Prva in zadnja obrambna linija pred DDoS napadi

Za zaščito pred napadi DDoS večina organizacij uporablja rešitve, ki temeljijo na tradicionalnem požarnem zidu ali požarnem zidu naslednje generacije. Čeprav se podjetja v veliki meri zavedajo razsežnosti groženj, jih večina še vedno »zaupa« rešitvam, ki so bile implementirane pred nekaj leti. Da bi se v celoti zaščitile, morajo organizacije ponovno premisliti svojo varnostno strategijo in implementirati rešitev, ki samodejno blokira napade DDoS in ndicators of Compromise  (IOC), hkrati pa zagotavlja razpoložljivost omrežij, strežnikov in vseh najsodobnejših varnostnih naprav.

Današnji napadalci nenehno preučujejo raven varnosti organizacij in iščejo pot »noter«. Pri tem se izkaže, da je izvajanje vrste manjših napadov, ki jih tradicionalne varnostne rešitve ne bodo opazile, najučinkovitejši način za kibernetske kriminalce. Skoraj 60 odstotkov DDoS (Distributed Denial of Service) namreč temelji na izčrpanju in napadih na ravni aplikacije. Tradicionalne vrste zaščite pred volumetričnimi napadi nimajo funkcij, ki bi lahko preprečile propad požarnih zidov in strežnikov ali prekinitev poslovanja.

Sodobni napadi vključujejo vektorje groženj, ki jih je zelo težko opaziti. Vzemimo za primer inside job, pri katerem ogroženi sistemi iščejo pot do strežnika in izvlečejo podatke na “zadnja vrata”. Zaščita v oblaku, na katero se zanaša večina organizacij, je pred tovrstnimi izzivi nemočna. Situacija se še dodatno zaplete, če napadom DDoS dodamo še phishing in ransomware, ki poveča pogostost in kompleksnost napadov..

Te izzive učinkovito obravnava NETSCOUT Arbor Edge Defense, ki ščiti pred vsemi vhodnimi grožnjami in blokira odhodno komunikacijo, ki jo sprožijo okužene naprave v organizaciji. Hkrati je rešitev enostavno integrirana v obstoječo varnostno točko.

Kako lahko pomaga Arbor Edge Defense (AED)? 

NETSCOUT Arbor Edge Defense (AED) je vodilna rešitev za preprečevanje napadov DDoS, ki deluje kot prva in zadnja obrambna linija katere koli organizacije. AED je nameščen on-prem, znotraj internetnega usmerjevalnika in zunaj požarnega zidu, ki samodejno blokira dohodne napade DDoS. Rešitev zagotavlja tudi razpoložljivost omrežja, strežnikov in vseh stateful  varnostnih. Arbor Edge Defense lahko ustavi DDoS napade do 40 Gbps.

Arbor Edge Defense zazna in blokira odhodne indikatorje ogroženosti (IoC), ki jih druga varnostna orodja niso opazila. S preprečevanjem širjenja zlonamerne programske opreme je AED postavljen kot zadnja obrambna linija, ki lahko prepreči izvajanje napadov na programsko opremo.

AED temelji na stateless packet processing engine,  ki blokira napade DDoS, ne da bi spremljal sejo in njeno stanje. Sodobne rešitve, kot je Arbor Edge Defense, omogočajo implementacijo številnih zaščitnih funkcionalnosti, povezanih s podobnimi tehnologijami, tj. threat intelligence modela.

Današnji napadalci pogosto uporabljajo tehnike lažnega predstavljanja, da pridobijo nepooblaščen dostop do sistema. AED omogoča končnim uporabnikom, da samodejno prepoznajo in blokirajo takšno komunikacijo, nato pa se začne varnostna preiskava. Takšen pristop odpravlja vse sumljive aktivnosti, ki bi lahko ogrozile celotno organizacijo, uporabnik pa sprejema le tisto komunikacijo, ki je legitimna in zanimiva.

Najpomembnejše funkcije zaščite AED so:

Filtriranje potencialno zlonamernega prometa, tj. blokiranje vhodnih DDoS napadov

Prepoznavanje sumljive izhodne outbound komunikacije

Z AED imajo interne IT ekipe boljši vpogled v zlonamerne dejavnosti in hitreje prepoznajo morebitne napadalce.

Kako AED prepreči napade Ryuk ransomware ? 

Ryuk napadi ciljajo na velike sisteme Microsoft Windows javnih subjektov in običajno šifrirajo podatke v okuženem sistemu. Ryuk ransomware ponuja trojanca TrickBot Remote Access, zato morajo organizacije posvetiti posebno pozornost IOC-jem, povezanim s trojansko zlonamerno programsko opremo. Pri tem jim lahko pomaga AED. 

S pomočjo ATLAS Intelligence Feed (AIF) ali podatkov o grožnjah tretjih oseb lahko AED zaznajo in blokirajo dohodne in odhodne grožnje ali indikatorje groženj. AIF zazna napade z znanimi napadi zlonamerne programske opreme, vključuje geolokacijske podatke in zagotavlja samodejne in redne posodobitve baze podatkov o grožnjah v sistemu AED (prek varne povezave SSL). V prvem koraku Arbor Edge Defense zazna edinstven naslov IP znotraj sistema, ki aktivno komunicira s ciljem zunaj organizacije. To omogoča vpogled v dodatne informacije (uporabljeni protokoli IP in vrata, časi groženj ali skupno število blokiranih bajtov). 

AED lahko prepozna grožnjo tako, da prepozna komunikacijo v skladu z že znanim ukazom in nadzorom TrickBot command and control  (C2). Komunikacija se nato samodejno blokira. Če je bila komunikacija “locirana” zunaj požarnega zidu, lahko domnevamo, da je druga implementirana varnostna orodja niso opazila. Z drugimi besedami, AED bo igral vlogo zadnje obrambne črte in preprečil dostavo Ryuk ransomwarea 

Strokovnjaki za IT bodo s pomočjo podatkov, ki jih zagotavlja threat intelligence , hitreje povezovali inbound  zlonamerni promet z outbound  komunikacijo in sprejemali odločitve, ki bodo preprečile nepopravljivo škodo organizaciji. 

Kako se AED ujema z obstoječo varnostno strategijo?

AED nudi zaščito tik zunaj obseg. Končni uporabniki dobijo vpogled v blokirane grožnje in lahko te informacije povežejo z obstoječim varnostnim skladom. V prevodu IT ekipe lažje odkrijejo vrste groženj, ki ciljajo na njihovo organizacijo, in hitreje prepoznajo morebitne napadalce. Uporabniki imajo vpogled v vse dejavnosti na ravni naprave in lahko spremljajo morebitni napad v celotnem njegovem razvoju.

Uporaba standardov, kot so SYSLOG (CEF, LEEF), STIX / TAXII in REST API, skupaj z možnostjo zagotavljanja več kontekstualnih informacij o blokiranih IoC prek ATLAS Threat Intelligence, omogoča enostavno pozicioniranje rešitev AED kot integriranih komponent obstoječe varnostne strategije.