orodij SIEM. Sistem zbira dnevnike v številnih napravah. Kar zadeva njegove zmogljivosti za normalizacijo, je tudi vrhunsko. Korelacijski mehanizem zlahka zbira različne vire podatkov, kar olajša zaznavanje varnostnih dogodkov ko se poskušajo zaščititi pred dogodki v realnem času, kot so napadi DDoS.

Obstaja pa še več McAfee rešitev kot le njena Enterprise Security Manager. Za resnično popolno rešitev SIEM potrebujete tudi to Enterprise Log Manager in Sprejemnik dogodkov. Dobra novica je, da je mogoče vse tri izdelke pakirati v en sam aparat, kar olajša postopek pridobivanja in nastavitve. Za tiste, ki boste morda želeli izdelek preizkusiti, preden ga kupite, je na voljo brezplačna preizkusna različica.