Apa itu Serangan DDoS dan Bagaimana Cara Mencegahnya

Sayangnya, serangan Distributed Denial of Service (DDoS)) lebih umum daripada yang kita inginkan. Inilah sebabnya mengapa organisasi perlu secara aktif melindungi mereka dan juga ancaman lainnya. Dan meskipun jenis serangan ini bisa jahat dan berdampak besar pada sistem Anda, mereka juga relatif mudah dideteksi.

Dalam posting ini, kita akan melihat cara Anda dapat melindungi aset Anda dari serangan DDoS dan meninjau beberapa produk yang dapat membantu Anda dengan itu.

Kami akan mulai dengan menjelaskan apa itu serangan DDoS. Seperti yang akan Anda temukan, prinsip operasinya sesederhana potensi dampaknya yang tinggi. Kami juga akan mengeksplorasi bagaimana serangan ini sering dikategorikan dan bagaimana berbagai jenis serangan sebenarnya berbeda. Selanjutnya, kita akan membahas bagaimana melindungi dari serangan DDoS. Kita akan melihat bagaimana jaringan pengiriman konten dapat menjauhkan penyerang dari server Anda dan bagaimana load balancer dapat mendeteksi serangan dan menjauhkan penyerang. Tetapi untuk serangan langka yang berhasil mencapai server Anda, Anda memerlukan perlindungan lokal. Di sinilah sistem informasi keamanan dan manajemen acara (SIEM) dapat membantu sehingga urutan bisnis kami berikutnya adalah meninjau beberapa sistem SIEM terbaik yang dapat kami temukan.

Tentang DDoS

Serangan Denial of Service (DoS) adalah upaya jahat untuk memengaruhi ketersediaan sistem yang ditargetkan, seperti situs web atau aplikasi, kepada pengguna akhir yang sah. Biasanya, penyerang menghasilkan paket atau permintaan dalam jumlah besar yang pada akhirnya membanjiri sistem target. Serangan Distributed Denial of Service (DDoS) adalah jenis serangan DoS tertentu di mana penyerang menggunakan beberapa sumber yang dikompromikan atau dikendalikan untuk menghasilkan serangan. Serangan DDoS sering diklasifikasikan menurut lapisan model OSI yang mereka serang, dengan sebagian besar serangan terjadi di lapisan jaringan (lapisan 3), transport (lapisan 4), presentasi (lapisan 6), dan lapisan Aplikasi (lapisan 7). ).

Serangan di lapisan bawah (seperti 3 dan 4) biasanya dikategorikan sebagai serangan lapisan Infrastruktur. Mereka sejauh ini merupakan jenis serangan DDoS yang paling umum dan termasuk vektor seperti SYN floods dan serangan refleksi lainnya seperti banjir UDP. Serangan ini biasanya bervolume besar dan bertujuan untuk membebani kapasitas jaringan atau server aplikasi. Hal yang baik (selama ada sesuatu yang baik tentang diserang) adalah bahwa mereka adalah jenis serangan yang memiliki tanda tangan yang jelas dan mereka lebih mudah untuk dideteksi.

Adapun serangan pada layer 6 dan 7 sering dikategorikan sebagai serangan layer Aplikasi. Meskipun serangan ini lebih jarang, mereka juga cenderung lebih canggih. Serangan ini biasanya dalam volume kecil dibandingkan dengan serangan lapisan Infrastruktur, tetapi mereka cenderung fokus pada bagian aplikasi yang mahal. Contoh jenis serangan ini termasuk membanjirnya permintaan HTTP ke halaman login atau API pencarian yang mahal, atau bahkan banjir XML-RPC WordPress, yang juga dikenal sebagai serangan pingback WordPress.

WAJIB BACA: 7 Intrusion Prevention System (IPS) Terbaik

Melindungi Terhadap Serangan DDoS

Untuk melindungi secara efektif dari serangan DDoS, waktu adalah hal yang terpenting. Ini adalah jenis serangan real-time sehingga membutuhkan respon real-time. Atau apakah itu? Faktanya, salah satu cara untuk melindungi dari serangan DDoS adalah dengan mengirim penyerang ke tempat lain selain server Anda.

Salah satu cara yang dapat dilakukan adalah dengan mendistribusikan situs web Anda melalui beberapa jenis jaringan distribusi konten (CDN). Dengan menggunakan CDN, pengguna situs web Anda (baik yang sah maupun penyerang potensial) tidak pernah mengenai server web Anda tetapi server CDN, sehingga melindungi server Anda dan memastikan bahwa setiap serangan DDoS hanya akan berdampak pada sebagian kecil klien Anda.

Cara lain untuk mencegah serangan DDoS mencapai server Anda adalah melalui penggunaan penyeimbang beban. Penyeimbang beban adalah peralatan yang biasanya digunakan untuk mengarahkan koneksi server yang masuk ke beberapa server. Alasan utama mengapa mereka digunakan adalah untuk menyediakan kapasitas ekstra. Misalkan satu server dapat menangani hingga 500 koneksi per menit tetapi bisnis Anda telah berkembang dan Anda sekarang memiliki 700 koneksi per menit. Anda dapat menambahkan server kedua dengan penyeimbang beban dan koneksi yang masuk akan secara otomatis diseimbangkan antara kedua server. Tetapi penyeimbang beban yang lebih canggih juga memiliki fitur keamananyang dapat, misalnya, mengenali gejala serangan DDoS dan mengirim permintaan ke server dummy alih-alih berpotensi membebani server Anda. Sementara efisiensi teknologi tersebut bervariasi, mereka merupakan garis pertahanan pertama yang baik.

Informasi Keamanan Dan Manajemen Acara Untuk Penyelamatan

Sistem Informasi Keamanan dan Manajemen Peristiwa (SIEM) adalah salah satu cara terbaik untuk melindungi dari serangan DDoS. Cara mereka beroperasi memungkinkan untuk mendeteksi hampir semua jenis aktivitas mencurigakan dan proses remediasi tipikal mereka dapat membantu menghentikan serangan yang mati di jalurnya. SIEM sering menjadi garis pertahanan terakhir terhadap serangan DDoS. Mereka akan menjebak setiap serangan yang benar-benar masuk ke sistem Anda, serangan yang berhasil melewati cara perlindungan lain.

Elemen Utama SIEM

Kami akan mengeksplorasi secara lebih rinci setiap komponen utama dari sistem SIEM. Tidak semua sistem SIEM mencakup semua komponen ini dan, bahkan ketika mereka melakukannya, mereka dapat memiliki fungsi yang berbeda. Namun, mereka adalah komponen paling dasar yang biasanya ditemukan, dalam satu atau lain bentuk, dalam sistem SIEM apa pun.

Pengumpulan dan Pengelolaan Log

Pengumpulan dan pengelolaan log adalah komponen utama dari semua sistem SIEM. Tanpa itu, tidak ada SIEM. Sistem SIEM harus memperoleh data log dari berbagai sumber yang berbeda. Itu dapat menariknya atau sistem deteksi dan perlindungan yang berbeda dapat mendorongnya ke SIEM. Karena setiap sistem memiliki caranya sendiri untuk mengkategorikan dan merekam data, SIEM harus menormalkan data dan membuatnya seragam, apa pun sumbernya.

Setelah normalisasi, data yang dicatat akan sering dibandingkan dengan pola serangan yang diketahui dalam upaya untuk mengenali perilaku berbahaya sedini mungkin. Data juga akan sering dibandingkan dengan data yang dikumpulkan sebelumnya untuk membantu membangun dasar yang selanjutnya akan meningkatkan deteksi aktivitas abnormal.

BACA JUGA: Layanan Cloud Logging Terbaik Diuji & Diulas

Tanggapan Acara

Setelah suatu peristiwa terdeteksi, sesuatu harus dilakukan tentang hal itu. Inilah yang dimaksud dengan modul respons peristiwa untuk sistem SIEM. Respon acara dapat mengambil bentuk yang berbeda. Dalam implementasinya yang paling dasar, pesan peringatan akan dibuat di konsol sistem. Seringkali email atau peringatan SMS juga dapat dibuat.

Tetapi sistem SIEM terbaik melangkah lebih jauh dan sering kali akan memulai beberapa proses perbaikan. Sekali lagi, ini adalah sesuatu yang dapat mengambil banyak bentuk. Sistem terbaik memiliki sistem alur kerja respons insiden lengkap yang dapat disesuaikan untuk memberikan respons yang Anda inginkan. Dan seperti yang diharapkan, respons insiden tidak harus seragam dan peristiwa yang berbeda dapat memicu proses yang berbeda. Sistem terbaik akan memberi Anda kendali penuh atas alur kerja respons insiden. Ingatlah bahwa ketika mencari perlindungan terhadap peristiwa waktu nyata seperti serangan DDoS, respons peristiwa mungkin merupakan fitur yang paling penting.

Dasbor

Setelah Anda memiliki sistem pengumpulan dan manajemen log serta sistem respons, modul penting berikutnya adalah dasbor. Bagaimanapun, itu akan menjadi jendela Anda ke status sistem SIEM Anda dan, dengan ekstensi, status keamanan jaringan Anda . Mereka adalah komponen penting sehingga banyak alat menawarkan banyak dasbor. Karena orang yang berbeda memiliki prioritas dan minat yang berbeda, dasbor yang sempurna untuk administrator jaringan akan berbeda dari administrator keamanan, dan seorang eksekutif juga akan membutuhkan yang sama sekali berbeda.

Meskipun kami tidak dapat mengevaluasi sistem SIEM berdasarkan jumlah dasbor yang dimilikinya, Anda harus memilih salah satu yang memiliki dasbor yang Anda butuhkan. Ini jelas sesuatu yang ingin Anda ingat saat mengevaluasi vendor. Banyak sistem terbaik yang memungkinkan Anda mengadaptasi dasbor bawaan atau membuat dasbor khusus sesuai keinginan Anda.

Pelaporan

Elemen penting berikutnya dari sistem SIEM adalah pelaporan. Anda mungkin belum mengetahuinya—dan mereka tidak akan membantu Anda mencegah atau menghentikan serangan DDoS, tetapi pada akhirnya Anda akan membutuhkan laporan. Manajemen atas akan membutuhkan mereka untuk melihat sendiri bahwa investasi mereka dalam sistem SIEM membuahkan hasil. Anda mungkin juga memerlukan laporan untuk tujuan kesesuaian. Mematuhi standar seperti PCI DSS, HIPAA, atau SOX dapat dimudahkan ketika sistem SIEM Anda dapat menghasilkan laporan kesesuaian.

Meskipun laporan mungkin bukan inti dari sistem SIEM, laporan tetap merupakan komponen penting. Dan seringkali, pelaporan akan menjadi faktor pembeda utama antara sistem yang bersaing. Laporan itu seperti permen, Anda tidak akan pernah memiliki terlalu banyak. Dan tentu saja, sistem terbaik akan memungkinkan Anda menyesuaikan laporan yang ada atau membuat laporan khusus.

Alat Teratas Untuk Melindungi Terhadap Serangan DDoS

Meskipun ada berbagai jenis alat yang dapat membantu melindungi dari serangan DDoS, tidak ada yang memberikan tingkat perlindungan langsung yang sama seperti informasi keamanan dan alat manajemen peristiwa. Inilah yang semua alat dalam daftar kami sebenarnya adalah alat SIEM. Salah satu alat dalam daftar kami akan memberikan beberapa tingkat perlindungan terhadap berbagai jenis ancaman, termasuk DDoS. Kami membuat daftar alat dalam urutan preferensi pribadi kami, tetapi, terlepas dari urutannya, keenamnya adalah sistem yang sangat baik sehingga kami hanya dapat merekomendasikan Anda mencobanya sendiri dan melihat bagaimana mereka cocok dengan lingkungan Anda.

1. Manajer Acara Keamanan SolarWinds (UJI COBA GRATIS)

Anda mungkin pernah mendengar tentang SolarWinds sebelumnya. Nama ini diketahui oleh sebagian besar administrator jaringan dan dengan alasan. Produk unggulan perusahaan, Monitor Kinerja Jaringan adalah salah satu alat pemantauan bandwidth jaringan terbaik yang tersedia. Tapi bukan itu saja, perusahaan ini juga terkenal dengan banyak alat gratisnya seperti Kalkulator Subnet Lanjutan atau server SFTP -nya .

SolarWinds memiliki alat untuk hampir semua tugas manajemen jaringan dan itu termasuk SIEM. Meskipun SolarWinds Security Event Manager (juga disebut SEM ) paling tepat digambarkan sebagai sistem SIEM tingkat pemula, kemungkinan besar ini adalah salah satu sistem SIEM tingkat awal yang paling kompetitif di pasar. The SolarWinds S EM memiliki segala yang datang untuk mengharapkan dari sistem SIEM. Ini memiliki fitur manajemen dan korelasi log yang sangat baik , dasbor yang hebat, dan mesin pelaporan yang mengesankan.

• UJI COBA GRATIS: Manajer Acara Keamanan SolarWinds
• Tautan Unduhan Resmi: https://www.solarwinds.com/security-event-manager/registration

The SolarWinds Security Event Manager akan mengingatkan Anda untuk perilaku yang paling mencurigakan, memungkinkan Anda untuk lebih banyak waktu dan sumber daya fokus pada proyek-proyek penting lainnya. Alat ini memiliki ratusan aturan korelasi bawaan untuk mengawasi jaringan Anda dan mengumpulkan data dari berbagai sumber log untuk mengidentifikasi potensi ancaman secara real-time. Dan Anda tidak hanya mendapatkan aturan korelasi out-of-the-box untuk membantu Anda memulai, normalisasi data log memungkinkan kombinasi aturan tanpa akhir untuk dibuat. Selain itu, platform ini memiliki umpan intelijen ancaman bawaan yang berfungsi untuk mengidentifikasi perilaku yang berasal dari aktor jahat yang diketahui.

Potensi kerusakan yang disebabkan oleh serangan DDoS sering ditentukan oleh seberapa cepat Anda mengidentifikasi ancaman dan mulai mengatasinya. The SolarWinds Security Event Manager dapat mempercepat respons Anda dengan mengotomatisasi mereka setiap kali aturan korelasi tertentu dipicu. Tanggapan dapat mencakup memblokir alamat IP, mengubah hak istimewa, menonaktifkan akun, memblokir perangkat USB, mematikan aplikasi, dan banyak lagi. Sistem respons real-time yang canggih dari alat ini akan secara aktif bereaksi terhadap setiap ancaman. Dan karena ini didasarkan pada perilaku daripada tanda tangan, Anda terlindungi dari ancaman yang tidak diketahui atau di masa mendatang. Fitur ini sendiri menjadikannya alat yang hebat untuk perlindungan DDoS.

The SolarWinds Security Event Manager dilisensikan dengan jumlah node mengirimkan log dan acara informasi. Dalam konteks itu, node adalah perangkat apa pun (server, perangkat jaringan, desktop, laptop, dll.) dari mana log dan/atau data peristiwa dikumpulkan. Harga mulai dari $4 665 untuk 30 perangkat, termasuk tahun pertama pemeliharaan. Tingkat lisensi lainnya tersedia untuk hingga 2.500 perangkat. Jika Anda ingin mencoba produk sebelum membelinya, versi uji coba gratis yang berfungsi penuh selama 30 hari tersedia untuk diunduh.

2. RSA NetWitness

Sejak 2016, NetWitness berfokus pada produk yang mendukung "kesadaran situasi jaringan yang mendalam dan real-time dan respons jaringan yang gesit". Sejarah perusahaan agak rumit: Setelah diakuisisi oleh EMC yang kemudian bergabung dengan Dell , bisnis Ne tW itness kini menjadi bagian dari cabang RSA Dell , yang merupakan berita bagus karena RSA menikmati reputasi yang solid dalam keamanan TI.

RSA NetWitness adalah produk hebat untuk organisasi yang mencari solusi analitik jaringan yang lengkap. Alat ini menggabungkan informasi tentang bisnis Anda yang membantu memprioritaskan peringatan. Menurut RSA , sistem " mengumpulkan data di lebih banyak titik tangkap, platform komputasi, dan sumber intelijen ancaman daripada solusi SIEM lainnya ". Ada juga deteksi ancaman tingkat lanjut yang menggabungkan analisis perilaku, teknik ilmu data, dan intelijen ancaman. Dan terakhir, sistem respons lanjutan menawarkan kemampuan orkestrasi dan otomatisasi untuk membantu menyingkirkan ancaman sebelum memengaruhi bisnis Anda.

Salah satu kelemahan utama RSA NetWitness adalah bukan produk yang paling mudah digunakan dan dikonfigurasi. Namun, ada banyak dokumentasi lengkap yang tersedia yang dapat membantu Anda menyiapkan dan menggunakan produk. Ini adalah produk kelas perusahaan lainnya dan Anda harus menghubungi penjualan RSA untuk mendapatkan informasi harga terperinci.

3. Manajer Keamanan Perusahaan ArcSight

ArcSight Enterprise Security Manager membantu mengidentifikasi dan memprioritaskan ancaman keamanan, mengatur dan melacak aktivitas respons insiden, serta menyederhanakan aktivitas audit dan kepatuhan. Ini adalah produk lain dengan sejarah yang agak berbelit-belit. Sebelumnya dijual dengan merek HP , kini telah bergabung dengan Micro Focus , anak perusahaan HP lainnya .

The ArcSight Enterprise Security Manajer adalah alat SIEM sangat populer lain yang telah sekitar selama lebih dari lima belas tahun. Alat ini mengkompilasi data log dari berbagai sumber dan melakukan analisis data ekstensif, mencari tanda-tanda aktivitas jahat. Dan untuk memudahkan mengidentifikasi ancaman dengan cepat, alat ini memungkinkan Anda melihat hasil analisis secara real-time.

Dari segi fitur, produk ini tidak meninggalkan banyak hal yang diinginkan. Ini memiliki korelasi data real-time terdistribusi yang kuat, otomatisasi alur kerja, orkestrasi keamanan, dan konten keamanan berbasis komunitas. The ArcSight Enterprise Security Manajer juga terintegrasi dengan lainnya ArcSight produk seperti ArcSight data platform dan Event Broker atau ArcSight Selidiki . Ini adalah produk kelas perusahaan lainnya yang, seperti hampir semua alat SIEM berkualitas, akan mengharuskan Anda menghubungi tim penjualan untuk mendapatkan informasi harga terperinci.

4. Keamanan Perusahaan Splunk

Splunk Enterprise Security —atau Splunk ES , seperti yang sering disebut—mungkin salah satu sistem SIEM paling populer dan sangat terkenal dengan kemampuan analitiknya. Alat ini memonitor data sistem Anda secara real-time, mencari kerentanan dan tanda-tanda aktivitas abnormal.

Respons keamanan adalah salah satu setelan kuat Splunk ES dan itu penting ketika berhadapan dengan serangan DDoS. Sistem ini menggunakan apa yang Splunk sebut sebagai Adaptive Response Framework ( ARF ) yang terintegrasi dengan peralatan dari lebih dari 55 vendor keamanan. The ARF Melakukan otomatis respon, mempercepat tugas-tugas manual. Ini akan membuat Anda dengan cepat menang. Tambahkan ke antarmuka pengguna yang sederhana dan rapi dan Anda memiliki solusi yang unggul. Fitur menarik lainnya termasuk fungsi Notables yang menunjukkan peringatan yang dapat disesuaikan pengguna dan Investigator Aset untuk menandai aktivitas jahat dan mencegah masalah lebih lanjut.

Splunk ES adalah produk kelas perusahaan dan, dengan demikian, ia hadir dengan label harga ukuran perusahaan. Seperti yang sering terjadi pada sistem kelas perusahaan, Anda tidak bisa mendapatkan informasi harga dari situs web Splunk . Anda harus menghubungi departemen penjualan untuk mendapatkan penawaran. Namun terlepas dari harganya, ini adalah produk hebat dan Anda mungkin ingin menghubungi Splunk dan memanfaatkan uji coba gratis yang tersedia.

5. Manajer Keamanan Perusahaan McAfee

McAfee adalah nama rumah tangga lain di bidang keamanan TI dan mungkin tidak memerlukan pengenalan. Namun, lebih dikenal dengan produk perlindungan virusnya. The McAfee Perusahaan S ecurity M anajer bukan hanya perangkat lunak. Ini sebenarnya adalah alat yang bisa Anda dapatkan dalam bentuk virtual atau fisik.

Dalam hal kemampuan analitiknya, banyak yang menganggap McAfee Enterprise Security Manager sebagai salah satu alat SIEM terbaik. Sistem mengumpulkan log di berbagai perangkat. Adapun kemampuan normalisasi, itu juga terbaik. Mesin korelasi dengan mudah mengompilasi sumber data yang berbeda, membuatnya lebih mudah untuk mendeteksi peristiwa keamanan saat terjadi, fitur penting ketika mencoba melindungi dari peristiwa waktu nyata seperti serangan DDoS.

Namun demikian, solusi McAfee lebih dari sekadar Manajer Keamanan Perusahaan . Untuk mendapatkan solusi SIEM yang benar-benar lengkap, Anda juga memerlukan Enterprise Log Manager dan Event Receiver . Kabar baiknya adalah ketiga produk tersebut dapat dikemas dalam satu alat, membuat proses akuisisi dan pengaturan menjadi lebih mudah. Bagi Anda yang mungkin ingin mencoba produk sebelum membelinya, tersedia uji coba gratis.