Wat zijn DDoS-aanvallen en hoe u ertegen kunt beschermen?

Wat zijn DDoS-aanvallen en hoe u ertegen kunt beschermen?

Distributed Denial of Service (DDoS))-aanvallen komen helaas vaker voor dan we zouden willen. Daarom moeten organisaties zich ook actief tegen hen en andere bedreigingen beschermen. En hoewel dit soort aanvallen vervelend kunnen zijn en een grote impact hebben op uw systemen, zijn ze ook relatief eenvoudig te detecteren.

Wat zijn DDoS-aanvallen en hoe u ertegen kunt beschermen?

In dit bericht bekijken we hoe u uw bedrijfsmiddelen kunt beschermen tegen DDoS-aanvallen en bekijken we enkele producten die u daarbij kunnen helpen.

We beginnen met te beschrijven wat DDoS-aanvallen zijn. Zoals u op het punt staat te ontdekken, is hun werkingsprincipe even eenvoudig als hun potentiële impact groot. We zullen ook onderzoeken hoe deze aanvallen vaak worden gecategoriseerd en hoe verschillende soorten aanvallen daadwerkelijk verschillen. Vervolgens bespreken we hoe u zich kunt beschermen tegen DDoS-aanvallen. We zullen zien hoe content delivery-netwerken aanvallers weg kunnen houden van uw servers en hoe load balancers een aanval kunnen detecteren en aanvallers kunnen wegsturen. Maar voor die zeldzame aanvallen die uw servers daadwerkelijk bereiken, hebt u lokale bescherming nodig. Dit is waar beveiligingsinformatie- en gebeurtenisbeheer (SIEM)-systemen kunnen helpen, dus onze volgende opdracht zal zijn om enkele van de allerbeste SIEM-systemen die we konden vinden te beoordelen.

Over DDoS

Een Denial of Service (DoS)-aanval is een kwaadaardige poging om de beschikbaarheid van een gericht systeem, zoals een website of applicatie, voor de legitieme eindgebruikers te beïnvloeden. Doorgaans genereren aanvallers grote hoeveelheden pakketten of verzoeken die uiteindelijk het doelsysteem overweldigen. Een Distributed Denial of Service (DDoS)-aanval is een specifiek type DoS-aanval waarbij de aanvaller meerdere gecompromitteerde of gecontroleerde bronnen gebruikt om de aanval te genereren. DDoS-aanvallen worden vaak geclassificeerd op basis van de laag van het OSI-model die ze aanvallen, waarbij de meeste aanvallen plaatsvinden op de netwerklaag (laag 3), het transport (laag 4), de presentatie (laag 6) en de applicatielaag (laag 7). ).

Aanvallen op de lagere lagen (zoals 3 en 4) worden doorgaans gecategoriseerd als aanvallen op de infrastructuurlaag. Ze zijn verreweg het meest voorkomende type DDoS-aanval en ze omvatten vectoren zoals SYN-flooding en andere reflectie-aanvallen zoals UDP-floods. Deze aanvallen zijn meestal groot in omvang en hebben tot doel de capaciteit van het netwerk of de applicatieservers te overbelasten. Het goede ding (voor zover er iets goeds is aan aangevallen worden) is dat ze een type aanval zijn met duidelijke handtekeningen en ze zijn gemakkelijker te detecteren.

Wat betreft aanvallen op lagen 6 en 7, deze worden vaak gecategoriseerd als aanvallen op de applicatielaag. Hoewel deze aanvallen minder vaak voorkomen, zijn ze ook vaak geavanceerder. Deze aanvallen zijn doorgaans klein in omvang in vergelijking met de aanvallen op de infrastructuurlaag, maar ze zijn meestal gericht op bepaalde dure delen van de applicatie. Voorbeelden van dit soort aanvallen zijn onder meer een stortvloed aan HTTP-verzoeken naar een inlogpagina of een dure zoek-API, of zelfs WordPress XML-RPC-floods, ook wel bekend als WordPress pingback-aanvallen.

MOET LEZEN: 7 beste inbraakpreventiesystemen (IPS)

Bescherming tegen DDoS-aanvallen

Om effectief te beschermen tegen een DDoS-aanval, is tijd van essentieel belang. Dit is een realtime type aanval, dus het vereist een realtime reactie. Of doet het dat? Een manier om u tegen DDoS-aanvallen te beschermen, is door aanvallers ergens anders heen te sturen dan uw servers.

Een manier om dit te bereiken is door uw website te distribueren via een soort contentdistributienetwerk (CDN). Met behulp van een CDN raken gebruikers van uw website (zowel legitieme als potentiële aanvallers) nooit uw webservers maar die van het CDN, waardoor uw servers worden beschermd en ervoor wordt gezorgd dat een DDoS-aanval slechts een relatief kleine subset van uw klanten treft.

Een andere manier om te voorkomen dat DDoS-aanvallen uw servers bereiken, is door het gebruik van load balancers. Load balancers zijn apparaten die doorgaans worden gebruikt om inkomende serververbindingen naar meerdere servers te sturen. De belangrijkste reden waarom ze worden gebruikt, is om extra capaciteit te bieden. Stel dat een enkele server tot 500 verbindingen per minuut aankan, maar uw bedrijf is gegroeid en u heeft nu 700 verbindingen per minuut. U kunt een tweede server met een load balancer toevoegen en inkomende verbindingen worden automatisch gebalanceerd tussen de twee servers. Maar de meer geavanceerde load balancers hebben ook beveiligingsfunctiesdie bijvoorbeeld de symptomen van een DDoS-aanval kan herkennen en het verzoek naar een dummy-server kan sturen in plaats van uw servers mogelijk te overbelasten. Hoewel de efficiëntie van dergelijke technologieën varieert, vormen ze een goede eerste verdedigingslinie.

Beveiligingsinformatie en gebeurtenisbeheer ter redding

Security Information and Event Management (SIEM)-systemen zijn een van de beste manieren om te beschermen tegen DDoS-aanvallen. Door hun manier van werken kan bijna elke vorm van verdachte activiteit worden gedetecteerd en hun typische herstelprocessen kunnen helpen om aanvallen te stoppen. SIEM is vaak de laatste verdedigingslinie tegen DDoS-aanvallen. Ze zullen elke aanval vangen die uw systemen bereikt, degenen die andere beschermingsmiddelen hebben weten te omzeilen.

De belangrijkste elementen van SIEM

We staan ​​op het punt om elk belangrijk onderdeel van een SIEM-systeem in meer detail te onderzoeken. Niet alle SIEM-systemen bevatten al deze componenten en zelfs als ze dat wel doen, kunnen ze verschillende functionaliteiten hebben. Het zijn echter de meest elementaire componenten die men normaal gesproken in een of andere vorm in elk SIEM-systeem zou vinden.

Logboekverzameling en -beheer

Het verzamelen en beheren van logbestanden is het belangrijkste onderdeel van alle SIEM-systemen. Zonder dit is er geen SIEM. Het SIEM-systeem moet loggegevens uit verschillende bronnen halen. Het kan eraan trekken of verschillende detectie- en beveiligingssystemen kunnen het naar de SIEM duwen. Aangezien elk systeem zijn eigen manier heeft om gegevens te categoriseren en vast te leggen, is het aan de SIEM om gegevens te normaliseren en uniform te maken, ongeacht de bron.

Na normalisatie worden gelogde gegevens vaak vergeleken met bekende aanvalspatronen in een poging kwaadaardig gedrag zo vroeg mogelijk te herkennen. Gegevens worden ook vaak vergeleken met eerder verzamelde gegevens om een ​​basislijn op te bouwen die de detectie van abnormale activiteit verder zal verbeteren.

LEES OOK: Beste Cloud Logging Services getest en beoordeeld

Reactie op gebeurtenis

Zodra een gebeurtenis wordt gedetecteerd, moet er iets aan worden gedaan. Dit is waar de event response module van het SIEM systeem over gaat. De gebeurtenisrespons kan verschillende vormen aannemen. In de meest elementaire implementatie wordt een waarschuwingsbericht gegenereerd op de systeemconsole. Vaak kunnen ook e-mail- of sms-waarschuwingen worden gegenereerd.

Maar de beste SIEM-systemen gaan een stap verder en zullen vaak een herstelproces initiëren. Nogmaals, dit is iets dat vele vormen kan aannemen. De beste systemen hebben een compleet workflowsysteem voor incidentrespons dat kan worden aangepast om precies de respons te bieden die u wilt. En zoals je zou verwachten, hoeft de respons op incidenten niet uniform te zijn en kunnen verschillende gebeurtenissen verschillende processen in gang zetten. De beste systemen geven u volledige controle over de workflow voor incidentrespons. Houd er rekening mee dat bij het zoeken naar bescherming tegen realtime gebeurtenissen zoals DDoS-aanvallen, gebeurtenisrespons waarschijnlijk de belangrijkste functie is.

Dashboard

Zodra u het systeem voor het verzamelen en beheren van logbestanden en de responssystemen hebt geïnstalleerd, is de volgende belangrijke module het dashboard. Het is tenslotte uw venster op de status van uw SIEM-systeem en, bij uitbreiding, de status van de beveiliging van uw netwerk . Ze zijn zo'n belangrijk onderdeel dat veel tools meerdere dashboards bieden. Omdat verschillende mensen verschillende prioriteiten en interesses hebben, zal het perfecte dashboard voor een netwerkbeheerder anders zijn dan dat van een beveiligingsbeheerder en heeft een leidinggevende ook een heel ander dashboard nodig.

Hoewel we een SIEM-systeem niet kunnen beoordelen aan de hand van het aantal dashboards dat het heeft, moet u er een kiezen met het dashboard dat u nodig heeft. Dit is zeker iets waar u rekening mee moet houden als u leveranciers evalueert. Met veel van de beste systemen kunt u ingebouwde dashboards aanpassen of aangepaste dashboards naar wens samenstellen.

Rapportage

Het volgende belangrijke element van een SIEM-systeem is rapportage. Je weet het misschien nog niet - en ze zullen je niet helpen om DDoS-aanvallen te voorkomen of te stoppen, maar uiteindelijk heb je rapporten nodig. Het hogere management moet ze zelf laten inzien dat hun investering in een SIEM-systeem vruchten afwerpt. Mogelijk hebt u ook rapporten nodig voor conformiteitsdoeleinden. Het voldoen aan standaarden zoals PCI DSS, HIPAA of SOX kan worden vereenvoudigd wanneer uw SIEM-systeem conformiteitsrapporten kan genereren.

Hoewel rapporten misschien niet de kern vormen van een SIEM-systeem, zijn het nog steeds essentiële componenten. En vaak zal rapportage een belangrijke onderscheidende factor zijn tussen concurrerende systemen. Rapporten zijn als snoepjes, je kunt er nooit te veel hebben. En natuurlijk kunt u met de beste systemen bestaande rapporten aanpassen of aangepaste rapporten maken.

De beste hulpmiddelen voor bescherming tegen DDoS-aanvallen

Hoewel er verschillende soorten hulpprogramma's zijn die kunnen helpen beschermen tegen DDoS-aanvallen, biedt geen enkele hetzelfde niveau van directe bescherming als beveiligingsinformatie en hulpprogramma's voor gebeurtenisbeheer. Dit is wat alle tools op onze lijst eigenlijk SIEM-tools zijn. Elk van de tools op onze lijst biedt een zekere mate van bescherming tegen veel verschillende soorten bedreigingen, waaronder DDoS. We zetten de tools op volgorde van onze persoonlijke voorkeur, maar ondanks hun volgorde zijn ze alle zes uitstekende systemen die we je alleen maar kunnen aanraden om ze zelf uit te proberen en te zien hoe ze in je omgeving passen.

1. SolarWinds Security Event Manager (GRATIS PROEF)

Misschien heb je al eerder van SolarWinds gehoord . De naam is bij de meeste netwerkbeheerders bekend en met reden. Het vlaggenschipproduct van het bedrijf, de Network Performance Monitor, is een van de beste beschikbare tools voor het bewaken van netwerkbandbreedte. Maar dat is niet alles, het bedrijf staat ook bekend om zijn talrijke gratis tools zoals zijn Advanced Subnet Calculator of zijn SFTP-server .

SolarWinds heeft tools voor vrijwel elke netwerkbeheertaak, inclusief SIEM. Hoewel de SolarWinds Security Event Manager (ook wel SEM genoemd ) het best kan worden omschreven als een SIEM-systeem op instapniveau, is het waarschijnlijk een van de meest concurrerende SIEM-systemen op instapniveau op de markt. De SolarWinds S EM heeft alles wat je van een SIEM-systeem mag verwachten. Het heeft uitstekende functies voor logbeheer en correlatie, een geweldig dashboard en een indrukwekkende rapportage-engine.

Wat zijn DDoS-aanvallen en hoe u ertegen kunt beschermen?

De SolarWinds Security Event Manager waarschuwt u voor de meest verdachte gedragingen, zodat u meer van uw tijd en middelen kunt besteden aan andere kritieke projecten. De tool heeft honderden ingebouwde correlatieregels om uw netwerk in de gaten te houden en gegevens uit de verschillende logbronnen samen te voegen om potentiële bedreigingen in realtime te identificeren. En u krijgt niet alleen kant-en-klare correlatieregels om u op weg te helpen, de normalisatie van loggegevens maakt het mogelijk om een ​​eindeloze combinatie van regels te creëren. Bovendien heeft het platform een ​​ingebouwde feed voor informatie over bedreigingen die gedrag identificeert dat afkomstig is van bekende kwaadwillenden.

De potentiële schade van een DDoS-aanval wordt vaak bepaald door hoe snel je de dreiging identificeert en begint aan te pakken. De SolarWinds Security Event Manager kan uw reactie versnellen door ze te automatiseren wanneer bepaalde correlatieregels worden geactiveerd. Reacties kunnen zijn: het blokkeren van IP-adressen, het wijzigen van privileges, het uitschakelen van accounts, het blokkeren van USB-apparaten, het doden van applicaties en meer. Het geavanceerde, realtime responssysteem van de tool reageert actief op elke bedreiging. En aangezien het gebaseerd is op gedrag in plaats van handtekening, bent u beschermd tegen onbekende of toekomstige bedreigingen. Alleen al deze functie maakt het een geweldig hulpmiddel voor DDoS-bescherming.

De SolarWinds Security Event Manager heeft een licentie op basis van het aantal nodes dat log- en gebeurtenisinformatie verzendt. In die context is een node elk apparaat (server, netwerkapparaat, desktop, laptop, enz.) waarvan log- en/of gebeurtenisgegevens worden verzameld. Prijzen beginnen bij $ 4 665 voor 30 apparaten, inclusief het eerste jaar van onderhoud. Andere licentieniveaus zijn beschikbaar voor maximaal 2500 apparaten. Als u het product wilt uitproberen voordat u het aanschaft, kunt u een gratis, volledig functionele proefversie van 30 dagen downloaden.

2. RSA NetWitness

Sinds 2016 richt NetWitness zich op producten die "diep, realtime netwerksituatiebewustzijn en flexibele netwerkreactie" ondersteunen. De geschiedenis van het bedrijf is een beetje ingewikkeld: na te zijn overgenomen door EMC, dat vervolgens fuseerde met Dell , maakt de Ne tW itness- business nu deel uit van de RSA- tak van Dell , wat geweldig nieuws is, aangezien RSA een solide reputatie geniet op het gebied van IT-beveiliging.

RSA NetWitness is een geweldig product voor organisaties die op zoek zijn naar een complete oplossing voor netwerkanalyse. De tool bevat informatie over uw bedrijf die helpt bij het prioriteren van waarschuwingen. Volgens RSA verzamelt het systeem " gegevens op meer capture-punten, computerplatforms en bronnen voor bedreigingsinformatie dan andere SIEM-oplossingen ". Er is ook geavanceerde bedreigingsdetectie die gedragsanalyse, datawetenschapstechnieken en bedreigingsinformatie combineert. En tot slot beschikt het geavanceerde responssysteem over orkestratie- en automatiseringsmogelijkheden om bedreigingen uit de weg te ruimen voordat ze uw bedrijf beïnvloeden.

Wat zijn DDoS-aanvallen en hoe u ertegen kunt beschermen?

Een van de belangrijkste nadelen van RSA NetWitness is dat het niet het gemakkelijkste product is om te gebruiken en te configureren. Er is echter veel uitgebreide documentatie beschikbaar die u kan helpen bij het instellen en gebruiken van het product. Dit is een ander enterprise-grade product en u moet contact opnemen met RSA sales voor gedetailleerde prijsinformatie.

3. ArcSight Enterprise-beveiligingsmanager

ArcSight Enterprise Security Manager helpt bij het identificeren en prioriteren van beveiligingsbedreigingen, het organiseren en volgen van incidentresponsactiviteiten en het vereenvoudigen van audit- en compliance-activiteiten. Dit is een ander product met een ietwat ingewikkelde geschiedenis. Voorheen verkocht onder het merk HP , is het nu gefuseerd met Micro Focus , een andere dochteronderneming van HP .

De ArcSight Enterprise Security Manager is een andere immens populaire SIEM-tool die al meer dan vijftien jaar bestaat. De tool verzamelt loggegevens uit verschillende bronnen en voert uitgebreide gegevensanalyses uit, op zoek naar tekenen van kwaadaardige activiteit. En om het gemakkelijk te maken om bedreigingen snel te identificeren, kunt u met de tool de analyseresultaten in realtime bekijken.

Wat zijn DDoS-aanvallen en hoe u ertegen kunt beschermen?

Qua functionaliteit laat dit product niet veel te wensen over. Het heeft krachtige gedistribueerde realtime gegevenscorrelatie, workflowautomatisering, beveiligingsorkestratie en community-gestuurde beveiligingsinhoud. De ArcSight Enterprise Security Manager kan ook worden geïntegreerd met andere ArcSight- producten, zoals het ArcSight Data Platform en Event Broker of ArcSight Investigate . Dit is nog een ander enterprise-grade product dat, zoals vrijwel alle hoogwaardige SIEM-tools, vereist dat u contact opneemt met het verkoopteam voor gedetailleerde prijsinformatie.

4. Splunk Enterprise-beveiliging

Splunk Enterprise Security — of Splunk ES , zoals het vaak wordt genoemd — is mogelijk een van de meest populaire SIEM-systemen en staat vooral bekend om zijn analysemogelijkheden. De tool bewaakt de gegevens van uw systeem in realtime, op zoek naar kwetsbaarheden en tekenen van abnormale activiteit.

Beveiligingsreactie is een ander sterk punt van Splunk ES en dat is belangrijk bij het omgaan met DDoS-aanvallen. Het systeem maakt gebruik van wat Splunk het Adaptive Response Framework ( ARF ) noemt , dat kan worden geïntegreerd met apparatuur van meer dan 55 beveiligingsleveranciers. De ARF voert een geautomatiseerde respons uit, waardoor handmatige taken worden versneld. Hierdoor krijg je snel de overhand. Voeg daar een eenvoudige en overzichtelijke gebruikersinterface aan toe en je hebt een winnende oplossing. Andere interessante functies zijn de Notables- functie die door de gebruiker aanpasbare waarschuwingen toont en de Asset Investigator voor het markeren van kwaadaardige activiteiten en het voorkomen van verdere problemen.

Wat zijn DDoS-aanvallen en hoe u ertegen kunt beschermen?

Splunk ES is een enterprise-grade product en als zodanig wordt het geleverd met een enterprise-sized prijskaartje. Zoals vaak het geval is met enterprise-grade systemen, kunt u geen prijsinformatie krijgen van de Splunk -website. U moet contact opnemen met de verkoopafdeling om een ​​offerte te krijgen. Maar ondanks de prijs is dit een geweldig product en misschien wilt u contact opnemen met Splunk en profiteren van een beschikbare gratis proefversie.

5. McAfee Enterprise Security Manager

McAfee is een andere bekende naam op het gebied van IT-beveiliging en behoeft waarschijnlijk geen introductie. Het is echter beter bekend om zijn virusbeschermingsproducten. De McAfee Enterprise S eveiliging M anager is niet alleen software. Het is eigenlijk een apparaat dat u in virtuele of fysieke vorm kunt krijgen.

Wat de analysemogelijkheden betreft, beschouwen velen de McAfee Enterprise Security Manager als een van de beste SIEM-tools. Het systeem verzamelt logboeken over een breed scala aan apparaten. Wat betreft de normalisatiemogelijkheden, het is ook van topklasse. De correlatie-engine compileert gemakkelijk ongelijksoortige gegevensbronnen, waardoor het gemakkelijker wordt om beveiligingsgebeurtenissen te detecteren wanneer ze zich voordoen, een belangrijke functie bij het beschermen tegen realtime gebeurtenissen zoals DDoS-aanvallen.

Wat zijn DDoS-aanvallen en hoe u ertegen kunt beschermen?

De McAfee- oplossing is echter meer dan alleen de Enterprise Security Manager . Om een ​​echt complete SIEM-oplossing te krijgen, hebt u ook de Enterprise Log Manager en Event Receiver nodig . Het goede nieuws is dat alle drie de producten in één apparaat kunnen worden verpakt, wat het aanschaf- en installatieproces iets eenvoudiger maakt. Voor degenen onder u die het product misschien willen proberen voordat u het koopt, is er een gratis proefversie beschikbaar.


6 beste netwerkbeheertools die prestaties bijhouden

6 beste netwerkbeheertools die prestaties bijhouden

De markt voor netwerkbeheersoftware is erg druk. Verkort uw zoekopdracht door onze aanbevelingen van de beste netwerkbeheertools te volgen.

10 beste Ping Sweep-tools om u meer over uw netwerk te vertellen

10 beste Ping Sweep-tools om u meer over uw netwerk te vertellen

Ping-sweeps kunnen op veel manieren in uw voordeel worden gebruikt. Lees verder terwijl we bespreken hoe en introduceer de 10 beste Ping-sweep-tools die u kunt vinden.

6 beste tools voor het monitoren van websites

6 beste tools voor het monitoren van websites

Websites zijn belangrijk en moeten voortdurend nauwlettend worden gecontroleerd op adequate prestaties. Hier zijn enkele van de beste tools voor het monitoren van websites.

Beste software-implementatietools voor ontwikkelteams in 2022

Beste software-implementatietools voor ontwikkelteams in 2022

Hier is een blik op enkele van de allerbeste software-implementatietools om de pijn van het beheer van een willekeurig aantal machines te verlichten

Beste gratis sFlow-verzamelaars en -analysers beoordeeld in 2021

Beste gratis sFlow-verzamelaars en -analysers beoordeeld in 2021

sFlow is een stroomanalyseprotocol dat in tal van netwerkapparaten is ingebouwd. We bekijken de top vijf van beste gratis sFlow-verzamelaars en -analysers.

Bandbreedte bewaken op Linux: top 5 tools in 2021

Bandbreedte bewaken op Linux: top 5 tools in 2021

Nu Linux steeds populairder wordt in datacenters, hebben we gekeken naar het monitoren van bandbreedte op Linux en zijn ook de beste tools aan het beoordelen.

SolarWinds Mail Assure - REVIEW 2021

SolarWinds Mail Assure - REVIEW 2021

E-mailbeveiliging is een belangrijke taak van managed service providers. We waren bezig met het beoordelen van SolarWinds Mail Assure, een van de beste tools voor dat doel.

Cheatsheet voor Windows PowerShell-opdrachten - De ultieme gids die u nodig hebt

Cheatsheet voor Windows PowerShell-opdrachten - De ultieme gids die u nodig hebt

Als u een krachtige Windows-gebruiker bent, weet en begrijpt u waarschijnlijk hoe het uitvoeren van verschillende bewerkingen op uw pc meer dan één benadering en

Beste netwerklatentietest- en monitoringtools in 2021

Beste netwerklatentietest- en monitoringtools in 2021

Latency lijkt de grootste vijand van netwerken te zijn. Deze latency-meettools leren hoe latency te testen om problemen op te sporen, te lokaliseren en op te lossen.

Beste hulpprogrammas voor netwerkbewaking voor Windows 10 in 2021

Beste hulpprogrammas voor netwerkbewaking voor Windows 10 in 2021

Windows-netwerkmonitor vereist tools met beperkte vereisten. Vandaag keken we naar de beste hulpprogramma's voor netwerkbewaking voor Windows 10.