O que são ataques DDoS e como se proteger contra eles

Ataques de negação de serviço distribuído (DDoS) são, infelizmente, mais comuns do que gostaríamos. É por isso que as organizações precisam se proteger ativamente contra eles e também contra outras ameaças. E embora esses tipos de ataques possam ser desagradáveis ​​e ter um grande impacto em seus sistemas, eles também são relativamente fáceis de detectar.

Nesta postagem, veremos maneiras de proteger seus ativos contra ataques DDoS e analisaremos alguns produtos que podem ajudá-lo com isso.

Começaremos descrevendo o que são os ataques DDoS. Como você está prestes a descobrir, seu princípio de operação é tão simples quanto seu impacto potencial é alto. Também exploraremos como esses ataques são frequentemente categorizados e como os vários tipos de ataques realmente diferem. A seguir, discutiremos como se proteger contra ataques DDoS. Veremos como as redes de entrega de conteúdo podem manter os invasores longe de seus servidores e como os balanceadores de carga podem detectar um ataque e desviar os invasores. Mas para aqueles ataques raros que conseguem realmente atingir seus servidores, você precisa de alguma proteção local. É aqui que os sistemas de gerenciamento de eventos e informações de segurança (SIEM) podem ajudar, então nossa próxima ordem de negócios será revisar alguns dos melhores sistemas SIEM que pudemos encontrar.

Sobre DDoS

Um ataque de negação de serviço (DoS) é uma tentativa mal-intencionada de afetar a disponibilidade de um sistema direcionado, como um site ou aplicativo, para seus usuários finais legítimos. Normalmente, os invasores geram grandes volumes de pacotes ou solicitações, sobrecarregando o sistema de destino. Um ataque de negação de serviço distribuído (DDoS) é um tipo específico de ataque DoS no qual o invasor usa várias fontes comprometidas ou controladas para gerar o ataque. Os ataques DDoS são frequentemente classificados de acordo com a camada do modelo OSI que atacam, com a maioria dos ataques acontecendo na camada de rede (camada 3), transporte (camada 4), apresentação (camada 6) e camada de aplicativo (camada 7 )

Ataques nas camadas inferiores (como 3 e 4) são normalmente categorizados como ataques da camada de infraestrutura. Eles são de longe o tipo mais comum de ataque DDoS e incluem vetores como inundações SYN e outros ataques de reflexão como inundações UDP. Esses ataques geralmente são grandes em volume e visam sobrecarregar a capacidade da rede ou dos servidores de aplicativos. O bom (por mais que haja algo de bom em estar sob ataque) é que eles são um tipo de ataque que tem assinaturas claras e são mais fáceis de detectar.

Quanto aos ataques nas camadas 6 e 7, eles costumam ser categorizados como ataques da camada de aplicativo. Embora esses ataques sejam menos frequentes, eles também tendem a ser mais sofisticados. Esses ataques são normalmente de pequeno volume em comparação com os ataques da camada de infraestrutura, mas tendem a se concentrar em partes caras específicas do aplicativo. Exemplos desses tipos de ataques incluem uma inundação de solicitações HTTP para uma página de login ou uma API de pesquisa cara, ou mesmo inundações de WordPress XML-RPC, que também são conhecidas como ataques de pingback do WordPress.

DEVE LER: 7 melhores sistemas de prevenção de intrusão (IPS)

Proteção contra ataques DDoS

Para proteger com eficácia contra um ataque DDoS, o tempo é essencial. Este é um tipo de ataque em tempo real, portanto, requer uma resposta em tempo real. Ou não é? Na verdade, uma maneira de se proteger contra ataques DDoS é enviar os invasores para outro lugar que não os seus servidores.

Uma maneira de fazer isso é distribuir seu site por meio de algum tipo de rede de distribuição de conteúdo (CDN). Usando um CDN, os usuários do seu site (legítimos e atacantes em potencial) nunca acessam seus servidores da Web, exceto aqueles do CDN, protegendo assim seus servidores e garantindo que qualquer ataque DDoS afetará apenas um subconjunto relativamente pequeno de seus clientes.

Outra forma de impedir que ataques DDoS atinjam seus servidores é por meio do uso de balanceadores de carga. Os balanceadores de carga são dispositivos normalmente usados ​​para orientar as conexões de entrada do servidor para vários servidores. A principal razão pela qual eles são usados ​​é para fornecer capacidade extra. Suponhamos que um único servidor possa lidar com até 500 conexões por minuto, mas sua empresa cresceu e agora você tem 700 conexões por minuto. Você pode adicionar um segundo servidor com um balanceador de carga e as conexões de entrada serão balanceadas automaticamente entre os dois servidores. Mas os balanceadores de carga mais avançados também têm recursos de segurançaque pode, por exemplo, reconhecer os sintomas de um ataque DDoS e enviar a solicitação a um servidor fictício, em vez de potencialmente sobrecarregar seus servidores. Embora a eficiência de tais tecnologias varie, elas constituem uma boa primeira linha de defesa.

Informações de segurança e gerenciamento de eventos para o resgate

Os sistemas de gerenciamento de informações e eventos de segurança (SIEM) são uma das melhores maneiras de se proteger contra ataques DDoS. A maneira como operam permite detectar quase qualquer tipo de atividade suspeita e seus processos de remediação típicos podem ajudar a interromper os ataques em seu caminho. O SIEM costuma ser a última linha de defesa contra ataques DDoS. Eles interceptarão qualquer ataque que realmente atinja seus sistemas, aqueles que conseguiram contornar outros meios de proteção.

Os principais elementos do SIEM

Estamos prestes a explorar em detalhes cada componente principal de um sistema SIEM. Nem todos os sistemas SIEM incluem todos esses componentes e, mesmo quando o fazem, podem ter funcionalidades diferentes. No entanto, eles são os componentes mais básicos que normalmente se encontram, de uma forma ou de outra, em qualquer sistema SIEM.

Coleta e gerenciamento de toras

A coleta e o gerenciamento de logs são o principal componente de todos os sistemas SIEM. Sem ele, não há SIEM. O sistema SIEM deve adquirir dados de registro de uma variedade de fontes diferentes. Ele pode puxá-lo ou diferentes sistemas de detecção e proteção podem empurrá-lo para o SIEM. Como cada sistema possui sua própria forma de categorizar e registrar os dados, cabe ao SIEM normalizá-los e uniformizá-los, seja qual for sua origem.

Após a normalização, os dados registrados serão frequentemente comparados a padrões de ataque conhecidos em uma tentativa de reconhecer o comportamento malicioso o mais cedo possível. Os dados também serão frequentemente comparados aos dados coletados anteriormente para ajudar a construir uma linha de base que aumentará ainda mais a detecção de atividades anormais.

LEIA TAMBÉM: Os melhores serviços de registro em nuvem testados e revisados

Resposta ao Evento

Depois que um evento é detectado, algo deve ser feito a respeito. É disso que se trata o módulo de resposta a eventos do sistema SIEM. A resposta do evento pode assumir diferentes formas. Em sua implementação mais básica, uma mensagem de alerta será gerada no console do sistema. Freqüentemente, alertas de e-mail ou SMS também podem ser gerados.

Mas os melhores sistemas SIEM vão um passo além e freqüentemente iniciarão algum processo de remediação. Novamente, isso é algo que pode assumir muitas formas. Os melhores sistemas têm um sistema de fluxo de trabalho de resposta a incidentes completo que pode ser personalizado para fornecer exatamente a resposta que você deseja. E, como seria de se esperar, a resposta a incidentes não precisa ser uniforme e eventos diferentes podem acionar processos diferentes. Os melhores sistemas darão a você controle total sobre o fluxo de trabalho de resposta a incidentes. Lembre-se de que, ao buscar proteção contra eventos em tempo real, como ataques DDoS, a resposta a eventos é provavelmente o recurso mais importante.

Painel

Depois de ter o sistema de coleta e gerenciamento de log e os sistemas de resposta em vigor, o próximo módulo importante é o painel. Afinal, será a sua janela para o estado do seu sistema SIEM e, por extensão, o estado da segurança da sua rede . Eles são um componente tão importante que muitas ferramentas oferecem vários painéis. Como pessoas diferentes têm prioridades e interesses diferentes, o painel perfeito para um administrador de rede será diferente daquele de um administrador de segurança, e um executivo também precisará de um painel completamente diferente.

Embora não possamos avaliar um sistema SIEM pelo número de painéis que ele possui, você precisa escolher um que tenha o (s) painel (s) de que você precisa. Definitivamente, isso é algo que você deseja manter em mente ao avaliar os fornecedores. Muitos dos melhores sistemas permitem que você adapte painéis integrados ou crie painéis personalizados de acordo com sua preferência.

Comunicando

O próximo elemento importante de um sistema SIEM é o relatório. Você pode não saber ainda - e eles não vão ajudá-lo a prevenir ou parar ataques DDoS, mas eventualmente você precisará de relatórios. A alta administração precisará que eles vejam por si mesmos que seu investimento em um sistema SIEM está valendo a pena. Você também pode precisar de relatórios para fins de conformidade. A conformidade com padrões como PCI DSS, HIPAA ou SOX pode ser facilitada quando seu sistema SIEM pode gerar relatórios de conformidade.

Embora os relatórios possam não estar no centro de um sistema SIEM, eles ainda são componentes essenciais. E, muitas vezes, o relatório será um importante fator de diferenciação entre os sistemas concorrentes. Relatórios são como doces, você nunca pode ter muitos. E, claro, os melhores sistemas permitirão que você adapte relatórios existentes ou crie relatórios personalizados.

As principais ferramentas para proteção contra ataques DDoS

Embora existam vários tipos de ferramentas que podem ajudar a proteger contra ataques DDoS, nenhuma oferece o mesmo nível de proteção direta que as informações de segurança e ferramentas de gerenciamento de eventos. Isso é o que todas as ferramentas em nossa lista são, na verdade, ferramentas SIEM. Qualquer uma das ferramentas em nossa lista fornecerá algum grau de proteção contra muitos tipos diferentes de ameaças, incluindo DDoS. Estamos listando as ferramentas em ordem de nossa preferência pessoal, mas, apesar da ordem, todos os seis são excelentes sistemas que só podemos recomendar que você experimente e veja como eles se adaptam ao seu ambiente.

1. SolarWinds Security Event Manager (AVALIAÇÃO GRATUITA)

Você pode ter ouvido falar da SolarWinds antes. O nome é conhecido pela maioria dos administradores de rede e com razão. O principal produto da empresa, o Network Performance Monitor é uma das melhores ferramentas de monitoramento de largura de banda de rede disponíveis. Mas isso não é tudo, a empresa também é famosa por suas inúmeras ferramentas gratuitas, como a Calculadora de Sub-rede Avançada ou seu servidor SFTP .

A SolarWinds tem ferramentas para praticamente todas as tarefas de gerenciamento de rede e isso inclui SIEM. Embora o SolarWinds Security Event Manager (também chamado SEM ) seja melhor descrito como um sistema SIEM básico, é provavelmente um dos sistemas SIEM básicos mais competitivos do mercado. O SolarWinds S EM tem tudo o que você espera de um sistema SIEM. Possui excelentes recursos de gerenciamento e correlação de log , um ótimo painel e um mecanismo de relatório impressionante.

• AVALIAÇÃO GRATUITA: SolarWinds Security Event Manager
• Link oficial para download: https://www.solarwinds.com/security-event-manager/registration

O SolarWinds Security Event Manager o alertará sobre os comportamentos mais suspeitos, permitindo que você concentre mais tempo e recursos em outros projetos críticos. A ferramenta possui centenas de regras de correlação integradas para observar sua rede e reunir dados de várias fontes de log para identificar ameaças potenciais em tempo real. E você não obtém apenas regras de correlação prontas para ajudá-lo a começar, a normalização dos dados de log permite que uma combinação infinita de regras seja criada. Além disso, a plataforma possui um feed de inteligência contra ameaças integrado que funciona para identificar comportamentos originados de agentes mal-intencionados conhecidos.

O dano potencial causado por um ataque DDoS geralmente é determinado pela rapidez com que você identifica a ameaça e começa a abordá-la. O SolarWinds Security Event Manager pode acelerar sua resposta, automatizando-os sempre que certas regras de correlação são acionadas. As respostas podem incluir bloqueio de endereços IP, alteração de privilégios, desativação de contas, bloqueio de dispositivos USB, eliminação de aplicativos e muito mais. O avançado sistema de resposta em tempo real da ferramenta reagirá ativamente a todas as ameaças. E como é baseado no comportamento e não na assinatura, você está protegido contra ameaças desconhecidas ou futuras. Esse recurso por si só o torna uma ótima ferramenta para proteção DDoS.

O SolarWinds Security Event Manager é licenciado pelo número de nós que enviam informações de log e eventos. Nesse contexto, um nó é qualquer dispositivo (servidor, dispositivo de rede, desktop, laptop, etc.) a partir do qual os dados de log e / ou eventos são coletados. Os preços começam em $ 4 665 para 30 dispositivos, incluindo o primeiro ano de manutenção. Outras camadas de licenciamento estão disponíveis para até 2.500 dispositivos. Se você quiser experimentar o produto antes de comprá-lo, uma versão de avaliação gratuita e totalmente funcional por 30 dias está disponível para download.

2. RSA NetWitness

Desde 2016, a NetWitness tem se concentrado em produtos que suportam “consciência situacional de rede profunda e em tempo real e resposta ágil de rede”. A história da empresa é um pouco complexa: depois de ser adquirida pela EMC, que então se fundiu com a Dell , o negócio da Ne tW itness agora faz parte da filial RSA da Dell , o que é uma ótima notícia, pois a RSA desfruta de uma sólida reputação em segurança de TI.

RSA NetWitness é um ótimo produto para organizações que buscam uma solução completa de análise de rede. A ferramenta incorpora informações sobre o seu negócio, o que ajuda a priorizar alertas. De acordo com a RSA , o sistema “ coleta dados em mais pontos de captura, plataformas de computação e fontes de inteligência de ameaças do que outras soluções SIEM ”. Também há detecção avançada de ameaças, que combina análise comportamental, técnicas de ciência de dados e inteligência de ameaças. E, finalmente, o sistema de resposta avançado oferece recursos de orquestração e automação para ajudar a se livrar das ameaças antes que afetem seus negócios.

Uma das principais desvantagens do RSA NetWitness é que ele não é o produto mais fácil de usar e configurar. No entanto, há muita documentação abrangente disponível que pode ajudá-lo a configurar e usar o produto. Este é outro produto de nível empresarial e você precisará entrar em contato com o departamento de vendas da RSA para obter informações detalhadas sobre preços.

3. ArcSight Enterprise Security Manager

O ArcSight Enterprise Security Manager ajuda a identificar e priorizar ameaças à segurança, organizar e rastrear atividades de resposta a incidentes e simplificar atividades de auditoria e conformidade. Este é outro produto com uma história um tanto complicada. Anteriormente vendido sob a marca HP , agora se fundiu com a Micro Focus , outra subsidiária da HP .

O ArcSight Enterprise Security Manager é outra ferramenta de SIEM imensamente popular que existe há mais de quinze anos. A ferramenta compila dados de registro de várias fontes e realiza análises de dados extensas, procurando por sinais de atividade maliciosa. E para facilitar a identificação rápida de ameaças, a ferramenta permite que você visualize os resultados da análise em tempo real.

Em termos de recursos, este produto não deixa muito a desejar. Ele possui correlação de dados em tempo real distribuída poderosa, automação de fluxo de trabalho, orquestração de segurança e conteúdo de segurança orientado pela comunidade. O ArcSight Enterprise Security Manager também se integra a outros produtos ArcSight , como ArcSight Data Platform e Event Broker ou ArcSight Investigate . Este é mais um produto de nível empresarial que, como quase todas as ferramentas SIEM de qualidade, exigirá que você entre em contato com a equipe de vendas para obter informações detalhadas sobre preços.

4. Segurança do Splunk Enterprise

Splunk Enterprise Security - ou Splunk ES , como é freqüentemente chamado - é possivelmente um dos sistemas SIEM mais populares e é particularmente famoso por seus recursos analíticos. A ferramenta monitora os dados do seu sistema em tempo real, procurando vulnerabilidades e sinais de atividade anormal.

A resposta de segurança é outro dos pontos fortes do Splunk ES e isso é importante ao lidar com ataques DDoS. O sistema usa o que o Splunk chama de Adaptive Response Framework ( ARF ), que se integra a equipamentos de mais de 55 fornecedores de segurança. O ARF executa uma resposta automatizada, agilizando as tarefas manuais. Isso permitirá que você obtenha vantagem rapidamente. Adicione a isso uma interface de usuário simples e organizada e você terá uma solução vencedora. Outros recursos interessantes incluem a função Notables , que mostra alertas personalizáveis ​​pelo usuário, e o Asset Investigator para sinalizar atividades maliciosas e prevenir problemas futuros.

Splunk ES é um produto de nível empresarial e, como tal, vem com uma etiqueta de preço de tamanho empresarial. Como costuma ser o caso com sistemas de nível empresarial, você não pode obter informações de preços no site da Splunk . Você precisará entrar em contato com o departamento de vendas para obter uma cotação. Mas, apesar do preço, este é um ótimo produto e você pode entrar em contato com a Splunk e aproveitar as vantagens de uma versão gratuita disponível.

5. McAfee Enterprise Security Manager

McAfee é outro nome conhecido no campo da segurança de TI e provavelmente dispensa apresentações. No entanto, é mais conhecido por seus produtos de proteção contra vírus. A McAfee Empresa S egurança M anager não é apenas software. Na verdade, é um dispositivo que você pode obter na forma virtual ou física.

Em termos de suas capacidades de análise, muitos consideram o McAfee Enterprise Security Manager para ser uma das melhores ferramentas SIEM. O sistema coleta registros em uma ampla gama de dispositivos. Quanto às suas capacidades de normalização, também é excelente. O mecanismo de correlação compila facilmente fontes de dados díspares, tornando mais fácil detectar eventos de segurança conforme eles acontecem, um recurso importante ao tentar se proteger contra eventos em tempo real, como ataques DDoS.

No entanto, a solução da McAfee é mais do que apenas seu Enterprise Security Manager . Para obter uma solução SIEM verdadeiramente completa, você também precisa do Enterprise Log Manager e do Event Receiver . A boa notícia é que todos os três produtos podem ser empacotados em um único dispositivo, tornando os processos de aquisição e configuração um pouco mais fáceis. Para aqueles que desejam experimentar o produto antes de comprá-lo, uma versão de teste gratuita está disponível.