Что такое DDoS-атаки и как от них защититься

Распределенный отказ в обслуживании (DDoS), к сожалению, более распространен, чем хотелось бы. Вот почему организациям необходимо активно защищаться от них, а также от других угроз. И хотя эти типы атак могут быть опасными и сильно повлиять на ваши системы, их также относительно легко обнаружить.

В этом посте мы рассмотрим способы защиты своих активов от DDoS-атак и рассмотрим некоторые продукты, которые могут вам в этом помочь.

Начнем с описания того, что такое DDoS-атаки. Как вы скоро обнаружите, их принцип действия настолько прост, насколько высок их потенциальное воздействие. Мы также рассмотрим, как эти атаки часто классифицируются и чем на самом деле отличаются различные типы атак. Далее мы обсудим, как защититься от DDoS-атак. Мы увидим, как сети доставки контента могут удерживать злоумышленников подальше от ваших серверов и как балансировщики нагрузки могут обнаруживать атаку и удерживать злоумышленников подальше. Но для тех редких атак, которые действительно достигают ваших серверов, вам нужна локальная защита. Здесь могут помочь системы управления информацией и событиями безопасности (SIEM), поэтому нашей следующей задачей будет обзор некоторых из самых лучших систем SIEM, которые мы смогли найти.

О DDoS

Атака типа «отказ в обслуживании» (DoS) - это злонамеренная попытка повлиять на доступность целевой системы, такой как веб-сайт или приложение, для ее законных конечных пользователей. Как правило, злоумышленники генерируют большие объемы пакетов или запросов, которые в конечном итоге подавляют целевую систему. Распределенная атака типа «отказ в обслуживании» (DDoS) - это особый тип DoS-атаки, при которой злоумышленник использует несколько скомпрометированных или контролируемых источников для создания атаки. DDoS-атаки часто классифицируются в зависимости от того, на какой уровень модели OSI они атакуют, при этом большинство атак происходит на сетевом уровне (уровень 3), транспортном (уровень 4), презентации (уровень 6) и прикладном уровне (уровень 7). ).

Атаки на нижних уровнях (например, 3 и 4) обычно классифицируются как атаки уровня инфраструктуры. На сегодняшний день они являются наиболее распространенным типом DDoS-атак, и они включают такие векторы, как SYN-флуд и другие отражающие атаки, такие как UDP-флуд. Эти атаки обычно имеют большой объем и направлены на перегрузку пропускной способности сети или серверов приложений. Хорошая вещь (насколько хорошо в том, чтобы быть атакованными), является то, что они представляют собой тип атаки, у которого есть четкие сигнатуры, и их легче обнаружить.

Что касается атак на уровнях 6 и 7, они часто классифицируются как атаки уровня приложений. Хотя эти атаки менее часты, они также имеют тенденцию быть более изощренными. Эти ��таки обычно невелики по объему по сравнению с атаками на уровне инфраструктуры, но они, как правило, сосредоточены на определенных дорогостоящих частях приложения. Примеры этих типов атак включают поток HTTP-запросов к странице входа или дорогостоящему поисковому API, или даже поток XML-RPC WordPress, который также известен как pingback-атаки WordPress.

ДОЛЖЕН ПРОЧИТАТЬ: 7 лучших систем предотвращения вторжений (IPS)

Защита от DDoS-атак

Для эффективной защиты от DDoS-атаки время имеет существенное значение. Это тип атаки в реальном времени, поэтому он требует реакции в реальном времени. Или нет? Фактически, один из способов защиты от DDoS-атак - это отправить злоумышленников куда-нибудь, кроме ваших серверов.

Один из способов сделать это - распространить ваш веб-сайт через сеть распространения контента (CDN) определенного типа. Используя CDN, пользователи вашего веб-сайта (как законные, так и потенциальные злоумышленники) никогда не попадают на ваши веб-серверы, кроме серверов CDN, тем самым защищая ваши серверы и гарантируя, что любая DDoS-атака затронет только относительно небольшую подгруппу ваших клиентов.

Еще один способ предотвратить попадание DDoS-атак на ваши серверы - это использование балансировщиков нагрузки. Балансировщики нагрузки - это устройства, которые обычно используются для управления входящими серверными соединениями с несколькими серверами. Основная причина их использования - обеспечение дополнительной емкости. Предположим, что один сервер может обрабатывать до 500 подключений в минуту, но ваш бизнес вырос, и теперь у вас 700 подключений в минуту. Вы можете добавить второй сервер с балансировщиком нагрузки, и входящие соединения будут автоматически сбалансированы между двумя серверами. Но более продвинутые балансировщики нагрузки также имеют функции безопасности.который может, например, распознать симптомы DDoS-атаки и отправить запрос на фиктивный сервер вместо потенциальной перегрузки ваших серверов. Хотя эффективность таких технологий варьируется, они представляют собой хорошую первую линию защиты.

Информация о безопасности и управление событиями спешат на помощь

Системы управления информацией и событиями безопасности (SIEM) - один из лучших способов защиты от DDoS-атак. Их способ работы позволяет обнаруживать практически любой вид подозрительной активности, а их типичные процессы исправления могут помочь остановить атаки прямо на их пути. SIEM часто является последней линией защиты от DDoS-атак. Они будут перехватывать любую атаку, которая действительно доходит до ваших систем, и те, которым удалось обойти другие средства защиты.

Основные элементы SIEM

Мы собираемся более подробно изучить каждый основной компонент SIEM-системы. Не все системы SIEM включают в себя все эти компоненты, и даже если они есть, они могут иметь разные функции. Однако это самые основные компоненты, которые обычно можно найти в той или иной форме в любой SIEM-системе.

Сбор и управление журналами

Сбор журналов и управление ими - основной компонент всех систем SIEM. Без него нет SIEM. Система SIEM должна получать данные журнала из множества различных источников. Он может либо вытащить его, либо различные системы обнаружения и защиты могут подтолкнуть его к SIEM. Поскольку каждая система имеет свой собственный способ категоризации и записи данных, SIEM должен нормализовать данные и сделать их единообразными, независимо от их источника.

После нормализации зарегистрированные данные часто сравниваются с известными шаблонами атак в попытке распознать вредоносное поведение как можно раньше. Данные также часто будут сравниваться с ранее собранными данными, чтобы помочь построить базовый уровень, который еще больше улучшит обнаружение аномальной активности.

ТАКЖЕ ПРОЧИТАЙТЕ: Проверенные и проверенные лучшие службы облачного ведения журнала

Ответ на событие

Как только событие обнаружено, необходимо что-то с этим сделать. Это и есть модуль реагирования на события для системы SIEM. Ответ на событие может принимать разные формы. В самой базовой реализации на системной консоли будет генерироваться предупреждающее сообщение. Часто также могут генерироваться оповещения по электронной почте или SMS.

Но лучшие SIEM-системы идут дальше и часто инициируют некоторый процесс исправления. Опять же, это то, что может принимать разные формы. Лучшие системы имеют полную систему рабочего процесса реагирования на инциденты, которую можно настроить, чтобы обеспечить именно тот ответ, который вам нужен. И, как и следовало ожидать, реакция на инциденты не обязательно должна быть единообразной, и разные события могут запускать разные процессы. Лучшие системы предоставят вам полный контроль над рабочим процессом реагирования на инциденты. Имейте в виду, что при поиске защиты от событий в реальном времени, таких как DDoS-атаки, ответ на события, вероятно, является наиболее важной функцией.

Приборная доска

Когда у вас есть система сбора журналов и управления ими, а также системы реагирования, следующим важным модулем станет панель управления. В конце концов, это будет ваше окно в статусе вашей SIEM-системы и, как следствие, в статусе безопасности вашей сети . Они являются настолько важным компонентом, что многие инструменты предлагают несколько панелей мониторинга. Поскольку у разных людей разные приоритеты и интересы, идеальная панель управления для сетевого администратора будет отличаться от панели администратора безопасности, и руководителю также понадобится совершенно другая панель.

Хотя мы не можем оценить систему SIEM по количеству имеющихся в ней информационных панелей, вам необходимо выбрать ту, которая имеет нужные вам информационные панели. Об этом определенно стоит помнить при оценке поставщиков. Многие из лучших систем позволят вам адаптировать встроенные информационные панели или создавать индивидуальные информационные панели по своему вкусу.

Составление отчетов

Следующим важным элементом SIEM-системы является отчетность. Возможно, вы еще этого не знаете - и они не помогут вам предотвратить или остановить DDoS-атаки, но в конечном итоге вам потребуются отчеты. Высшему руководству необходимо, чтобы они сами убедились, что их вложения в SIEM-систему окупаются. Вам также могут потребоваться отчеты для целей соответствия. Соблюдение таких стандартов, как PCI DSS, HIPAA или SOX, может быть упрощено, если ваша SIEM-система может создавать отчеты о соответствии.

Хотя отчеты не могут быть ядром системы SIEM, они по-прежнему являются важными компонентами. И часто отчетность будет основным отличительным фактором между конкурирующими системами. Отчеты подобны конфетам: их никогда не бывает много. И, конечно же, лучшие системы позволят вам адаптировать существующие отчеты или создавать собственные.

Лучшие инструменты для защиты от DDoS-атак

Несмотря на то, что существуют различные типы инструментов, которые могут помочь в защите от DDoS-атак, ни один из них не обеспечивает такой же уровень прямой защиты, как средства защиты информации и управления событиями. Это то, что все инструменты в нашем списке на самом деле являются инструментами SIEM. Любой из инструментов в нашем списке обеспечит определенную степень защиты от множества различных типов угроз, включая DDoS. Мы перечисляем инструменты в порядке наших личных предпочтений, но, несмотря на их порядок, все шесть являются отличными системами, и мы можем только порекомендовать вам попробовать их самостоятельно и посмотреть, насколько они подходят для вашей среды.

1. Менеджер событий безопасности SolarWinds (БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД)

Возможно, вы слышали о SolarWinds раньше. Это имя известно большинству сетевых администраторов и не без оснований. Флагманский продукт компании, Network Performance Monitor, является одним из лучших доступных инструментов для мониторинга пропускной способности сети. Но это еще не все, компания также известна своими многочисленными бесплатными инструментами, такими как Advanced Subnet Calculator или SFTP-сервер .

В SolarWinds есть инструменты практически для каждой задачи управления сетью, включая SIEM. Хотя SolarWinds Security Event Manager (также называемый SEM ) лучше всего описать как SIEM-систему начального уровня, это, вероятно, одна из самых конкурентоспособных SIEM-систем начального уровня на рынке. В SolarWinds S EM есть все, что можно ожидать от системы SIEM. Он имеет отличные функции управления журналами и корреляции, отличную панель инструментов и впечатляющий механизм отчетности.

• БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД: SolarWinds Security Event Manager
• Официальная ссылка для скачивания: https://www.solarwinds.com/security-event-manager/registration

SolarWinds Менеджер событий безопасности будет предупреждать вас наиболее подозрительное поведение, что позволяет уделять больше времени и ресурсов на других важных проектах. Инструмент имеет сотни встроенных правил корреляции для наблюдения за вашей сетью и сбора данных из различных источников журналов для выявления потенциальных угроз в режиме реального времени. И вы не только получаете готовые правила корреляции, которые помогут вам начать работу, но и нормализация данных журнала позволяет создавать бесконечные комбинации правил. Кроме того, платформа имеет встроенный канал аналитики угроз, который помогает выявлять поведение, исходящее от известных злоумышленников.

Потенциальный ущерб, нанесенный DDoS-атакой, часто определяется тем, насколько быстро вы определяете угрозу и начинаете ее устранять. SolarWinds Менеджер событий безопасности может ускорить свой ответ за счет автоматизации их всякий раз , когда определенные правила корреляции срабатывают. Ответы могут включать блокировку IP-адресов, изменение привилегий, отключение учетных записей, блокировку USB-устройств, удаление приложений и многое другое. Усовершенствованная система реагирования в режиме реального времени будет активно реагировать на каждую угрозу. А поскольку он основан на поведении, а не на сигнатуре, вы защищены от неизвестных или будущих угроз. Сама по себе эта функция делает его отличным инструментом для защиты от DDoS-атак.

SolarWinds Менеджер событий безопасности лицензируется по количеству узлов отправки журнала и событий информации. В этом контексте узел - это любое устройство (сервер, сетевое устройство, настольный компьютер, ноутбук и т. Д.), С которого собираются данные журнала и / или событий. Цена начинается с 4 665 долларов за 30 устройств, включая первый год обслуживания. Другие уровни лицензирования доступны для 2 500 устройств. Если вы хотите опробовать продукт перед его покупкой, доступна для загрузки бесплатная полнофункциональная 30-дневная пробная версия .

2. RSA NetWitness

С 2016 года NetWitness фокусируется на продуктах, поддерживающих «глубокую ситуационную осведомленность в сети в реальном времени и быстрое сетевое реагирование». История компании немного сложная: После того , как приобретена EMC , которая затем слилась с Dell , в Ne Tw itness бизнес теперь часть RSA филиала Dell , которая является хорошей новостью , как RSA имеет солидную репутацию в области ИТ - безопасности.

RSA NetWitness - отличный продукт для организаций, которым требуется комплексное решение для сетевой аналитики. Инструмент включает информацию о вашем бизнесе, которая помогает расставлять приоритеты для предупреждений. Согласно RSA , система « собирает данные по большему количеству точек захвата, вычислительных платформ и источников информации об угрозах, чем другие решения SIEM ». Существует также расширенное обнаружение угроз, которое сочетает в себе поведенческий анализ, методы анализа данных и анализ угроз. И, наконец, расширенная система реагирования может похвастаться возможностями оркестровки и автоматизации, чтобы помочь избавиться от угроз до того, как они повлияют на ваш бизнес.

Одним из основных недостатков RSA NetWitness является то, что это не самый простой в использовании и настройке продукт. Однако существует множество исчерпывающей документации, которая может помочь вам в настройке и использовании продукта. Это еще один продукт корпоративного уровня, и вам необходимо связаться с отделом продаж RSA, чтобы получить подробную информацию о ценах.

3. ArcSight Enterprise Security Manager

ArcSight Enterprise Security Manager помогает выявлять и приоритизировать угрозы безопасности, организовывать и отслеживать действия по реагированию на инциденты, а также упростить аудит и выполнение нормативных требований. Это еще один продукт с несколько запутанной историей. Ранее продававшийся под брендом HP , теперь он объединился с Micro Focus , еще одной дочерней компанией HP .

ArcSight Enterprise Security Manager является еще одним очень популярным инструментом SIEM , который был вокруг в течение более пятнадцати лет. Инструмент собирает данные журналов из различных источников и выполняет обширный анализ данных, выявляя признаки злонамеренной активности. А чтобы упростить быстрое выявление угроз, инструмент позволяет просматривать результаты анализа в режиме реального времени.

По функциональности продукт не оставляет желать лучшего. Он имеет мощную распределенную корреляцию данных в реальном времени, автоматизацию рабочих процессов, оркестровку безопасности и контент безопасности, управляемый сообществом. ArcSight Manager Enterprise Security интегрируется с другими ArcSight продуктов , таких как ArcSight Data Platform и Event Broker или ArcSight расследованию . Это еще один продукт корпоративного уровня, который, как и почти все качественные инструменты SIEM, требует, чтобы вы связались с отделом продаж для получения подробной информации о ценах.

4. Безопасность предприятия Splunk

Splunk Enterprise Security - или , как ее часто называют, Splunk ES - возможно, одна из самых популярных систем SIEM, особенно известная своими аналитическими возможностями. Инструмент отслеживает данные вашей системы в режиме реального времени, выявляя уязвимости и признаки аномальной активности.

Ответные меры безопасности - еще одна сильная сторона Splunk ES, которая важна при борьбе с DDoS-атаками. Система использует то, что Splunk называет Adaptive Response Framework ( ARF ), которая интегрируется с оборудованием от более чем 55 поставщиков средств безопасности. В ARF выполняет автоматизированный ответ, ускоряя вручную задачи. Это позволит вам быстро одержать верх. Добавьте к этому простой и лаконичный пользовательский интерфейс, и вы получите выигрышное решение. Другие интересные функции включают функцию Notables, которая показывает настраиваемые пользователем предупреждения, и Asset Investigator для выявления вредоносных действий и предотвращения дальнейших проблем.

Splunk ES - это продукт корпоративного уровня, поэтому его цена соответствует корпоративному уровню. Как это часто бывает с системами корпоративного уровня, вы не можете получить информацию о ценах на веб-сайте Splunk . Вам нужно будет связаться с отделом продаж, чтобы узнать расценки. Но, несмотря на свою цену, это отличный продукт, и вы можете связаться со Splunk и воспользоваться доступной бесплатной пробной версией.

5. McAfee Enterprise Security Manager.

McAfee - еще одно нарицательное имя в области ИТ-безопасности, и, вероятно, оно не требует представления. Однако он более известен своими продуктами для защиты от вирусов. McAfee Enterprise S ecurity M anager не только программное обеспечение. На самом деле это устройство, которое вы можете получить как в виртуальной, так и в физической форме.

С точки зрения ее аналитических возможностей, многие считают McAfee Enterprise Security Manager , чтобы быть одним из лучших инструментов SIEM. Система собирает журналы с самых разных устройств. Что касается его возможностей нормализации, он также на высшем уровне. Механизм корреляции легко компилирует разрозненные источники данных, облегчая обнаружение событий безопасности по мере их возникновения, что является важной функцией при попытке защиты от событий в реальном времени, таких как DDoS-атаки.

Однако решение McAfee - это не только его Enterprise Security Manager . Чтобы получить действительно полное решение SIEM, вам также понадобятся Enterprise Log Manager и Event Receiver . Хорошей новостью является то, что все три продукта могут быть объединены в одном устройстве, что несколько упрощает процессы приобретения и настройки. Для тех из вас, кто может захотеть опробовать продукт перед его покупкой, доступна бесплатная пробная версия.