Шта су ДДоС напади и како се заштитити од њих

Напади дистрибуираног ускраћивања услуге (ДДоС) су нажалост чешћи него што бисмо желели. Због тога се организације морају активно заштитити од њих и других претњи. Иако ове врсте напада могу бити гадне и имати велики утицај на ваше системе, њих је такође релативно лако открити.

У овом посту ћемо погледати начине на које можете заштитити своју имовину од ДДоС напада и прегледати неке производе који вам могу помоћи у томе.

Почећемо описом шта су ДДоС напади. Као што ћете ускоро открити, њихов принцип рада је једноставан колико је потенцијални утицај велик. Такође ћемо истражити како су ови напади често категорисани и како се различите врсте напада заправо разликују. Затим ћемо разговарати о томе како се заштитити од ДДоС напада. Видећемо како мреже за испоруку садржаја могу да држе нападаче даље од ваших сервера и како баланси могу учитати напад и усмерити нападаче даље. Али за оне ретке нападе који заиста успевају да дођу до ваших сервера, потребна вам је локална заштита. Ово је место где

систем безбедносних информација и управљања догађајима (СИЕМ) може да помогне тако да ће наш наредни ред пословања бити преглед неких од најбољих СИЕМ система које можемо да нађемо.

О ДДоС-у

Напад ускраћивања услуге (ДоС) је злонамерни покушај да се утиче на доступност циљаног система, као што је веб локација или апликација, својим легитимним крајњим корисницима. Обично нападачи генеришу велику количину пакета или захтева који на крају превазилазе циљни систем. Напад дистрибуираног ускраћивања услуге (ДДоС) је специфична врста ДоС напада у којој нападач користи више компромитованих или контролисаних извора да би генерирао напад. ДДоС напади се често класификују према којем слоју ОСИ модела нападају, при чему се догађа већина напада на мрежном слоју (слој 3), транспорту (слој 4), презентацији (слој 6) и апликативном слоју (слој 7).

Напади на доњим слојевима (као што су 3 и 4) обично су категорисани као напади на инфраструктурни слој. Они су далеко најчешћа врста ДДоС напада и укључују векторе као што су СИН поплаве и други напади рефлексије попут УДП поплава. Ти напади су обично великих количина и имају за циљ да оптерете капацитет мреже или сервера апликација. Добра ствар (колико год да постоји ишта добро у нападу) је да је врста напада која има јасне потписе и коју је лакше детектирати.

Што се тиче напада на слојевима 6 и 7, они се често категоришу као напади слоја апликације. Иако су ти напади ређи, они такође имају тенденцију да буду софистициранији. Ти напади су обично малог обима у поређењу са нападима Инфраструктурног слоја, али имају тенденцију да се фокусирају на посебно скупе делове апликације. Примери ове врсте напада укључују поплаву ХТТП захтева на страницу за пријаву или скупи АПИ за претрагу, или чак поплаве ВордПресс КСМЛ-РПЦ, који су такође познати под називом ВордПресс пингбацк напади.

МОРАШ ПРОЧИТАТИ: 7 најбољих система за спречавање провале (ИПС)

Заштита од ДДоС напада

За ефикасну заштиту од ДДоС напада време је од суштине. Ово је врста напада у реалном времену, па је потребан одговор у реалном времену. Или то? У ствари, један од начина заштите од ДДоС напада је слање нападача негде другде на вашим серверима.

Један од начина да се то постигне је дистрибуција ваше веб странице путем неке врсте мреже за дистрибуцију садржаја (ЦДН). Користећи ЦДН, корисници ваше веб странице (и легитимни и потенцијални нападачи) никада не нападају ваше веб сервере, али оне из ЦДН, на тај начин штитећи ваше сервере и осигуравајући да ће сваки ДДоС напад утицати само на релативно мали подскуп вашег клијенти.

Други начин спречавања напада ДДоС-а да дође до ваших сервера је кроз употребу баланса оптерећења. Балансори оптерећења су уређаји који се обично користе за управљање долазним везама на више сервера. Главни разлог зашто се користе је обезбеђивање додатних капацитета. Претпоставимо да један сервер може поднијети до 500 веза у минути, али ваше предузеће је порасло и сада имате 700 веза у минути. Можете додати други сервер са балансатором оптерећења и долазне везе биће аутоматски избалансиране између два сервера. Али и напреднији баланси оптерећења имају безбедносне функције који могу, на пример, препознати симптоме ДДоС напада и послати захтев на лажни сервер уместо да потенцијално преоптерети ваше сервере. Иако се ефикасност таквих технологија разликује, они представљају добру прву линију одбране.

Информације о безбедности и управљање догађајима у спас

Системи безбедносних информација и управљања догађајима (СИЕМ) један су од најбољих начина заштите од ДДоС напада. Начин на који раде омогућава откривање готово било које сумњиве активности, а типични процеси санације могу помоћи у заустављању напада мртвих у њиховим траговима. СИЕМ је често последња линија одбране од ДДоС напада. Они ће заробити сваки напад који га заправо нађе на ваше системе, оне који су успели да заобиђу друга средства заштите.

Главни елементи СИЕМ-а

Ускоро ћемо детаљније истражити сваку главну компоненту СИЕМ система. Нису сви СИЕМ системи укључени у све ове компоненте и, чак и када то раде, могли би имати различите функционалности. Међутим, то су најосновније компоненте које би се обично, у овом или оном облику, нашле у било којем СИЕМ систему.

Прикупљање и управљање дневницима

Прикупљање и управљање дневницима је главна компонента свих СИЕМ система. Без њега нема СИЕМ-а. СИЕМ систем мора да прикупља податке из дневника из различитих извора. Може га повући или га различити системи детекције и заштите могу довести до СИЕМ-а. С обзиром да сваки систем има свој начин категоризације и евидентирања података, на СИЕМ-у је да нормализује податке и да их учини уједначеним, без обзира на извор.

Након нормализације, пријављени подаци ће се често упоређивати са познатим обрасцима напада у покушају да се злонамјерно понашање препозна што је раније могуће. Подаци ће се такође често упоређивати са претходно прикупљеним подацима како би се помогло изградњи основне линије која ће додатно побољшати откривање ненормалних активности.

ТАКО ПРОЧИТАЈТЕ:Испробане и прегледане најбоље услуге облачног дневника

Одговор догађаја

Једном када се догађај открије, нешто се мора учинити у вези с тим. О томе се ради у модулу одговора на догађаје за СИЕМ систем. Одговор догађаја може бити у различитим облицима. У својој најосновнијој имплементацији, генерише се порука упозорења на конзоли система. Често се могу генерирати и е-маил или СМС упозорења.

Али најбољи СИЕМ системи иду корак даље и често ће покренути неки поступак санације. Опет, то је нешто што може попримити многе облике. Најбољи системи имају комплетан систем радног процеса реаговања на инцидент који се може прилагодити тако да пружи тачно одговор који желите. И као што се може очекивати, реакција на инцидент не мора бити једнолика и различити догађаји могу покренути различите процесе. Најбољи системи ће вам пружити потпуну контролу над током рада на инцидент. Имајте на уму да је приликом тражења заштите од догађаја у стварном времену, као што су ДДоС напади, реакција на догађај вероватно најважнија карактеристика.

Командна табла

Једном када поставите систем за прикупљање и управљање дневником и системе одзива, следећи важан модул је контролна табла. На крају крајева, то ће бити ваш прозор у статус вашег СИЕМ система и, проширено, статус вашег безбедност мреже. Они су тако важна компонента шешира да многи алати нуде више командних плоча. Будући да различити људи имају различите приоритете и интересе, савршена контролна табла за мрежног администратора разликује се од администратора безбедности, а извршном директору ће требати потпуно другачији добро.

Иако не можемо да проценимо СИЕМ систем по броју контролних табли које поседујете, морате да изаберете онај који има контролну таблу која вам је потребна. Ово је дефинитивно нешто што бисте желели имати на уму током процене добављача. Многи од најбољих система омогућит ће вам да прилагодите уграђене надзорне плоче или направите прилагођене надзорне плоче по вашој жељи.

Извештавање

Следећи важан елемент СИЕМ система је извештавање. Можда то још увек не знате - и неће вам помоћи да спречите или зауставите ДДоС нападе, али с временом ће вам требати извештаји. Горњем руководству ће требати да се сами увере да се њихова улагања у СИЕМ систем исплаћују. Можда ће вам требати и извештаји у сврхе усаглашености. У складу са стандардима као што су ПЦИ ДСС, ХИПАА или СОКС може се олакшати када ваш СИЕМ систем може да генерише извештаје о усаглашености.

Иако извештаји можда нису у срцу СИЕМ система, они су и даље битне компоненте. И често је извештавање главни фактор разликовања између конкурентских система. Извештаји су попут бомбона, никада их не можете имати превише. И наравно, најбољи системи ће вам омогућити да прилагодите постојеће извештаје или направите прилагођене.

Врхунски алати за заштиту од ДДоС напада

Иако постоје различите врсте алата који могу помоћи у заштити од ДДоС напада, ниједан не пружа исти ниво директне заштите као безбедносне информације и алати за управљање догађајима. Ово су све алате на нашој листи заправо алати СИЕМ. Било који од алата на нашој листи пружиће одређену заштиту против многих различитих врста претњи, укључујући ДДоС. Набројавамо алате према нашим личним жељама, али упркос њиховом налогу, свих шест је одлични системи за које вам можемо само препоручити да их испробате и видите како вам одговарају Животна средина.

Можда сте чули за СоларВиндс пре него што. Име знају већина администратора мреже и са разлогом. Главни производ компаније, Монитор перформанси мреже је један од најбољих расположивих алата за праћење пропусности мреже. Али то није све, компанија је такође позната по бројним бесплатним алатима попут свог Напредно Субнет Цалцулатор или његово СФТП сервер.

СоларВиндс поседује алате за скоро сваки задатак управљања мрежом и који укључује СИЕМ. иако СоларВиндс Сигурност Евент Манагер (такође зван СЕМ) најбоље је описан као улазни систем СИЕМ, вероватно је један од најконкурентнијих СИЕМ система улазног нивоа на тржишту. Тхе СоларВиндс СЕМ има све што очекујете од СИЕМ система. Има одлично управљање логом и могућности корелације, одлична контролна табла и импресиван мотор за извештавање.

• БЕСПЛАТНА РЕКЛАМА: СоларВиндс Сецурити Евент Манагер
• Званична веза за преузимање: https://www.solarwinds.com/security-event-manager/registration

Тхе СоларВиндс Менаџер сигурносних догађаја упозорит ће вас на најсумњива понашања, омогућавајући вам да више времена и ресурса усмјерите на друге критичне пројекте. Алат има стотине уграђених правила за корелацију за гледање ваше мреже и прикупљање података из различитих извора дневника како би се у стварном времену препознале потенцијалне претње. И не морате само да изађете ван правила о корелацији да бисте лакше започели, нормализација података дневника омогућава стварање бескрајне комбинације правила. Штавише, платформа има уграђен феед за обавештајне податке о претњама који делује на препознавању понашања која потичу од познатих лоших актера.

Потенцијална штета проузрокована ДДоС нападом често се одређује колико брзо препознајете претњу и почнете да јој се обраћате. Тхе СоларВиндс Менаџер сигурносних догађаја може убрзати ваш одговор тако што ћете их аутоматски аутоматизовати кад год се покрену одређена правила корелације. Одговори могу да укључују блокирање ИП адреса, промену привилегија, онемогућавање налога, блокирање УСБ уређаја, убијање апликација и још много тога. Напредни систем реаговања у реалном времену ће активно реаговати на сваку претњу. А пошто се заснива на понашању, а не на потпису, заштићени сте од непознатих или будућих претњи. Сама ова функција га чини одличним алатом за заштиту ДДоС-а.

Тхе СоларВиндс Менаџер сигурносних догађаја је лиценциран бројем чворова који шаљу информације дневника и догађаја. У том контексту, чвор је сваки уређај (сервер, мрежни уређај, радна површина, лаптоп итд.) Са којег се сакупљају подаци дневника и / или догађаја. Цене почињу од 4 665 УСД за 30 уређаја, укључујући и прву годину одржавања. Остали нивои лиценци доступни су за до 2 500 уређаја. Ако желите да испробате производ пре куповине, а бесплатна потпуно функционална пробна верзија од 30 дана је доступан за преузимање.

2. РСА НетВитнесс

Од 2016, НетВитнесс усредсредила се на производе који подржавају „дубоку мрежну свесност о ситуацији у реалном времену и брзи одговор мреже“. Историја компаније је мало сложена: након што ју је купио ЕМЦ која се затим спојила са Делл, тхе НетВитнесс посао је сада део РСА грана Делл, што је одлична вест као РСА ужива солидну репутацију у ИТ безбедности.

РСА НетВитнесс је одличан производ за организације које траже комплетно решење за мрежну аналитику. Алат садржи информације о вашем предузећу које помажу у постављању приоритета упозорења. Према РСА, систем "прикупља податке преко више места за хватање, рачунарске платформе и изворе обавештајних података о претњама од осталих СИЕМ решења”. Такође постоји напредна детекција претњи која комбинује анализу понашања, технике науке о подацима и обавештајне податке о претњама. И на крају, напредни систем реаговања има могућности оркестрације и аутоматизације како би вам помогао да се ослободите претњи пре него што утичу на ваше пословање.

Један од главних недостатака РСА НетВитнесс је да то није најлакши производ за употребу и конфигурацију. На располагању је, међутим, много опсежне документације која вам може помоћи у подешавању и коришћењу производа. Ово је још један производ за предузећа и мораћете да се обратите РСА продаје да бисте добили детаљне информације о ценама.

3. АрцСигхт Ентерприсе Сецурити Манагер

АрцСигхт Ентерприсе Сецурити Манагер помаже идентификовати и одредити приоритете безбедносних претњи, организовати и пратити активности реаговања на инциденте и поједноставити активности ревизије и поштовања правила. Ово је још један производ са помало испреплетеном историјом. Раније се продаје под ХП марка, сада се спојила са Мицро Фоцус, други ХП подружница.

Тхе АрцСигхт Ентерприсе Сецурити Манагер је још један од изузетно популарних алата СИЕМ који постоји већ више од петнаест година. Алат прикупља податке дневника из различитих извора и врши обимну анализу података, тражећи знакове злонамјерне активности. А да бисте олакшали брзо препознавање претњи, алат вам омогућава да прегледате резултате анализе у реалном времену.

Што се одлика тиче, овај производ не оставља много жељеног. Има моћну расподељену корелацију података у реалном времену, аутоматизацију радних токова, безбедносну оркестрацију и безбедносни садржај вођен у заједници. Тхе АрцСигхт Ентерприсе Сецурити Манагер се такође интегрише са осталим АрцСигхт производи као што су АрцСигхт платформа података и Евент Брокер или АрцСигхт Инвестигате. Ово је још један производ корпоративног квалитета за који ће, попут готово свих квалитетних алата СИЕМ, бити потребно да се обратите продајном тиму да бисте добили детаљне информације о ценама.

4. Сплунк Ентерприсе Сецурити

Сплунк Ентерприсе СецуритиИли Сплунк ЕС, како се често назива - је вероватно један од најпопуларнијих система СИЕМ-а и посебно је познат по својим аналитичким могућностима. Алат прати податке вашег система у реалном времену, тражећи рањивости и знакове ненормалне активности.

Сигурносни одговор је још један од Сплунк ЕСЈака одела и то је важно када се ради о ДДоС нападима. Систем користи шта Сплунк позива Оквир за прилагодљиви одговор (АРФ) који се интегрише у опрему више од 55 добављача сигурности. Тхе АРФ изводи аутоматизовани одговор, убрзавајући ручне задатке. Ово ће вам омогућити да брзо добијете предност. Додајте том једноставном и необузданом корисничком интерфејсу и имате победничко решење. Остале занимљиве карактеристике укључују Нотаблес функција која приказује упозорења која се могу прилагодити кориснику и Ассет Инвестигатор за означавање злонамерних активности и спречавање даљих проблема.

Сплунк ЕС је производ за предузећа и као такав долази са ценовном ознаком величине предузећа. Као што је то често случај са системима за предузећа, од њих не можете добити информације о ценама СплункВеб страница. Морате да се обратите одељењу продаје да бисте добили цену. Али упркос цени, ово је сјајан производ и можда бисте желели да контактирате Сплунк и искористите доступно бесплатно пробно раздобље.

5. Менаџер МцАфее Ентерприсе Сецурити-а

МцАфее је још једно име домаћинства из области информатичке безбедности и вероватно не захтева увод. Међутим, познатији је по производима за заштиту од вируса. Тхе МцАфее Ентерприсе Ссигурност Манагер није само софтвер. То је заправо уређај који можете добити у било виртуалном или физичком облику.

Многи у обзир имају аналитичке могућности Менаџер МцАфее Ентерприсе Сецурити-а бити један од најбољих алата СИЕМ. Систем прикупља евиденције на широком распону уређаја. Што се тиче његових могућности за нормализацију, то је такође врхунско. Корелацијски механизам лако саставља различите изворе података, што олакшава откривање сигурносних догађаја како се дешавају, важна карактеристика када се покушава заштитити од догађаја у стварном времену, као што су ДДоС напади.

Има, међутим, још тога МцАфее решење него само његово Ентерприсе Сецурити Манагер. Да бисте добили заиста комплетно СИЕМ решење такође вам је потребно Ентерприсе Лог Манагер и Рецеивер за догађаје. Добра вест је да се сва три производа могу упаковати у један апарат, што олакшава поступак набавке и подешавања. За оне од вас који ће можда желети да пробају производ пре него што га купе, доступна је бесплатна пробна верзија.