DDoS napadi? Upoznajte rešenje

Kako bi se zaštitile od DDoS napada, većina organizacija koristi rešenja temeljena na cloudu ili na tradicionalni odnosno next-generation firewall. Iako su kompanije uglavnom svesne razmera pretnji, većina i dalje “veruje” rešenjima implementiranima pre nekoliko godina. Kako bi se potpuno zaštitile, organizacije trebaju preispitati svoju sigurnosnu strategiju i implementirati rešenje koje automatski blokira DDoS napade i Indicators of Compromise (IOC), istovremeno osiguravajući dostupnost mreže, servera i svih stateful sigurnosnih uređaja.

Današnji napadači konstantno ispituju razinu sigurnosti organizacija i traže put “unutra”. Pritom se isporuka niza manjih napada koje tradicionalna sigurnosna rešenja neće primetiti pokazuje kao najučinkovitiji put za cyber kriminalce. Naime, gotovo 60 posto DDoS (Distributed Denial of Service) temelji se na iscrpljivanju stanja i napadima na aplikacijskom nivou. Tradicionalnim tipovima zaštite protiv volumetrijskih napada nedostaju funkcionalnosti koje mogu sprečiti rušenje vatrozida i servera, odnosno prekid poslovanja.

Moderni napadi uključuju vektore pretnji koje je jako teško uočiti. Uzmimo za primer inside job, prilikom kojeg kompromitirani sistemi traže put do poslužitelja i na “stražnja vrata” izvlače podatke. Zaštita temeljena na cloudu, na kakvu se većina organizacija oslanja, nemoćna je protiv ovakvih tipova izazova. Situacija se dodatno komplicira ako DDoS napadima dodamo phishing i ransomware koji povećavaju učestalost i kompleksnost napada.

Ovakve izazove efikasno rešava NETSCOUT Arbor Edge Defense koji štiti od svih inbound pretnji i blokira outbound komunikaciju koja je inicirana od strane zaraženih uređaja unutar organizacije. Rešenje se istovremeno lako integrira unutar postojećeg sigurnosnog stacka.

Kako Arbor Edge Defense (AED) štiti od DDoS

NETSCOUT Arbor Edge Defense (AED) je vodeće rešenje za prevenciju DDoS napada koje deluje kao prva i zadnja linija odbrane perimetra svake organizacije. AED je pozicioniran on-premise, unutar internetskog routera i izvan vatrozida, zbog čega automatski blokira dolazne DDoS napade. Rešenje ujedno osigurava dostupnost mreže, servera i svih stateful sigurnosnih uređaja. Arbor Edge Defense može zaustaviti napade do 40 Gbps.

Arbor Edge Defense detektira i blokira odlazne Indicators of Compromise (IoC) koje su drugi sigurnosni alati propustili primetiti. Kroz sprečavanje širenja malwarea, AED se pozicionira kao posljednja linija obrane koja može sprečiti isporuku ransomware napada.

AED se bazira na stateless packet processing engine, temeljem čega se blokiraju DDoS napadi, bez praćenja sesije i statusa. Moderna rešenja poput Arbor Edge Defense omogućavaju implementaciju niza zaštitnih funkcionalnosti povezanih sa sličnim tehnologijama, odnosno uspostavljanje  threat intelligence modela.

Današnji napadači često koriste phishing tehnike za dobijanje neautoriziranog pristupa sistemu. AED krajnjim korisnicima omogućava automatsku identifikaciju i blokadu takve komunikacije, nakon čega se pokreće sigurnosna istraga. Takav pristup eliminise sve sumnjive aktivnosti koje bi potencijalno mogle ugroziti celokupnu organizaciju, a korisnik prihvaća samo onu komunikaciju koja je legitimna i od interesa.

Najznačajnije funkcionalnosti AED zaštite su:

• Filtriranje potencijalno malicioznog prometa, odnosno blokada inbound DDoS napada
• Identifikacija sumnjive outbound komunikacije

Uz AED, interni IT timovi imaju bolji uvid u maliciozne aktivnosti i brže prepoznaju potencijalne napadače.

Pogledajte kako Arbor Edge Defense deluje

Osim DDoS, AED sprečava isporuku Ryuk ransomware napada

Ryuk napadi usmereni su na velike Microsoft Windows sustave javnih entiteta i tipično šifriraju podatke na zaraženom sistemu. Ryuk ransomware isporučuje trojanac TrickBot Remote Access, zbog čega organizacije posebnu pozornost treba da posvete IOC-ovima povezanima s Trojan malwareom. U tome im može pomoći AED. 

Uz pomoć ATLAS Intelligence Feed (AIF) ili podacima o pretnjama treće strane, AED može detektovati i blokirati inbound i outbound pretnje ili indikatore pretnji. AIF prepoznaje napade od strane poznatih botnet i malware napada, uključuje geolokacijske podatke te osigurava automatsko i redovne ažuriranje baze pretnji unutar AED sistema (preko sigurne SSL veze). U prvom koraku, Arbor Edge Defense detektira jedinstvenu IP adresu unutar sistema koja aktivno komunicira s destinacijom izvan organizacije. Pritom se omogućava uvid u dodatne informacije (korišceni IP protokoli i portovi, vremena pretnji ili ukupni broj blokiranih bajtova). 

AED može identifikovati pretnju prepoznavanjem komunikacije prema ranije poznatoj TrickBot command and control (C2). Komunikacija se tada automatski blokira. Ako je komunikacija bila „smeštena“ izvan firewalla, možemo pretpostaviti da je drugi implementirani sigurnosni alati nisu uspeli primetiti. Drugim rečima, AED će odigrati ulogu poslednje linije odbrane i sprečiti isporuku Ryuk ransomwarea. 

IT stručnjaci će uz pomoć podataka koje donosi threat intelligence brže povezati inbound maliciozni promet s outbound komunikacijom te doneti odluke koje će sprečiti nepovratne štete za organizaciju. 

AED štiti od DDoS i uklapa se u postojeću sigurnosnu strategiju

AED osigurava zaštitu neposredno izvan perimetra. Krajnji korisnici stiču uvid o blokiranim pretnjama i u mogućnosti su te informacije povezati s postojećom sigurnosnim stackom. U prevodu, IT timovi lakše uočavaju tipove pretnji koje ciljaju njihovu organizaciju i brže prepoznaju potencijalne napadače. Korisnici imaju uvid u sve aktivnosti na nivou uređaja i mogu pratiti potencijalni napad kroz njegov celokupni razvoj. 

Upotreba standarda poput SYSLOG (CEF, LEEF), STIX/TAXII i REST API, zajedno s mogućnošću pružanja više kontekstualnih informacija o blokiranim IoC-ima putem ATLAS Threat Intelligence, omogućuju lako pozicioniranje AED rešenja kao integrirane komponente postojeće sigurnosne strategije.