Apakah Serangan DDoS dan Cara Menjaga Menentangnya

Serangan Penafian Perkhidmatan Teragih (DDoS)) malangnya lebih biasa daripada yang kita mahu. Inilah sebabnya mengapa organisasi perlu melindungi secara aktif terhadap mereka dan ancaman lain juga. Dan walaupun jenis serangan ini boleh menjadi jahat dan mempunyai kesan besar pada sistem anda, ia juga agak mudah untuk dikesan.

Dalam siaran ini, kami akan melihat cara anda boleh melindungi aset anda daripada serangan DDoS dan menyemak beberapa produk yang boleh membantu anda dengan itu.

Kami akan mulakan dengan menerangkan apa itu serangan DDoS. Seperti yang akan anda temui, prinsip operasinya semudah potensi kesannya adalah tinggi. Kami juga akan meneroka cara serangan ini sering dikategorikan dan cara pelbagai jenis serangan sebenarnya berbeza. Seterusnya, kami akan membincangkan cara melindungi daripada serangan DDoS. Kami akan melihat cara rangkaian penghantaran kandungan boleh menjauhkan penyerang daripada pelayan anda dan cara pengimbang beban boleh mengesan serangan dan menjauhkan penyerang. Tetapi untuk serangan jarang yang berjaya mencapai pelayan anda, anda memerlukan perlindungan setempat. Di sinilah sistem maklumat keselamatan dan pengurusan acara (SIEM) boleh membantu supaya pesanan perniagaan kami yang seterusnya ialah menyemak beberapa sistem SIEM terbaik yang kami temui.

Mengenai DDoS

Serangan Penafian Perkhidmatan (DoS) ialah percubaan berniat jahat untuk menjejaskan ketersediaan sistem yang disasarkan, seperti tapak web atau aplikasi, kepada pengguna akhir yang sah. Biasanya, penyerang menjana volum besar paket atau permintaan akhirnya mengatasi sistem sasaran. Serangan Distributed Denial of Service (DDoS) ialah jenis serangan DoS tertentu di mana penyerang menggunakan berbilang sumber yang terjejas atau terkawal untuk menjana serangan. Serangan DDoS sering dikelaskan mengikut lapisan model OSI yang mereka serang, dengan kebanyakan serangan berlaku pada lapisan rangkaian (lapisan 3), pengangkutan (lapisan 4), pembentangan (lapisan 6) dan lapisan Aplikasi (lapisan 7). ).

Serangan pada lapisan bawah (seperti 3 dan 4) biasanya dikategorikan sebagai serangan lapisan Infrastruktur. Setakat ini ia adalah jenis serangan DDoS yang paling biasa dan ia termasuk vektor seperti banjir SYN dan serangan refleksi lain seperti banjir UDP. Serangan ini biasanya besar dalam jumlah dan bertujuan untuk membebankan kapasiti rangkaian atau pelayan aplikasi. Perkara yang baik (selagi ada perkara yang baik tentang diserang) ialah ia adalah sejenis serangan yang mempunyai tandatangan yang jelas dan ia lebih mudah untuk dikesan.

Bagi serangan pada lapisan 6 dan 7, ia sering dikategorikan sebagai serangan lapisan Aplikasi. Walaupun serangan ini kurang kerap, ia juga cenderung menjadi lebih canggih. Serangan ini biasanya kecil dari segi volum berbanding dengan serangan lapisan Infrastruktur, tetapi ia cenderung menumpukan pada bahagian tertentu aplikasi yang mahal. Contoh jenis serangan ini termasuk banjir permintaan HTTP ke halaman log masuk atau API carian mahal, atau bahkan banjir XML-RPC WordPress, yang juga dikenali sebagai serangan pingback WordPress.

WAJIB BACA: 7 Sistem Pencegahan Pencerobohan (IPS) Terbaik

Melindungi Terhadap Serangan DDoS

Untuk melindungi secara berkesan daripada serangan DDoS, masa adalah penting. Ini adalah jenis serangan masa nyata jadi ia memerlukan tindak balas masa nyata. Atau adakah ia? Malah, satu cara untuk melindungi daripada serangan DDoS adalah dengan menghantar penyerang ke tempat lain yang pelayan anda.

Satu cara ini boleh dicapai ialah dengan mengedarkan tapak web anda melalui beberapa jenis rangkaian pengedaran kandungan (CDN). Menggunakan CDN, pengguna tapak web anda (kedua-dua yang sah dan bakal penyerang) tidak pernah memukul pelayan web anda tetapi pada CDN, dengan itu melindungi pelayan anda dan memastikan bahawa sebarang serangan DDoS hanya akan memberi kesan kepada subset yang agak kecil pelanggan anda.

Cara lain untuk menghalang serangan DDoS daripada mencapai pelayan anda adalah melalui penggunaan pengimbang beban. Pengimbang beban ialah perkakas yang biasanya digunakan untuk mengemudi sambungan pelayan masuk ke berbilang pelayan. Sebab utama mengapa ia digunakan adalah untuk menyediakan kapasiti tambahan. Katakan satu pelayan boleh mengendalikan sehingga 500 sambungan seminit tetapi perniagaan anda telah berkembang dan anda kini mempunyai 700 sambungan seminit. Anda boleh menambah pelayan kedua dengan pengimbang beban dan sambungan masuk akan diseimbangkan secara automatik antara kedua-dua pelayan. Tetapi pengimbang beban yang lebih maju juga mempunyai ciri keselamatanyang boleh, sebagai contoh, mengenali simptom serangan DDoS dan menghantar permintaan kepada pelayan palsu dan bukannya berpotensi membebankan pelayan anda. Walaupun kecekapan teknologi sedemikian berbeza-beza, mereka membentuk barisan pertahanan pertama yang baik.

Maklumat Keselamatan Dan Pengurusan Acara Untuk Menyelamat

Sistem Pengurusan Maklumat dan Acara Keselamatan (SIEM) adalah salah satu cara terbaik untuk melindungi daripada serangan DDoS. Cara mereka beroperasi membolehkannya mengesan hampir semua jenis aktiviti yang mencurigakan dan proses pemulihan biasa mereka boleh membantu menghentikan serangan mati di landasan mereka. SIEM selalunya merupakan barisan pertahanan terakhir terhadap serangan DDoS. Mereka akan memerangkap sebarang serangan yang benar-benar masuk ke sistem anda, yang telah berjaya memintas cara perlindungan lain.

Elemen Utama SIEM

Kami akan meneroka dengan lebih terperinci setiap komponen utama sistem SIEM. Tidak semua sistem SIEM menyertakan semua komponen ini dan, walaupun ia ada, ia boleh mempunyai fungsi yang berbeza. Walau bagaimanapun, ia adalah komponen paling asas yang biasanya ditemui oleh seseorang, dalam satu bentuk atau yang lain, dalam mana-mana sistem SIEM.

Pengumpulan Dan Pengurusan Log

Pengumpulan dan pengurusan log adalah komponen utama semua sistem SIEM. Tanpanya, tiada SIEM. Sistem SIEM perlu memperoleh data log daripada pelbagai sumber yang berbeza. Ia boleh sama ada menariknya atau sistem pengesanan dan perlindungan yang berbeza boleh menolaknya ke SIEM. Memandangkan setiap sistem mempunyai cara tersendiri untuk mengkategorikan dan merekod data, terpulang kepada SIEM untuk menormalkan data dan menjadikannya seragam, tidak kira apa sumbernya.

Selepas penormalan, data yang dilog akan sering dibandingkan dengan corak serangan yang diketahui dalam usaha untuk mengenali tingkah laku berniat jahat seawal mungkin. Data juga akan sering dibandingkan dengan data yang dikumpul sebelum ini untuk membantu membina garis dasar yang akan meningkatkan lagi pengesanan aktiviti tidak normal.

BACA JUGA: Perkhidmatan Pengelogan Awan Terbaik Diuji & Disemak

Sambutan Acara

Sebaik sahaja sesuatu peristiwa dikesan, sesuatu mesti dilakukan mengenainya. Inilah maksud modul tindak balas acara untuk sistem SIEM. Sambutan acara boleh mengambil bentuk yang berbeza. Dalam pelaksanaan paling asasnya, mesej amaran akan dihasilkan pada konsol sistem. Selalunya makluman e-mel atau SMS juga boleh dijana.

Tetapi sistem SIEM yang terbaik melangkah lebih jauh dan selalunya akan memulakan beberapa proses pembaikan. Sekali lagi, ini adalah sesuatu yang boleh mengambil pelbagai bentuk. Sistem terbaik mempunyai sistem aliran kerja tindak balas insiden lengkap yang boleh disesuaikan untuk memberikan respons yang anda inginkan dengan tepat. Dan seperti yang dijangkakan, tindak balas insiden tidak semestinya seragam dan peristiwa yang berbeza boleh mencetuskan proses yang berbeza. Sistem terbaik akan memberi anda kawalan sepenuhnya ke atas aliran kerja tindak balas insiden. Perlu diingat bahawa apabila mencari perlindungan terhadap peristiwa masa nyata seperti serangan DDoS, tindak balas acara mungkin merupakan ciri yang paling penting.

Papan pemuka

Sebaik sahaja anda mempunyai sistem pengumpulan dan pengurusan log serta sistem tindak balas, modul penting seterusnya ialah papan pemuka. Lagipun, ia akan menjadi tetingkap anda ke dalam status sistem SIEM anda dan, dengan lanjutan, status keselamatan rangkaian anda . Mereka adalah topi komponen penting yang banyak alatan menawarkan berbilang papan pemuka. Oleh kerana orang yang berbeza mempunyai keutamaan dan minat yang berbeza, papan pemuka yang sesuai untuk pentadbir rangkaian akan berbeza daripada pentadbir keselamatan, dan seorang eksekutif juga memerlukan yang sama sekali berbeza.

Walaupun kami tidak dapat menilai sistem SIEM mengikut bilangan papan pemuka yang ada, anda perlu memilih satu yang mempunyai papan pemuka yang anda perlukan. Ini sememangnya sesuatu yang anda mahu ingat semasa anda menilai vendor. Banyak sistem terbaik akan membolehkan anda menyesuaikan papan pemuka terbina dalam atau membina papan pemuka tersuai mengikut keinginan anda.

Pelaporan

Elemen penting seterusnya dalam sistem SIEM ialah pelaporan. Anda mungkin belum mengetahuinya lagi—dan ia tidak akan membantu anda menghalang atau menghentikan serangan DDoS, tetapi anda akhirnya memerlukan laporan. Pihak pengurusan atasan memerlukan mereka untuk melihat sendiri bahawa pelaburan mereka dalam sistem SIEM membuahkan hasil. Anda juga mungkin memerlukan laporan untuk tujuan pematuhan. Mematuhi piawaian seperti PCI DSS, HIPAA atau SOX boleh dipermudahkan apabila sistem SIEM anda boleh menjana laporan pematuhan.

Walaupun laporan mungkin tidak menjadi teras sistem SIEM, ia masih merupakan komponen penting. Dan selalunya, pelaporan akan menjadi faktor pembezaan utama antara sistem bersaing. Laporan adalah seperti gula-gula, anda tidak boleh mempunyai terlalu banyak. Dan sudah tentu, sistem terbaik akan membolehkan anda menyesuaikan laporan sedia ada atau membuat laporan tersuai.

Alat Teratas Untuk Melindungi Terhadap Serangan DDoS

Walaupun terdapat pelbagai jenis alat yang boleh membantu melindungi daripada serangan DDoS, tiada satu pun menyediakan tahap perlindungan langsung yang sama seperti maklumat keselamatan dan alat pengurusan acara. Inilah yang sebenarnya semua alatan dalam senarai kami adalah alatan SIEM. Mana-mana alat dalam senarai kami akan memberikan beberapa tahap perlindungan terhadap pelbagai jenis ancaman, termasuk DDoS. Kami menyenaraikan alatan mengikut keutamaan peribadi kami tetapi, walaupun pesanan mereka, keenam-enamnya adalah sistem yang sangat baik yang kami hanya boleh mengesyorkan anda mencubanya sendiri dan melihat cara ia sesuai dengan persekitaran anda.

1. Pengurus Acara Keselamatan SolarWinds (PERCUBAAN PERCUMA)

Anda mungkin pernah mendengar tentang SolarWinds sebelum ini. Nama itu diketahui oleh kebanyakan pentadbir rangkaian dan dengan alasan. Produk utama syarikat, Pemantau Prestasi Rangkaian ialah salah satu alat pemantauan lebar jalur rangkaian terbaik yang ada. Tetapi bukan itu sahaja, syarikat itu juga terkenal dengan pelbagai alatan percuma seperti Kalkulator Subnet Lanjutan atau pelayan SFTPnya .

SolarWinds mempunyai alat untuk hampir setiap tugas pengurusan rangkaian dan itu termasuk SIEM. Walaupun Pengurus Acara Keselamatan SolarWinds (juga dipanggil SEM ) digambarkan paling baik sebagai sistem SIEM peringkat permulaan, ia berkemungkinan salah satu sistem SIEM peringkat permulaan yang paling kompetitif di pasaran. The SolarWinds S EM mempunyai semua yang anda yang menentukan pengalaman sistem SIEM. Ia mempunyai ciri pengurusan log dan korelasi yang sangat baik, papan pemuka yang hebat dan enjin pelaporan yang mengagumkan.

• PERCUBAAN PERCUMA: Pengurus Acara Keselamatan SolarWinds
• Pautan Muat Turun Rasmi: https://www.solarwinds.com/security-event-manager/registration

The SolarWinds Keselamatan Pengurus Acara akan memberi amaran kepada tingkah laku yang paling mencurigakan, membolehkan anda untuk menumpukan lebih banyak masa dan sumber anda pada projek kritikal lain. Alat ini mempunyai beratus-ratus peraturan korelasi terbina dalam untuk menonton rangkaian anda dan menggabungkan data daripada pelbagai sumber log untuk mengenal pasti potensi ancaman dalam masa nyata. Dan anda bukan sahaja mendapat peraturan korelasi di luar kotak untuk membantu anda bermula, penormalan data log membolehkan gabungan peraturan yang tidak berkesudahan dibuat. Selain itu, platform ini mempunyai suapan perisikan ancaman terbina dalam yang berfungsi untuk mengenal pasti tingkah laku yang berpunca daripada pelakon jahat yang diketahui.

Potensi kerosakan yang disebabkan oleh serangan DDoS selalunya ditentukan oleh seberapa cepat anda mengenal pasti ancaman dan mula menanganinya. The SolarWinds Keselamatan Pengurus Acara tidak dapat mendahului jawapan anda dengan mengautomasikan mereka bila-bila peraturan korelasi tertentu dicetuskan. Respons boleh termasuk menyekat alamat IP, menukar keistimewaan, melumpuhkan akaun, menyekat peranti USB, mematikan aplikasi dan banyak lagi. Sistem tindak balas masa nyata yang canggih alat ini akan bertindak balas secara aktif kepada setiap ancaman. Dan oleh kerana ia berdasarkan tingkah laku dan bukannya tandatangan, anda dilindungi daripada ancaman yang tidak diketahui atau akan datang. Ciri ini sahaja menjadikannya alat yang hebat untuk perlindungan DDoS.

The SolarWinds Keselamatan Pengurus Acara dilesenkan oleh bilangan nod hantar log dan maklumat acara. Dalam konteks itu, nod ialah sebarang peranti (pelayan, peranti rangkaian, desktop, komputer riba, dll.) dari mana data log dan/atau peristiwa dikumpulkan. Harga bermula pada $4 665 untuk 30 peranti, termasuk tahun pertama penyelenggaraan. Peringkat pelesenan lain tersedia untuk sehingga 2 500 peranti. Jika anda ingin mencuba produk sebelum membelinya, versi percubaan 30 hari yang berfungsi sepenuhnya percuma tersedia untuk dimuat turun.

2. RSA NetWitness

Sejak 2016, NetWitness telah memfokuskan pada produk yang menyokong "kesedaran situasi rangkaian masa nyata yang mendalam dan tindak balas rangkaian yang tangkas". Sejarah syarikat agak kompleks: Selepas diambil alih oleh EMC yang kemudiannya bergabung dengan Dell , yang Ne tw itness perniagaan kini sebahagian daripada RSA cawangan Dell , yang merupakan berita baik sebagai RSA mempunyai reputasi yang kukuh dalam keselamatan IT.

RSA NetWitness ialah produk yang hebat untuk organisasi yang mencari penyelesaian analitik rangkaian lengkap. Alat ini menggabungkan maklumat tentang perniagaan anda yang membantu mengutamakan makluman. Menurut RSA , sistem “ mengumpul data merentas lebih banyak titik tangkapan, platform pengkomputeran dan sumber risikan ancaman daripada penyelesaian SIEM yang lain ”. Terdapat juga pengesanan ancaman lanjutan yang menggabungkan analisis tingkah laku, teknik sains data dan perisikan ancaman. Akhirnya, sistem tindak balas lanjutan menawarkan keupayaan orkestrasi dan automasi untuk membantu menyingkirkan ancaman sebelum ia memberi kesan kepada perniagaan anda.

Salah satu kelemahan utama RSA NetWitness ialah ia bukan produk yang paling mudah untuk digunakan dan dikonfigurasikan. Walau bagaimanapun, terdapat banyak dokumentasi komprehensif yang boleh membantu anda dengan menyediakan dan menggunakan produk. Ini adalah satu lagi produk gred perusahaan dan anda perlu menghubungi jualan RSA untuk mendapatkan maklumat harga terperinci.

3. Pengurus Keselamatan ArcSight Enterprise

Pengurus Keselamatan ArcSight Enterprise membantu mengenal pasti dan mengutamakan ancaman keselamatan, mengatur dan menjejaki aktiviti tindak balas insiden serta memudahkan aktiviti audit dan pematuhan. Ini adalah satu lagi produk dengan sejarah yang agak berbelit-belit. Dahulu dijual di bawah jenama HP , kini telah bergabung dengan Micro Focus , sebuah lagi anak syarikat HP .

The ArcSight Enterprise Pengurus Keselamatan adalah satu lagi alat SIEM amat popular yang telah wujud selama lebih daripada lima belas tahun. Alat ini menyusun data log daripada pelbagai sumber dan melakukan analisis data yang meluas, mencari tanda-tanda aktiviti berniat jahat. Dan untuk memudahkan anda mengenal pasti ancaman dengan cepat, alat ini membolehkan anda melihat keputusan analisis dalam masa nyata.

Dari segi ciri, produk ini tidak banyak yang diingini. Ia mempunyai korelasi data masa nyata teragih yang berkuasa, automasi aliran kerja, orkestrasi keselamatan dan kandungan keselamatan dipacu komuniti. The ArcSight Manager Enterprise Security juga mengintegrasikan dengan lain ArcSight produk seperti Platform Data ArcSight and Event Broker atau ArcSight Menyiasat . Ini adalah satu lagi produk gred perusahaan yang, seperti hampir semua alatan SIEM yang berkualiti, memerlukan anda menghubungi pasukan jualan untuk mendapatkan maklumat harga terperinci.

4. Keselamatan Perusahaan Splunk

Splunk Enterprise Security —atau Splunk ES , seperti yang sering dipanggil—mungkin salah satu sistem SIEM yang paling popular dan ia amat terkenal dengan keupayaan analitiknya. Alat ini memantau data sistem anda dalam masa nyata, mencari kelemahan dan tanda-tanda aktiviti tidak normal.

Sambutan keselamatan adalah satu lagi saman kuat Splunk ES dan itu penting apabila menangani serangan DDoS. Sistem ini menggunakan apa yang disebut Splunk sebagai Rangka Kerja Respons Adaptif ( ARF ) yang disepadukan dengan peralatan daripada lebih 55 vendor keselamatan. The ARF Melakukan tindak balas automatik, mempercepatkan tugas-tugas manual. Ini akan membolehkan anda dengan cepat mendapat kelebihan. Tambahkan pada itu antara muka pengguna yang ringkas dan rapi dan anda mempunyai penyelesaian yang menang. Ciri menarik lain termasuk fungsi Notable yang menunjukkan makluman yang boleh disesuaikan pengguna dan Penyiasat Aset untuk membenderakan aktiviti berniat jahat dan mencegah masalah selanjutnya.

Splunk ES ialah produk gred perusahaan dan, oleh itu, ia disertakan dengan tanda harga bersaiz perusahaan. Seperti yang sering berlaku dengan sistem gred perusahaan, anda tidak boleh mendapatkan maklumat harga daripada tapak web Splunk . Anda perlu menghubungi bahagian jualan untuk mendapatkan sebut harga. Tetapi di sebalik harganya, ini adalah produk yang hebat dan anda mungkin ingin menghubungi Splunk dan mengambil kesempatan daripada percubaan percuma yang tersedia.

5. Pengurus Keselamatan McAfee Enterprise

McAfee ialah nama isi rumah lain dalam bidang keselamatan IT dan ia mungkin tidak memerlukan pengenalan. Walau bagaimanapun, ia lebih terkenal dengan produk perlindungan virusnya. The McAfee Enterprise S ecurity M anager bukan sahaja perisian. Ia sebenarnya adalah perkakas yang anda boleh dapatkan sama ada dalam bentuk maya atau fizikal.

Dari segi keupayaan analisisnya, ramai yang menganggap Pengurus Keselamatan Perusahaan McAfee sebagai salah satu alat SIEM terbaik. Sistem mengumpul log merentasi pelbagai peranti. Bagi keupayaan normalisasi, ia juga terkemuka. Enjin korelasi dengan mudah menyusun sumber data yang berbeza, menjadikannya lebih mudah untuk mengesan peristiwa keselamatan semasa ia berlaku, ciri penting apabila cuba melindungi daripada peristiwa masa nyata seperti serangan DDoS.

Walau bagaimanapun, terdapat lebih banyak penyelesaian McAfee daripada sekadar Pengurus Keselamatan Perusahaannya . Untuk mendapatkan penyelesaian SIEM yang benar-benar lengkap, anda juga memerlukan Pengurus Log Perusahaan dan Penerima Acara . Berita baiknya ialah ketiga-tiga produk boleh dibungkus dalam satu perkakas, menjadikan proses pemerolehan dan persediaan agak lebih mudah. Bagi anda yang mungkin ingin mencuba produk sebelum anda membelinya, percubaan percuma tersedia.