ما هي هجمات DDoS وكيفية الحماية منها

تعد هجمات رفض الخدمة الموزعة (DDoS)) للأسف أكثر شيوعًا مما نود. هذا هو السبب في أن المنظمات بحاجة إلى الحماية الفعالة ضدهم ومن التهديدات الأخرى أيضًا. وعلى الرغم من أن هذه الأنواع من الهجمات يمكن أن تكون سيئة ولها تأثير كبير على أنظمتك ، إلا أنه من السهل نسبيًا اكتشافها.

في هذا المنشور ، سنلقي نظرة على الطرق التي يمكنك من خلالها حماية أصولك من هجمات DDoS ومراجعة بعض المنتجات التي يمكن أن تساعدك في ذلك.

سنبدأ بوصف هجمات DDoS. كما أنت على وشك الاكتشاف ، فإن مبدأ عملها بسيط مثل تأثيرها المحتمل مرتفعًا. سنستكشف أيضًا كيف يتم تصنيف هذه الهجمات غالبًا وكيف تختلف أنواع الهجمات المختلفة بالفعل. بعد ذلك ، سنناقش كيفية الحماية من هجمات DDoS. سنرى كيف يمكن لشبكات توصيل المحتوى أن تبقي المهاجمين بعيدًا عن الخوادم الخاصة بك وكيف يمكن لموازن التحميل اكتشاف هجوم وتوجيه المهاجمين بعيدًا. ولكن بالنسبة لتلك الهجمات النادرة التي تمكنت بالفعل من الوصول إلى الخوادم الخاصة بك ، فأنت بحاجة إلى بعض الحماية المحلية. هذا هو المكان الذي يمكن أن تساعد فيه أنظمة معلومات الأمان وإدارة الأحداث (SIEM) ، لذا سيكون ترتيب أعمالنا التالي هو مراجعة بعض أفضل أنظمة SIEM التي يمكن أن نجدها.

حول DDoS

هجوم رفض الخدمة (DoS) هو محاولة خبيثة للتأثير على توفر نظام مستهدف ، مثل موقع ويب أو تطبيق ، لمستخدميه النهائيين الشرعيين. عادةً ما يقوم المهاجمون بإنشاء كميات كبيرة من الحزم أو الطلبات مما يؤدي في النهاية إلى إرباك النظام المستهدف. هجوم رفض الخدمة الموزع (DDoS) هو نوع محدد من هجمات DoS يستخدم فيه المهاجم عدة مصادر مخترقة أو خاضعة للرقابة لتوليد الهجوم. غالبًا ما يتم تصنيف هجمات DDoS وفقًا لطبقة نموذج OSI التي تهاجمها ، حيث تحدث معظم الهجمات في طبقة الشبكة (الطبقة 3) والنقل (الطبقة 4) والعرض التقديمي (الطبقة 6) وطبقة التطبيقات (الطبقة 7) ).

عادةً ما يتم تصنيف الهجمات على الطبقات الدنيا (مثل 3 و 4) على أنها هجمات طبقة البنية التحتية. إنها إلى حد بعيد النوع الأكثر شيوعًا لهجمات DDoS وهي تشمل نواقل مثل فيضانات SYN وهجمات الانعكاس الأخرى مثل فيضانات UDP. عادة ما تكون هذه الهجمات كبيرة الحجم وتهدف إلى زيادة التحميل على سعة الشبكة أو خوادم التطبيق. الشيء الجيد (بقدر ما يوجد أي شيء جيد في التعرض للهجوم) هو أنها نوع من الهجوم له توقيعات واضحة ويسهل اكتشافها.

أما بالنسبة للهجمات على الطبقتين 6 و 7 ، فغالبًا ما يتم تصنيفها على أنها هجمات طبقة التطبيقات. على الرغم من أن هذه الهجمات أقل تكرارًا ، إلا أنها تميل أيضًا إلى أن تكون أكثر تعقيدًا. عادة ما تكون هذه الهجمات صغيرة الحجم مقارنة بهجمات طبقة البنية التحتية ، لكنها تميل إلى التركيز على أجزاء معينة باهظة الثمن من التطبيق. تتضمن أمثلة هذه الأنواع من الهجمات تدفق طلبات HTTP إلى صفحة تسجيل الدخول أو واجهة برمجة تطبيقات بحث باهظة الثمن ، أو حتى فيضانات WordPress XML-RPC ، والتي تُعرف أيضًا باسم هجمات pingback على WordPress.

يجب أن تقرأ: 7 أفضل أنظمة منع التطفل (IPS)

الحماية من هجمات DDoS

للحماية بشكل فعال من هجوم DDoS ، فإن الوقت جوهري. هذا نوع من الهجوم في الوقت الفعلي لذا فهو يتطلب استجابة في الوقت الفعلي. أم هو كذلك؟ في الواقع ، تتمثل إحدى طرق الحماية من هجمات DDoS في إرسال المهاجمين إلى مكان آخر مثل الخوادم الخاصة بك.

إحدى الطرق التي يمكن من خلالها تحقيق ذلك هي توزيع موقع الويب الخاص بك من خلال نوع من شبكات توزيع المحتوى (CDN). باستخدام CDN ، لا يضرب مستخدمو موقع الويب الخاص بك (سواء الشرعيون أو المهاجمون المحتملون) خوادم الويب الخاصة بك أبدًا ولكن تلك الموجودة في CDN ، وبالتالي حماية خوادمك والتأكد من أن أي هجوم DDoS لن يؤثر إلا على مجموعة فرعية صغيرة نسبيًا من عملائك.

هناك طريقة أخرى لمنع هجمات DDoS من الوصول إلى الخوادم الخاصة بك وهي استخدام موازين التحميل. موازنات التحميل هي أجهزة تُستخدم عادةً لتوجيه اتصالات الخادم الواردة إلى خوادم متعددة. السبب الرئيسي لاستخدامها هو توفير سعة إضافية. لنفترض أن خادمًا واحدًا يمكنه التعامل مع ما يصل إلى 500 اتصال في الدقيقة ولكن عملك نما وأصبح لديك الآن 700 اتصال في الدقيقة. يمكنك إضافة خادم ثان مع موازن تحميل وسيتم موازنة الاتصالات الواردة تلقائيًا بين الخادمين. لكن موازين التحميل الأكثر تقدمًا لها أيضًا ميزات أمانيمكنه ، على سبيل المثال ، التعرف على أعراض هجوم DDoS وإرسال الطلب إلى خادم وهمي بدلاً من التحميل الزائد المحتمل لخوادمك. في حين أن كفاءة هذه التقنيات تختلف ، إلا أنها تشكل خط دفاع أول جيد.

المعلومات الأمنية وإدارة الأحداث للإنقاذ

تعد أنظمة معلومات الأمان وإدارة الأحداث (SIEM) واحدة من أفضل الطرق للحماية من هجمات DDoS. تسمح طريقة عملهم باكتشاف أي نوع من الأنشطة المشبوهة تقريبًا ويمكن أن تساعد عمليات العلاج النموذجية الخاصة بهم في إيقاف الهجمات الميتة في مساراتهم. غالبًا ما يكون SIEM هو خط الدفاع الأخير ضد هجمات DDoS. سوف يصطادون أي هجوم يصل بالفعل إلى أنظمتك ، تلك التي تمكنت من تجاوز وسائل الحماية الأخرى.

العناصر الرئيسية لـ SIEM

نحن على وشك استكشاف كل مكون رئيسي لنظام SIEM بتفاصيل أعمق. لا تشتمل جميع أنظمة SIEM على كل هذه المكونات ، وحتى في حالة وجودها ، يمكن أن يكون لها وظائف مختلفة. ومع ذلك ، فهي المكونات الأساسية التي يمكن للمرء أن يجدها عادة ، بشكل أو بآخر ، في أي نظام SIEM.

جمع السجلات وإدارتها

يعد جمع السجلات وإدارتها المكون الرئيسي لجميع أنظمة SIEM. بدونها ، لا يوجد SIEM. يجب أن يحصل نظام SIEM على بيانات السجل من مجموعة متنوعة من المصادر المختلفة. يمكنه إما سحبه أو يمكن لأنظمة الكشف والحماية المختلفة دفعه إلى SIEM. نظرًا لأن كل نظام له طريقته الخاصة في تصنيف البيانات وتسجيلها ، فإن الأمر متروك لـ SIEM لتطبيع البيانات وجعلها موحدة ، بغض النظر عن مصدرها.

بعد التطبيع ، غالبًا ما تتم مقارنة البيانات المسجلة مع أنماط الهجوم المعروفة في محاولة للتعرف على السلوك الضار في أقرب وقت ممكن. غالبًا ما تتم مقارنة البيانات بالبيانات التي تم جمعها مسبقًا للمساعدة في بناء خط أساس من شأنه تعزيز اكتشاف النشاط غير الطبيعي.

اقرأ أيضًا: أفضل خدمات التسجيل على السحابة التي تم اختبارها ومراجعتها

استجابة الحدث

بمجرد اكتشاف حدث ما ، يجب القيام بشيء حيال ذلك. هذا ما تدور حوله وحدة الاستجابة للحدث لنظام SIEM. يمكن أن تتخذ استجابة الحدث أشكالًا مختلفة. في أبسط تطبيق له ، سيتم إنشاء رسالة تنبيه على وحدة تحكم النظام. في كثير من الأحيان يمكن أيضًا إنشاء تنبيهات عبر البريد الإلكتروني أو الرسائل القصيرة.

لكن أفضل أنظمة SIEM تذهب إلى أبعد من ذلك وستبدأ في كثير من الأحيان في بعض العمليات العلاجية. مرة أخرى ، هذا شيء يمكن أن يتخذ عدة أشكال. تحتوي أفضل الأنظمة على نظام سير عمل كامل للاستجابة للحوادث يمكن تخصيصه لتقديم الاستجابة التي تريدها بالضبط. وكما يتوقع المرء ، لا يجب أن تكون الاستجابة للحوادث موحدة ويمكن أن تؤدي الأحداث المختلفة إلى عمليات مختلفة. ستمنحك أفضل الأنظمة تحكمًا كاملاً في سير عمل الاستجابة للحوادث. ضع في اعتبارك أنه عند طلب الحماية ضد أحداث الوقت الفعلي مثل هجمات DDoS ، ربما تكون الاستجابة للأحداث هي الميزة الأكثر أهمية.

لوحة القيادة

بمجرد أن يكون لديك نظام جمع السجلات وإدارتها وأنظمة الاستجابة في مكانها الصحيح ، فإن الوحدة المهمة التالية هي لوحة القيادة. بعد كل شيء ، ستكون نافذتك إلى حالة نظام SIEM الخاص بك ، وبالتالي ، حالة أمان شبكتك . إنها عنصر مهم مثل قبعة العديد من الأدوات التي تقدم لوحات معلومات متعددة. نظرًا لأن الأشخاص المختلفين لديهم أولويات واهتمامات مختلفة ، فإن لوحة التحكم المثالية لمسؤول الشبكة ستكون مختلفة عن تلك الخاصة بمسؤول الأمان ، وسيحتاج المسؤول التنفيذي أيضًا إلى لوحة تحكم مختلفة تمامًا.

بينما لا يمكننا تقييم نظام SIEM من خلال عدد لوحات المعلومات التي يحتوي عليها ، فأنت بحاجة إلى اختيار واحد يحتوي على لوحة (لوحات) القيادة التي تحتاجها. هذا بالتأكيد شيء تريد أن تضعه في اعتبارك أثناء تقييم البائعين. ستتيح لك العديد من أفضل الأنظمة تكييف لوحات المعلومات المضمنة أو إنشاء لوحات معلومات مخصصة حسب رغبتك.

الإبلاغ

العنصر المهم التالي في نظام SIEM هو إعداد التقارير. قد لا تعرف ذلك حتى الآن - ولن يساعدوك في منع أو إيقاف هجمات DDoS ، لكنك ستحتاج في النهاية إلى تقارير. سوف تحتاج الإدارة العليا منهم أن يروا بأنفسهم أن استثمارهم في نظام إدارة معلومات الاستثمار يؤتي ثماره. قد تحتاج أيضًا إلى تقارير لأغراض المطابقة. يمكن تسهيل الامتثال لمعايير مثل PCI DSS أو HIPAA أو SOX عندما يتمكن نظام SIEM الخاص بك من إنشاء تقارير المطابقة.

في حين أن التقارير قد لا تكون في صميم نظام SIEM ، إلا أنها لا تزال مكونات أساسية. وغالبًا ما يكون إعداد التقارير عاملاً رئيسياً في التمايز بين الأنظمة المتنافسة. التقارير مثل الحلوى ، لا يمكن أن يكون لديك الكثير منها. وبالطبع ، ستتيح لك أفضل الأنظمة تكييف التقارير الحالية أو إنشاء تقارير مخصصة.

أفضل الأدوات للحماية من هجمات DDoS

على الرغم من وجود أنواع مختلفة من الأدوات التي يمكن أن تساعد في الحماية من هجمات DDoS ، لا يوفر أي منها نفس مستوى الحماية المباشرة مثل معلومات الأمان وأدوات إدارة الأحداث. هذا هو ما تمثله جميع الأدوات الموجودة في قائمتنا في الواقع من أدوات SIEM. ستوفر أي من الأدوات المدرجة في قائمتنا درجة معينة من الحماية ضد العديد من أنواع التهديدات المختلفة ، بما في ذلك DDoS. نحن ندرج الأدوات بترتيب تفضيلاتنا الشخصية ، ولكن على الرغم من ترتيبها ، فإن الأنظمة الستة جميعها عبارة عن أنظمة ممتازة لا يمكننا إلا أن نوصيك بتجربتها بنفسك ومعرفة مدى ملاءمتها لبيئتك.

1. مدير حدث أمان SolarWinds (إصدار تجريبي مجاني)

ربما سمعت عن SolarWinds من قبل. الاسم معروف من قبل معظم مسؤولي الشبكة وله سبب. يعد مراقب أداء الشبكة ، المنتج الرئيسي للشركة ، أحد أفضل أدوات مراقبة النطاق الترددي للشبكة المتاحة. ولكن هذا ليس كل شيء ، فالشركة تشتهر أيضًا بالعديد من الأدوات المجانية مثل Advanced Subnet Calculator أو خادم SFTP .

يحتوي SolarWinds على أدوات لكل مهمة إدارة شبكة تقريبًا والتي تتضمن SIEM. على الرغم من أن أفضل وصف لـ SolarWinds Security Event Manager (يُسمى أيضًا SEM ) هو نظام SIEM للمبتدئين ، فمن المحتمل أنه أحد أكثر أنظمة SIEM للمبتدئين تنافسية في السوق. يحتوي SolarWinds S EM على كل ما تتوقعه من نظام SIEM. لديها ميزات إدارة السجل والارتباط الممتازة ، ولوحة معلومات رائعة ومحرك تقارير مثير للإعجاب.

• تجربة مجانية: مدير حدث أمان SolarWinds
• رابط التنزيل الرسمي: https://www.solarwinds.com/security-event-manager/registration

سينبهك برنامج SolarWinds Security Event Manager إلى السلوكيات المشبوهة ، مما يتيح لك التركيز بشكل أكبر على وقتك ومواردك على المشاريع الهامة الأخرى. تحتوي الأداة على مئات من قواعد الارتباط المضمنة لمشاهدة شبكتك وجمع البيانات معًا من مصادر السجل المختلفة لتحديد التهديدات المحتملة في الوقت الفعلي. وأنت لا تحصل فقط على قواعد ارتباط خارجة عن المألوف لمساعدتك على البدء ، فإن تطبيع بيانات السجل يسمح بإنشاء مجموعة لا حصر لها من القواعد. علاوة على ذلك ، تحتوي المنصة على موجز استخباراتي للتهديدات مدمج يعمل على تحديد السلوكيات الناشئة عن جهات فاعلة سيئة معروفة.

غالبًا ما يتم تحديد الضرر المحتمل الناجم عن هجوم DDoS من خلال مدى سرعة التعرف على التهديد والبدء في معالجته. يمكن لـ SolarWinds Security Event Manager تسريع استجابتك عن طريق أتمتةها كلما تم تشغيل قواعد ارتباط معينة. يمكن أن تتضمن الردود حظر عناوين IP ، وتغيير الامتيازات ، وتعطيل الحسابات ، وحظر أجهزة USB ، وقتل التطبيقات ، والمزيد. سيتفاعل نظام الاستجابة المتطور في الوقت الفعلي للأداة بفعالية مع كل تهديد. ونظرًا لأنه يعتمد على السلوك بدلاً من التوقيع ، فأنت محمي من التهديدات غير المعروفة أو المستقبلية. هذه الميزة وحدها تجعلها أداة رائعة لحماية DDoS.

و سولارويندز مدير الحدث الأمن ومرخصة من قبل عدد من العقد ارسال معلومات السجل والحدث. في هذا السياق ، العقدة هي أي جهاز (خادم ، جهاز شبكة ، سطح مكتب ، كمبيوتر محمول ، إلخ) يتم من خلاله جمع بيانات السجل و / أو الأحداث. يبدأ السعر من 4665 دولارًا لـ 30 جهازًا ، بما في ذلك السنة الأولى من الصيانة. تتوفر مستويات الترخيص الأخرى لما يصل إلى 2500 جهاز. إذا كنت ترغب في تجربة المنتج قبل شرائه ، يتوفر إصدار تجريبي مجاني كامل الوظائف لمدة 30 يومًا للتنزيل.

2. RSA NetWitness

منذ عام 2016 ، ركزت NetWitness على المنتجات التي تدعم "الوعي العميق بأوضاع الشبكة في الوقت الفعلي والاستجابة السريعة للشبكة". تاريخ الشركة معقد قليلا: بعد أن تملكتها EMC التي اندمجت بعد ذلك مع ديل ، و ني TW itness العمل هو الآن جزء من RSA فرع من ديل ، الذي هو نبأ عظيم كما RSA تتمتع بسمعة طيبة في أمن تكنولوجيا المعلومات.

RSA NetWitness هو منتج رائع للمؤسسات التي تبحث عن حل كامل لتحليلات الشبكة. تتضمن الأداة معلومات حول عملك مما يساعد في تحديد أولويات التنبيهات. وفقًا لـ RSA ، فإن النظام " يجمع البيانات عبر المزيد من نقاط الالتقاط ومنصات الحوسبة ومصادر استخبارات التهديدات أكثر من حلول SIEM الأخرى ". هناك أيضًا اكتشاف متقدم للتهديدات يجمع بين التحليل السلوكي وتقنيات علم البيانات وذكاء التهديدات. وأخيرًا ، يتميز نظام الاستجابة المتقدم بقدرات التنسيق والأتمتة للمساعدة في التخلص من التهديدات قبل أن تؤثر على عملك.

تتمثل إحدى عيوب RSA NetWitness الرئيسية في أنه ليس المنتج الأسهل للاستخدام والتهيئة. ومع ذلك ، هناك الكثير من الوثائق الشاملة المتاحة والتي يمكن أن تساعدك في إعداد واستخدام المنتج. هذا منتج آخر على مستوى المؤسسات وستحتاج إلى الاتصال بمبيعات RSA للحصول على معلومات التسعير التفصيلية.

3. ArcSight Enterprise Security Manager

يساعد ArcSight Enterprise Security Manager في تحديد تهديدات الأمان وتحديد أولوياتها ، وتنظيم أنشطة الاستجابة للحوادث وتتبعها ، وتبسيط أنشطة التدقيق والامتثال. هذا منتج آخر له تاريخ معقد إلى حد ما. تم بيعها سابقًا تحت علامة HP التجارية ، وقد اندمجت الآن مع Micro Focus ، وهي شركة تابعة أخرى لـ HP .

يعد ArcSight Enterprise Security Manager أداة SIEM أخرى ذات شعبية كبيرة والتي كانت موجودة منذ أكثر من خمسة عشر عامًا. تقوم الأداة بتجميع بيانات السجل من مصادر مختلفة وإجراء تحليل شامل للبيانات ، بحثًا عن علامات النشاط الضار. ولتسهيل التعرف على التهديدات بسرعة ، تتيح لك الأداة عرض نتائج التحليل في الوقت الفعلي.

من ناحية الميزات ، لا يترك هذا المنتج الكثير مما هو مرغوب فيه. لديه ارتباط قوي بالبيانات الموزعة في الوقت الفعلي ، وأتمتة سير العمل ، وتنظيم الأمان ، ومحتوى الأمان الذي يحركه المجتمع. و ArcSight إدارة المؤسسة الأمن يدمج أيضا مع غيرها من ArcSight المنتجات مثل منصة البيانات ArcSight والحدث وسيط أو ArcSight التحقيق . هذا منتج آخر على مستوى المؤسسات ، مثل جميع أدوات SIEM عالية الجودة إلى حد كبير ، سيتطلب منك الاتصال بفريق المبيعات للحصول على معلومات مفصلة عن الأسعار.

4. Splunk Enterprise Security

من المحتمل أن يكون Splunk Enterprise Security - أو Splunk ES ، كما يطلق عليه غالبًا - أحد أكثر أنظمة SIEM شيوعًا وهو مشهور بشكل خاص بقدراته التحليلية. تراقب الأداة بيانات نظامك في الوقت الفعلي ، وتبحث عن نقاط الضعف وعلامات النشاط غير الطبيعي.

الاستجابة الأمنية هي إحدى البدلات القوية الأخرى لـ Splunk ES وهذا مهم عند التعامل مع هجمات DDoS. يستخدم النظام ما تسميه Splunk بإطار الاستجابة التكيفية ( ARF ) الذي يتكامل مع المعدات من أكثر من 55 بائعي الأمان. و ARF ينفذ الآلي استجابة، وتسريع المهام اليدوية. سيسمح لك هذا بالحصول على اليد العليا بسرعة. أضف إلى ذلك واجهة مستخدم بسيطة ومرتبة وستحصل على حل ناجح. تشمل الميزات الأخرى المثيرة للاهتمام وظيفة Notables التي تعرض تنبيهات قابلة للتخصيص من قبل المستخدم ومحقق الأصول للإبلاغ عن الأنشطة الضارة ومنع المزيد من المشاكل.

Splunk ES هو منتج على مستوى المؤسسات ، وعلى هذا النحو ، فإنه يأتي مع علامة سعر بحجم المؤسسة. كما هو الحال غالبًا مع الأنظمة على مستوى المؤسسات ، لا يمكنك الحصول على معلومات التسعير من موقع ويب Splunk . ستحتاج إلى الاتصال بقسم المبيعات للحصول على عرض أسعار. ولكن على الرغم من سعره ، يعد هذا منتجًا رائعًا وقد ترغب في الاتصال بـ Splunk والاستفادة من الإصدار التجريبي المجاني المتاح.

5. McAfee Enterprise Security Manager

McAfee هو اسم مألوف آخر في مجال أمن تكنولوجيا المعلومات وربما لا يتطلب أي مقدمة. ومع ذلك ، فهي مشهورة بمنتجات الحماية من الفيروسات. و مكافي المؤسسة S ecurity M anager ليست مجرد البرمجيات. إنه في الواقع جهاز يمكنك الحصول عليه في شكل افتراضي أو مادي.

فيما يتعلق بقدراته التحليلية ، يعتبر الكثيرون أن McAfee Enterprise Security Manager هو أحد أفضل أدوات SIEM. يجمع النظام السجلات عبر مجموعة كبيرة من الأجهزة. أما بالنسبة لقدرات التطبيع ، فهي أيضًا من الدرجة الأولى. يجمع محرك الارتباط بسهولة مصادر البيانات المتباينة ، مما يسهل اكتشاف الأحداث الأمنية فور حدوثها ، وهي ميزة مهمة عند محاولة الحماية من أحداث الوقت الفعلي مثل هجمات DDoS.

ومع ذلك ، هناك ما هو أكثر من حل McAfee أكثر من مجرد Enterprise Security Manager . للحصول على حل SIEM كامل حقًا ، فأنت بحاجة أيضًا إلى Enterprise Log Manager و Event Receiver . والخبر السار هو أنه يمكن تغليف جميع المنتجات الثلاثة في جهاز واحد ، مما يجعل عمليات الاستحواذ والإعداد أسهل إلى حد ما. بالنسبة لأولئك الذين قد يرغبون في تجربة المنتج قبل شرائه ، تتوفر نسخة تجريبية مجانية.