DDoS napadi – Kako se efikasno obraniti?

Kako bi se zaštitile od DDoS napada, većina organizacija koristi rješenja temeljena na cloudu ili tradicionalni odnosno next-generation firewall. Iako su tvrtke uglavnom svjesne razmjera prijetnji, većina ih i dalje “vjeruje” rješenjima implementiranima prije nekoliko godina. Kako bi se potpuno zaštitile, organizacije trebaju preispitati svoju sigurnosnu strategiju i implementirati rješenje koje automatski blokira DDoS napade i Indicators of Compromise (IOC), istovremeno osiguravajući dostupnost mreže, servera i svih stateful sigurnosnih uređaja. Takvo rješenje je predstavio Netscout. 

Današnji napadači konstantno ispituju razinu sigurnosti organizacija i traže put “unutra”. Pritom se isporuka niza manjih napada koje tradicionalna sigurnosna rješenja neće primijetiti pokazuje kao najučinkovitiji put za cyber kriminalce. Naime, gotovo 60 posto DDoS napada (Distributed Denial of Service) temelji se na iscrpljivanju stanja i napadima na aplikacijskom nivou. Tradicionalnim tipovima zaštite protiv volumetrijskih napada nedostaju funkcionalnosti koje mogu spriječiti rušenje vatrozida i servera, odnosno prekid poslovanja. Dopustite nam da objasnimo kako Netscout AED otklanja probleme tradicionalnih rješenja.

Moderni napadi uključuju vektore prijetnji koje je jako teško uočiti. Uzmimo za primjer inside job, prilikom kojeg kompromitirani sustavi traže put do poslužitelja i na “stražnja vrata” izvlače podatke. Zaštita temeljena na cloudu, na kakvu se većina organizacija oslanja, nemoćna je protiv ovakvih tipova izazova. Situacija se dodatno komplicira ako DDoS napadima dodamo phishing i ransomware koji povećavaju učestalost i kompleksnost napada.

Ovakve izazove efikasno rješava NETSCOUT Arbor Edge Defense koji štiti od svih inbound prijetnji i blokira outbound komunikaciju koja je inicirana od strane zaraženih uređaja unutar organizacije. Rješenje se istovremeno lako integrira unutar postojećeg sigurnosnog stacka. 

Kako Arbor Edge Defense (AED) štiti od DDoS?

NETSCOUT Arbor Edge Defense (AED) je vodeće rješenje za prevenciju DDoS napada koje djeluje kao prva i zadnja linija obrane perimetra svake organizacije. AED je pozicioniran on-premise, unutar internetskog routera i izvan vatrozida, zbog čega automatski blokira dolazne DDoS napade. Rješenje ujedno osigurava dostupnost mreže, servera i svih stateful sigurnosnih uređaja. Arbor Edge Defense može zaustaviti DDoS napade do 40 Gbps.

Arbor Edge Defense detektira i blokira odlazne Indicators of Compromise (IoC) koje su drugi sigurnosni alati propustili primijetiti. Kroz sprječavanje širenja malwarea, AED se pozicionira kao posljednja linija obrane koja može spriječiti isporuku ransomware napada.

AED se bazira na stateless packet processing engine, temeljem čega se blokiraju napadi, bez praćenja sesije i njezinog statusa. Moderna rješenja poput Arbor Edge Defense omogućuju implementaciju niza zaštitnih funkcionalnosti povezanih sa sličnim tehnologijama, odnosno uspostavu threat intelligence modela.

Današnji napadači često koriste phishing tehnike za dobivanje neautoriziranog pristupa sustavu. AED krajnjim korisnicima omogućuje automatsku identifikaciju i blokadu takve komunikacije, nakon čega se pokreće sigurnosna istraga. Takav pristup eliminira sve sumnjive aktivnosti koje bi potencijalno mogle ugroziti cjelokupnu organizaciju, a korisnik prihvaća samo onu komunikaciju koja je legitimna i od interesa.

Najznačajnije funkcionalnosti AED zaštite su:

  • Filtriranje potencijalno malicioznog prometa, odnosno blokada DDoS inbound napada
  • Identifikacija sumnjive outbound komunikacije

Uz AED, interni IT timovi imaju bolji uvid u maliciozne aktivnosti i brže prepoznaju potencijalne napadače.

Pogledajte kako Arbor Edge Defense djeluje

AED sprječava isporuku DDoS napada i Ryuk ransomware

Osim DDoS napada, Netscout AED blokira i ransomware.

Ryuk napadi usmjereni su na velike Microsoft Windows sustave javnih entiteta i tipično šifriraju podatke na zaraženom sustavu. Ryuk ransomware isporučuje trojanac TrickBot Remote Access, zbog čega organizacije posebnu pozornost trebaju posvetiti IOC-ovima povezanima s Trojan malwareom. U tome im može pomoći AED.

Uz pomoć ATLAS Intelligence Feed (AIF) ili podacima o prijetnjama treće strane,  Netscout AED može detektirati i blokirati inbound i outbound DDoS prijetnje ili indikatore prijetnji. AIF prepoznaje napade od strane poznatih botnet i malware napada, uključuje geolokacijske podatke te osigurava automatsko i redovito ažuriranje baze prijetnji unutar AED sustava (preko sigurne SSL veze). U prvom koraku, Netscout Arbor Edge Defense detektira jedinstvenu IP adresu unutar sustava koja aktivno komunicira s destinacijom izvan organizacije. Pritom se omogućava uvid u dodatne informacije (korišteni IP protokoli i portovi, vremena prijetnji ili ukupni broj blokiranih bajtova).

AED može identificirati prijetnju prepoznavanjem komunikacije prema ranije poznatoj TrickBot command and control (C2). Komunikacija se tada automatski blokira. Ako je komunikacija bila „smještena“ izvan firewalla, možemo pretpostaviti da ju drugi implementirani sigurnosni alati nisu uspjeli primijetiti.

Drugim riječima, AED će odigrati ulogu posljednje linije obrane od DDoS napada i spriječiti isporuku Ryuk ransomwarea.

IT stručnjaci će uz pomoć podataka koje donosi threat intelligence brže povezati inbound maliciozni promet s outbound komunikacijom te donijeti odluke koje će spriječiti nepovratne štete za organizaciju.

Netscout
Netscout AED će odigrati ulogu posljednje linije obrane od DDoS napada

Uvid o blokiranim prijetnjama i DDoS napadima

Netscout AED osigurava zaštitu neposredno izvan perimetra. Krajnji korisnici stječu uvid o blokiranim prijetnjama i u mogućnosti su te informacije povezati s postojećom sigurnosnim stackom. U prijevodu, IT timovi lakše uočavaju tipove prijetnji koje ciljaju njihovu organizaciju i brže prepoznaju potencijalne napadače. Korisnici imaju uvid u sve aktivnosti na nivou uređaja i mogu pratiti potencijalni napad kroz njegov cjelokupni razvoj.

Upotreba standarda poput SYSLOG (CEF, LEEF), STIX/TAXII i REST API, zajedno s mogućnošću pružanja više kontekstualnih informacija o blokiranim IoC-ima putem ATLAS Threat Intelligence, omogućuju lako pozicioniranje AED rješenja kao integrirane komponente postojeće sigurnosne strategije.