DDoS Saldırıları Nelerdir ve Bunlara Karşı Nasıl Korunulur?

Dağıtılmış Hizmet Reddi (DDoS)) saldırıları maalesef istediğimizden daha yaygın. Bu nedenle kuruluşların kendilerine ve diğer tehditlere karşı aktif olarak korunmaları gerekir. Ve bu tür saldırılar kötü olabilir ve sistemleriniz üzerinde büyük bir etkiye sahip olsa da, tespit edilmeleri de nispeten kolaydır.

Bu gönderide, varlıklarınızı DDoS saldırılarına karşı korumanın yollarına göz atacağız ve bu konuda size yardımcı olabilecek bazı ürünleri gözden geçireceğiz.

DDoS saldırılarının ne olduğunu açıklayarak başlayacağız. Keşfetmek üzere olduğunuz gibi, potansiyel etkileri yüksek olduğu kadar, çalışma prensipleri de basittir. Ayrıca bu saldırıların genellikle nasıl sınıflandırıldığını ve çeşitli saldırı türlerinin gerçekte nasıl farklılık gösterdiğini keşfedeceğiz. Ardından, DDoS saldırılarına karşı nasıl korunacağımızı tartışacağız. İçerik dağıtım ağlarının saldırganları sunucularınızdan nasıl uzak tutabileceğini ve yük dengeleyicilerin bir saldırıyı nasıl tespit edip saldırganları nasıl uzaklaştırabileceğini göreceğiz. Ancak sunucularınıza gerçekten ulaşmayı başaran bu nadir saldırılar için biraz yerel korumaya ihtiyacınız var. Güvenlik bilgileri ve olay yönetimi (SIEM) sistemlerinin burada yardımcı olabileceği yer burasıdır , bu nedenle bir sonraki işimiz bulabildiğimiz en iyi SIEM sistemlerinden bazılarını incelemek olacaktır.

DDoS Hakkında

Hizmet Reddi (DoS) saldırısı, web sitesi veya uygulama gibi hedeflenen bir sistemin meşru son kullanıcıları tarafından kullanılabilirliğini etkilemeye yönelik kötü niyetli bir girişimdir. Tipik olarak, saldırganlar büyük hacimli paketler veya istekler üretir ve sonuçta hedef sistemi ezer. Dağıtılmış Hizmet Reddi (DDoS) saldırısı, saldırganın saldırıyı oluşturmak için birden çok güvenliği ihlal edilmiş veya kontrollü kaynak kullandığı belirli bir DoS saldırısı türüdür. DDoS saldırıları genellikle OSI modelinin hangi katmanına saldırdıklarına göre sınıflandırılır, çoğu saldırı ağ katmanında (katman 3), aktarımda (katman 4), sunumda (katman 6) ve Uygulama katmanında (katman 7) gerçekleşir. ).

Alt katmanlardaki saldırılar (3 ve 4 gibi) tipik olarak Altyapı katmanı saldırıları olarak sınıflandırılır. Açık farkla en yaygın DDoS saldırısı türüdür ve SYN taşmaları gibi vektörleri ve UDP taşmaları gibi diğer yansıma saldırılarını içerirler. Bu saldırılar genellikle hacim olarak büyüktür ve ağın veya uygulama sunucularının kapasitesini aşırı yüklemeyi amaçlar. İyi olan şey (her ne kadar saldırı altında olmanın iyi bir yanı olsa da) açık imzaları olan ve tespit edilmesi daha kolay olan bir saldırı türü olmalarıdır.

6. ve 7. katmanlardaki saldırılara gelince, bunlar genellikle Uygulama katmanı saldırıları olarak sınıflandırılır. Bu saldırılar daha az sıklıkta olsa da, daha karmaşık olma eğilimindedirler. Bu saldırılar, Altyapı katmanı saldırılarına kıyasla genellikle küçüktür, ancak uygulamanın belirli pahalı kısımlarına odaklanma eğilimindedirler. Bu tür saldırılara örnek olarak, bir oturum açma sayfasına veya pahalı bir arama API'sine yapılan HTTP istekleri akışı ve hatta WordPress pingback saldırıları olarak da bilinen WordPress XML-RPC taşmaları dahildir.

MUTLAKA OKUYUN: En İyi 7 İzinsiz Giriş Önleme Sistemi (IPS)

DDoS Saldırılarına Karşı Koruma

Bir DDoS saldırısına karşı etkili bir şekilde korunmak için zaman çok önemlidir. Bu, gerçek zamanlı bir saldırı türüdür, bu nedenle gerçek zamanlı bir yanıt gerektirir. Yoksa yapar mı? Aslında, DDoS saldırılarına karşı korunmanın bir yolu, saldırganları sunucularınızdan başka bir yere göndermektir.

Bunu başarmanın bir yolu, web sitenizi bir tür içerik dağıtım ağı (CDN) aracılığıyla dağıtmaktır. Bir CDN kullanarak, web sitenizin kullanıcıları (hem meşru olanlar hem de potansiyel saldırganlar) web sunucularınıza asla değil, CDN'ninkilere çarpar, böylece sunucularınızı korur ve herhangi bir DDoS saldırısının yalnızca müşterilerinizin nispeten küçük bir alt kümesini etkilemesini sağlar.

DDoS saldırılarının sunucularınıza ulaşmasını önlemenin bir başka yolu da yük dengeleyicilerin kullanılmasıdır. Yük dengeleyiciler, genellikle gelen sunucu bağlantılarını birden çok sunucuya yönlendirmek için kullanılan araçlardır. Kullanılmalarının temel nedeni ekstra kapasite sağlamaktır. Tek bir sunucunun dakikada 500 bağlantıya kadar işleyebileceğini, ancak işletmenizin büyüdüğünü ve artık dakikada 700 bağlantınız olduğunu varsayalım. Yük dengeleyicili ikinci bir sunucu ekleyebilirsiniz ve gelen bağlantılar iki sunucu arasında otomatik olarak dengelenir. Ancak daha gelişmiş yük dengeleyicilerin güvenlik özellikleri de vardır.bu, örneğin, bir DDoS saldırısının belirtilerini tanıyabilir ve sunucularınızı potansiyel olarak aşırı yüklemek yerine sahte bir sunucuya istek gönderebilir. Bu tür teknolojilerin verimliliği değişmekle birlikte, iyi bir ilk savunma hattı oluştururlar.

Kurtarmaya Güvenlik Bilgileri ve Olay Yönetimi

Güvenlik Bilgi ve Olay Yönetimi (SIEM) sistemleri, DDoS saldırılarına karşı korunmanın en iyi yollarından biridir. Çalışma biçimleri, hemen hemen her tür şüpheli etkinliği tespit etmelerine olanak tanır ve tipik iyileştirme süreçleri, saldırıların yolda durdurulmasına yardımcı olabilir. SIEM, genellikle DDoS saldırılarına karşı son savunma hattıdır. Diğer koruma araçlarını atlamayı başaran, sistemlerinize gerçekten ulaşan herhangi bir saldırıyı yakalayacaklar.

SIEM'in Ana Unsurları

Bir SIEM sisteminin her bir ana bileşenini daha ayrıntılı olarak keşfetmek üzereyiz. Tüm SIEM sistemleri tüm bu bileşenleri içermez ve içerseler bile farklı işlevlere sahip olabilirler. Bununla birlikte, herhangi bir SIEM sisteminde şu veya bu biçimde tipik olarak bulunabilecek en temel bileşenlerdir.

Günlük Toplama ve Yönetim

Günlük toplama ve yönetimi , tüm SIEM sistemlerinin ana bileşenidir. Onsuz, SIEM yoktur. SIEM sistemi, çeşitli farklı kaynaklardan günlük verileri almak zorundadır. İster çekebilir ister farklı algılama ve koruma sistemleri SIEM'e itebilir. Her sistemin kendi veri sınıflandırma ve kaydetme yöntemi olduğundan, kaynağı ne olursa olsun verileri normalleştirmek ve tek tip hale getirmek SIEM'e kalmıştır.

Normalleştirmeden sonra, günlüğe kaydedilen veriler, kötü niyetli davranışları mümkün olduğunca erken tanımak amacıyla genellikle bilinen saldırı kalıplarıyla karşılaştırılır. Veriler ayrıca anormal aktivite tespitini daha da geliştirecek bir temel oluşturmaya yardımcı olmak için daha önce toplanan verilerle karşılaştırılacaktır.

AYRICA OKUYUN: En İyi Bulut Günlüğü Hizmetleri Test Edildi ve İncelendi

Olay Yanıtı

Bir olay tespit edildiğinde, onunla ilgili bir şeyler yapılmalıdır. SIEM sisteminin olay yanıt modülünün amacı budur. Olay yanıtı farklı biçimler alabilir. En temel uygulamasında, sistem konsolunda bir uyarı mesajı oluşturulacaktır. Genellikle e-posta veya SMS uyarıları da oluşturulabilir.

Ancak en iyi SIEM sistemleri bir adım daha ileri gider ve genellikle bazı iyileştirme sürecini başlatır. Yine, bu birçok biçim alabilen bir şeydir. En iyi sistemler, tam olarak istediğiniz yanıtı sağlamak için özelleştirilebilen eksiksiz bir olay yanıt iş akışı sistemine sahiptir. Ve beklendiği gibi, olay yanıtı tek tip olmak zorunda değildir ve farklı olaylar farklı süreçleri tetikleyebilir. En iyi sistemler, olay müdahale iş akışı üzerinde size tam kontrol sağlayacaktır. DDoS saldırıları gibi gerçek zamanlı olaylara karşı koruma ararken, olay yanıtının muhtemelen en önemli özellik olduğunu unutmayın.

Gösterge Paneli

Günlük toplama ve yönetim sistemine ve yanıt sistemlerine sahip olduğunuzda, bir sonraki önemli modül gösterge panosudur. Sonuçta, SIEM sisteminizin durumuna ve buna bağlı olarak ağınızın güvenlik durumuna ilişkin pencereniz olacaktır . Bunlar çok önemli bir bileşendir, birçok araç birden fazla gösterge tablosu sunar. Farklı kişilerin farklı öncelikleri ve ilgi alanları olduğundan, bir ağ yöneticisi için mükemmel gösterge panosu, bir güvenlik yöneticisininkinden farklı olacaktır ve bir yöneticinin de tamamen farklı bir gösterge panosuna ihtiyacı olacaktır.

Bir SIEM sistemini sahip olduğu pano sayısına göre değerlendiremesek de, ihtiyacınız olan pano(lar)a sahip olanı seçmeniz gerekir. Bu, satıcıları değerlendirirken kesinlikle aklınızda bulundurmak isteyeceğiniz bir şeydir. En iyi sistemlerin çoğu, yerleşik panoları uyarlamanıza veya beğeninize göre özelleştirilmiş panolar oluşturmanıza izin verecektir.

Raporlama

Bir SIEM sisteminin bir sonraki önemli unsuru raporlamadır. Henüz bilmiyor olabilirsiniz ve DDoS saldırılarını önlemenize veya durdurmanıza yardımcı olmazlar, ancak sonunda raporlara ihtiyacınız olacak. Üst yönetimin, bir SIEM sistemine yaptıkları yatırımın meyvesini verdiğini kendileri görmelerine ihtiyacı olacaktır. Ayrıca uygunluk amacıyla raporlara ihtiyacınız olabilir. SIEM sisteminiz uygunluk raporları üretebildiğinde, PCI DSS, HIPAA veya SOX gibi standartlarla uyumluluk kolaylaşabilir.

Raporlar bir SIEM sisteminin merkezinde olmasa da, yine de temel bileşenlerdir. Ve çoğu zaman, raporlama, rakip sistemler arasında önemli bir farklılaştırıcı faktör olacaktır. Raporlar şeker gibidir, asla çok fazla alamazsınız. Ve elbette en iyi sistemler, mevcut raporları uyarlamanıza veya özel raporlar oluşturmanıza izin verecektir.

DDoS Saldırılarından Korunmak İçin En İyi Araçlar

DDoS saldırılarına karşı korunmaya yardımcı olabilecek çeşitli araç türleri olmasına rağmen, hiçbiri güvenlik bilgileri ve olay yönetimi araçlarıyla aynı düzeyde doğrudan koruma sağlamaz. İşte listemizdeki tüm araçlar aslında SIEM araçlarıdır. Listemizdeki araçlardan herhangi biri, DDoS dahil olmak üzere birçok farklı türde tehdide karşı bir dereceye kadar koruma sağlayacaktır. Araçları kişisel tercihimize göre sıralıyoruz, ancak sıralarına rağmen altısı da mükemmel sistemlerdir ve bunları yalnızca kendiniz denemenizi ve ortamınıza nasıl uyduklarını görmenizi önerebiliriz.

1. SolarWinds Güvenlik Olay Yöneticisi (ÜCRETSİZ DENEME)

SolarWinds'i daha önce duymuş olabilirsiniz . Ad, çoğu ağ yöneticisi tarafından ve nedeni ile bilinir. Şirketin amiral gemisi ürünü olan Network Performance Monitor , mevcut en iyi ağ bant genişliği izleme araçlarından biridir. Ancak hepsi bu kadar değil, şirket ayrıca Gelişmiş Alt Ağ Hesaplayıcısı veya SFTP sunucusu gibi sayısız ücretsiz aracıyla da ünlüdür .

SolarWinds , hemen hemen her ağ yönetimi görevi için araçlara sahiptir ve buna SIEM dahildir. Her ne kadar SolarWinds Güvenlik Etkinlik Yöneticisi (diğer adıyla SEM ) iyi bir giriş seviyesi SIEM sistemi olarak tarif edilir, bu piyasadaki en rekabetçi giriş seviyesi SIEM sistemlerinin muhtemel biridir. SolarWinds S EM Bir SIEM sisteminden beklediği her şeyi vardır. Mükemmel günlük yönetimi ve korelasyon özelliklerine, harika bir gösterge panosuna ve etkileyici bir raporlama motoruna sahiptir.

• ÜCRETSİZ DENEME: SolarWinds Güvenlik Olay Yöneticisi
• Resmi İndirme Bağlantısı: https://www.solarwinds.com/security-event-manager/registration

SolarWinds Güvenlik Etkinlik Yöneticisi diğer kritik projeler üzerinde daha fazla zaman ve kaynak odaklanmasını sağlayan en şüpheli davranışlara sizi uyaracaktır. Araç, potansiyel tehditleri gerçek zamanlı olarak belirlemek için ağınızı izlemek ve çeşitli günlük kaynaklarından gelen verileri bir araya getirmek için yüzlerce yerleşik korelasyon kuralına sahiptir. Ve başlamanıza yardımcı olmak için yalnızca kullanıma hazır korelasyon kuralları almakla kalmaz, günlük verilerinin normalleştirilmesi, sonsuz sayıda kural kombinasyonunun oluşturulmasına olanak tanır. Ayrıca, platform, bilinen kötü aktörlerden kaynaklanan davranışları belirlemeye çalışan yerleşik bir tehdit istihbarat beslemesine sahiptir.

Bir DDoS saldırısının neden olduğu potansiyel hasar, genellikle tehdidi ne kadar hızlı tanımladığınız ve onu ele almaya başladığınız tarafından belirlenir. SolarWinds Güvenlik Etkinlik Yöneticisi belli korelasyon kuralları tetiklenir zaman onları otomatik ederek tepkisini hızlandırmak olabilir. Yanıtlar, IP adreslerinin engellenmesini, ayrıcalıkların değiştirilmesini, hesapların devre dışı bırakılmasını, USB aygıtlarının engellenmesini, uygulamaların kapatılmasını ve daha fazlasını içerebilir. Aracın gelişmiş, gerçek zamanlı yanıt sistemi, her tehdide aktif olarak tepki verir. Ve imza yerine davranışa dayalı olduğundan, bilinmeyen veya gelecekteki tehditlere karşı korunursunuz. Bu özellik tek başına onu DDoS koruması için harika bir araç yapar.

SolarWinds Güvenlik Etkinlik Yöneticisi günlüğü ve etkinlik bilgileri gönderme düğüm sayısına göre lisanslıdır. Bu bağlamda düğüm, günlük ve/veya olay verilerinin toplandığı herhangi bir cihazdır (sunucu, ağ cihazı, masaüstü, dizüstü bilgisayar vb.). 30 cihaz için fiyatlandırma, ilk bakım yılı da dahil olmak üzere 4 665 dolardan başlar. 2.500 cihaza kadar başka lisanslama katmanları mevcuttur. Ürünü satın almadan önce denemek isterseniz, ücretsiz, tam işlevli 30 günlük deneme sürümü indirilebilir.

2. RSA Net Tanığı

NetWitness , 2016'dan beri "derin, gerçek zamanlı ağ durumsal farkındalığı ve çevik ağ yanıtını" destekleyen ürünlere odaklandı. Şirketin geçmişi biraz karmaşık: tarafından alınıyorsa sonra EMC sonra birleşti Dell , Ne TW itness iş artık bir parçası olan RSA dalı Dell gibi büyük haber, RSA BT güvenliğinde sağlam bir üne sahiptir.

RSA NetWitness , eksiksiz bir ağ analizi çözümü arayan kuruluşlar için harika bir üründür. Araç, işletmeniz hakkında uyarılara öncelik verilmesine yardımcı olan bilgileri içerir. RSA'ya göre , sistem " diğer SIEM çözümlerinden daha fazla yakalama noktası, bilgi işlem platformu ve tehdit istihbarat kaynağı üzerinden veri toplar ". Ayrıca davranış analizi, veri bilimi teknikleri ve tehdit istihbaratını birleştiren gelişmiş tehdit algılama özelliği de vardır. Son olarak, gelişmiş yanıt sistemi, tehditlerden işinizi etkilemeden önce kurtulmanıza yardımcı olacak düzenleme ve otomasyon özelliklerine sahiptir.

RSA NetWitness'ın ana dezavantajlarından biri, kullanımı ve yapılandırılması en kolay ürün olmamasıdır. Bununla birlikte, ürünü kurmanıza ve kullanmanıza yardımcı olabilecek çok sayıda kapsamlı belge mevcuttur. Bu, kurumsal düzeyde başka bir üründür ve ayrıntılı fiyatlandırma bilgisi almak için RSA satışlarıyla iletişime geçmeniz gerekir .

3. ArcSight Kurumsal Güvenlik Yöneticisi

ArcSight Enterprise Security Manager , güvenlik tehditlerini belirlemeye ve önceliklendirmeye, olay müdahale faaliyetlerini organize etmeye ve takip etmeye ve denetim ve uyumluluk faaliyetlerini basitleştirmeye yardımcı olur. Bu, biraz dolambaçlı bir geçmişe sahip başka bir üründür. Daha önce HP markası altında satılan ürün, şimdi bir başka HP yan kuruluşu olan Micro Focus ile birleşti .

ArcSight Enterprise Security Yöneticisi onbeş yılı aşkın civarında olmuştur başka son derece popüler SIEM aracıdır. Araç, çeşitli kaynaklardan günlük verilerini derler ve kapsamlı veri analizi yaparak kötü amaçlı etkinlik belirtileri arar. Araç, tehditleri hızlı bir şekilde tanımlamayı kolaylaştırmak için analiz sonuçlarını gerçek zamanlı olarak görüntülemenize olanak tanır.

Özellik açısından bu ürün arzulanan pek bir şey bırakmıyor. Güçlü dağıtılmış gerçek zamanlı veri korelasyonuna, iş akışı otomasyonuna, güvenlik düzenlemesine ve topluluk odaklı güvenlik içeriğine sahiptir. ArcSight Enterprise Security Yöneticisi aynı zamanda diğer ile entegre ArcSight gibi ürünlerin ArcSight Veri Platformu ve Etkinlik Broker veya ArcSight araştır . Bu, hemen hemen tüm kaliteli SIEM araçları gibi, ayrıntılı fiyat bilgisi almak için satış ekibiyle iletişime geçmenizi gerektirecek başka bir kurumsal sınıf üründür.

4. Splunk Kurumsal Güvenlik

Splunk Enterprise Security veya Splunk ES , muhtemelen en popüler SIEM sistemlerinden biridir ve özellikle analitik yetenekleriyle ünlüdür. Araç, sisteminizin verilerini gerçek zamanlı olarak izleyerek güvenlik açıklarını ve anormal etkinlik belirtilerini arar.

Güvenlik yanıtı, Splunk ES'nin güçlü takımlarından bir diğeridir ve bu, DDoS saldırılarıyla uğraşırken önemlidir. Sistem, Splunk'ın 55'ten fazla güvenlik sağlayıcısının ekipmanıyla entegre olan Uyarlamalı Yanıt Çerçevesi ( ARF ) olarak adlandırdığı şeyi kullanır . ARF gerçekleştirdiği manuel görevleri hızlandırmak, tepkisini otomatik. Bu, hızlı bir şekilde üstünlük kazanmanızı sağlayacaktır. Buna basit ve düzenli bir kullanıcı arayüzü ekleyin ve kazanan bir çözümünüz var. Diğer ilginç özellikler arasında , kullanıcı tarafından özelleştirilebilen uyarıları gösteren Notlar işlevi ve kötü amaçlı etkinlikleri işaretlemek ve başka sorunları önlemek için Varlık Araştırmacısı bulunur .

Splunk ES , kurumsal düzeyde bir üründür ve bu nedenle kurumsal boyutta bir fiyat etiketi ile birlikte gelir. Kurumsal düzeydeki sistemlerde sıklıkla olduğu gibi, Splunk'ın web sitesinden fiyat bilgisi alamazsınız . Bir teklif almak için satış departmanıyla iletişime geçmeniz gerekir. Ancak fiyatına rağmen bu harika bir ürün ve Splunk ile iletişime geçip mevcut ücretsiz denemeden yararlanmak isteyebilirsiniz .

5. McAfee Kurumsal Güvenlik Yöneticisi

McAfee, BT güvenliği alanındaki bir başka isimdir ve muhtemelen tanıtım gerektirmez. Ancak daha çok virüs koruma ürünleriyle tanınır. McAfee Kurumsal S ecurity M anager sadece yazılım değil. Aslında hem sanal hem de fiziksel olarak alabileceğiniz bir cihazdır.

Onun analitik yetenekleri açısından, birçok düşünün McAfee Enterprise Security Yöneticisi olmak iyi SIEM araçlardan biri. Sistem, çok çeşitli cihazlarda günlükleri toplar. Normalleştirme yeteneklerine gelince, aynı zamanda birinci sınıftır. Korelasyon motoru, farklı veri kaynaklarını kolayca derleyerek güvenlik olaylarını meydana gelirken algılamayı kolaylaştırır; bu, DDoS saldırıları gibi gerçek zamanlı olaylara karşı korunmaya çalışırken önemli bir özelliktir.

Ancak McAfee çözümünde Enterprise Security Manager'dan daha fazlası vardır . Gerçekten eksiksiz bir SIEM çözümü elde etmek için Enterprise Log Manager ve Event Receiver'a da ihtiyacınız var . İyi haber şu ki, üç ürün de tek bir cihazda paketlenebilir, bu da satın alma ve kurulum işlemlerini biraz daha kolaylaştırır. Ürünü satın almadan önce denemek isteyenler için ücretsiz deneme sürümü mevcuttur.