Hızlandırılmış dijital dönüşüm çağında, kuruluşlar İnternet üzerinden sorunsuz ve tutarlı bir şekilde mal ve hizmetler sunmak için giderek daha karmaşık uygulama ve hizmet dağıtım zincirlerine güvenmeye başladılar. Buna karşılık, iş ortaklarından ve tedarikçilerden de benzer düzeyde hizmet ve tutarlılık beklerler ve hepsi de İnternet hızı ve ölçeğindedir.
Bu nedenle, bilgi güvenliğinin üç unsurundan – gizlilik, bütünlük ve erişilebilirlik – kuruluşun iş yapma ve hedeflerine ulaşma yeteneğinin ön saflarında yer alan kullanılabilirliktir. Uzaktan çalışma ve eğitime artan güven, yalnızca tüm katkı seviyelerinde tüm dikeylerde erişilebilirliğin kritikliğini artırmaya hizmet etti.
Operasyonel modellerdeki bu toptan değişimin bir sonucu olarak, artık tehdit aktörlerinin yalnızca bir kuruluşun halka açık uygulamalarını ve hizmetlerini – hem gelir hem de marka itibarı açısından yeterince kötü – bozması değil, aynı zamanda olumsuz etkilemesi de artık mümkün. ön saflardaki çalışanların sorumluluklarını yerine getirme yeteneği. Dağıtılmış hizmet reddi (DDoS) saldırılarının amacı budur.
DDoS Saldırıları Arttıkça Savunmaları Ölçeklendirme
Tehdit aktörleri, gasp, iş rakiplerinden sözleşmeli saldırılar, ideolojik motivasyonlar, çevrimiçi oyunla ilgili anlaşmazlıklar ve hatta basit nihilizm dahil olmak üzere çeşitli nedenlerle DDoS saldırıları başlatır. Ve bir kuruluşun tedarik zinciri ortaklarına veya harici hizmet satıcılarına yönelik DDoS saldırıları, kuruluşun organik varlıklarına yönelik doğrudan bir saldırı kadar yıkıcı olabilir. bu 2021’de gözlemlenen rekor sayıda DDoS saldırısı saldırı öncesi keşifte önemli artışlar, birden fazla yeni DDoS vektörünün tanıtılması ve birden çok dikeyde hedeflenen çok vektörlü DDoS saldırılarında benzeri görülmemiş bir büyüme sergiledi.
Saldırı hacmi (saniyedeki bit sayısı veya bps), aktarım hızı (saniyedeki paket sayısı veya pps) ve uygulama katmanı yükü (saniyedeki işlem sayısı) gibi ölçümler [tps] veya saniyedeki sorgu sayısı [qps]) saldırı dinamiklerini anlamak ve DDoS savunmalarını ölçeklendirmek için gereklidir, DDoS saldırılarının hem kapasiteye hem de duruma yönelik saldırılar olduğunu anlamak önemlidir.
Ağ oluşturma bağlamında, durumu koruma, belirli bir ağ iletişim oturumunun mevcut durumunu veya durumunu izlemek anlamına gelir. Uygulamalar ve hizmetler açısından, bunu ayrı işlemler veya süreçler için yapmak anlamına gelir. Durum bilgisi bazı özel durumlarda ve kısa zaman dilimlerinde istenebilirken, aşırı durum örneklemeleri ağları, uygulamaları ve yardımcı altyapıyı ölçeklendirme yeteneği üzerinde önemli kısıtlamalar getirir ve böylece tüm hizmet dağıtım zincirinin DDoS’a dayanma yeteneğini etkiler. saldırılar.
DDoS Saldırıları Durum Bilgili Güvenlik Duvarlarını, IPS’leri ve Yük Dengeleyicileri Nasıl Aşar?
Web uygulaması güvenlik duvarlarını (WAF’ler) kapsayan bir kategori olan durum bilgisi olan bir güvenlik duvarının kurumsal bir ağa yerleştirilmesi, giden kullanıcı tarafından başlatılan ağ istekleriyle doğrudan ilgili olmayan tüm gelen ağ trafiğini keserek güvenliği artırır. Ancak, bu sunuculara ve hizmetlere gelen paketler istenmediğinden, halka açık Web sunucularının, yetkili DNS sunucularının, uygulama sunucularının ve benzerlerinin güvenliğini sağlamaya yardımcı olmaz.
Ayrıca, düşük hacimli DDoS saldırıları, en yüksek kapasiteli durum bilgisi olan güvenlik duvarlarını bile bunaltabilir. Bunun nedeni, gelen tüm İnternet trafiği için bağlantı durumunu izleme sırasında tüketilen önemli bellek ve işlem yüküdür; İnternet ölçeğinde bunu yapmak mümkün değildir. Durum bilgisi olan güvenlik duvarları veya arkalarında bulunan uygulamalar, hizmetler ve sunucular bir DDoS saldırısına maruz kaldığında, güvenlik duvarı durum tabloları hızla tükenir ve güvenlik duvarlarının kendileri artan trafik yükü altında veya programlı olarak oluşturulan trafik yükü altında çalışamaz hale gelir. saldırı trafiği, güvenlik duvarının durumu izleme yeteneğini tüketerek meşru gelen bağlantıları dışlayacaktır.
Bu, saldırganların e-ticaret, yüksek talep gören içerik, müşteri hizmetleri ve destek uygulamaları ve DNS dahil olmak üzere kuruluşun halka açık hizmetlerini ve ayrıca uzak işgücü için VPN altyapısını başarılı bir şekilde bozmasına olanak tanır.
Durum bilgisi olan yük dengeleyiciler, izinsiz giriş önleme sistemleri (IPS’ler) ve bunların arkasındaki uygulamalar ve hizmetler de DDoS saldırılarının bir sonucu olarak durum tükenmesine karşı hassastır. Aynısı, hizmet dağıtım zincirindeki kilit noktalarda aşırı durum taşıyan uygulamalar için de geçerlidir. Buna göre, durum minimizasyonu ve durum dağıtımı, ağ ve uygulama tasarımında anahtar olmalıdır.
Ağ Altyapısı için En İyi Güncel Uygulamalar
Endüstri koalisyonu Yönlendirme Güvenliği için Karşılıklı Kabul Edilen Normlar (MANRS), bir dizi ağ altyapısı kendi kendini korumasını önerir en iyi güncel uygulamalar (BCP’ler) ağın kendisinin esnek olduğundan ve saldırı karşısında bile kullanılabilirliği koruyabildiğinden emin olmak için uygulamak. Yetkili ve özyinelemeli DNS sunucuları, uygulama ve içerik çiftlikleri vb. gibi kritik hizmet sağlama öğeleri de ölçeklenebilir, dağıtılmış ve esnek bir şekilde yapılandırılmalı ve dağıtılmalıdır. Sunucular, hizmetler ve uygulamalar için duruma göre uygun ağ erişim denetimi ilkelerini uygulamak için durum bilgisi olmayan erişim denetim listeleri (ACL’ler) uygulanmalı ve saldırganların kullanabileceği seçenekler azaltılmalıdır.
Bant dışı (OOB) yönetim yetenekleri ve tüm ağ trafiğinde uçtan uca görünürlük, saldırı altındayken durumsal farkındalığı ve kontrolü sürdürmek için çok önemlidir.
Akış telemetrisi, örneğin Net akış ve IPFIX, Ağa giren, ağdan çıkan ve ağ üzerinden geçen tüm trafiğin görünürlüğünü sağlamak için uç yönlendiricilerden ve katman-3 anahtarlarından dışa aktarılmalıdır. Tüm ağ kenarları enstrümante edilmelidir. Akış telemetri toplama ve analizi, ağ operatörlerinin DDoS saldırı trafiğini gerçek zamanlı olarak algılamasına, sınıflandırmasına ve izlemesine olanak tanır.
Aşağıdakiler gibi ağ altyapısı tabanlı DDoS azaltma teknikleri akış belirtimi ve kaynak tabanlı uzaktan tetiklenen kara delik (S/RTBH) uç yönlendiricilerin ve katman-3 anahtarlarının DDoS saldırılarına karşı kullanılmasına izin verir. Akış telemetrisi dışa aktarmanın yanı sıra, bu mekanizmalar tüm eşleme ve müşteri toplama ucu ağ altyapısı öğelerinde desteklenmelidir.
Akıllı DDoS azaltma sistemleri (IDMS’ler) hacimsel, uygulama katmanı ve durum tükenmesi DDoS saldırılarına karşı koruma sağlamayı amaçlar. DDoS saldırı trafiği ile meşru kullanıcı/ortak trafiği arasında ayrım yapmak için tamamen durumsuz olan veya hızlı bir şekilde yayılan minimum, geçici bir duruma örneklenen DDoS’a özgü karşı önlemleri içerirler. IDMS’ler tipik olarak paket başlığının ve yükünün tüm içeriğini değerlendirebilir, parçalanmış paketleri ve uygulama katmanı mesajlarını yeniden bir araya getirebilir ve DDoS özellikli botnetler yerine meşru istemcilerden kaynaklandığından emin olmak için gelen istekleri değerlendirebilir.
Kuruluşlar, bu BCP’leri uygulayarak ve DDoS saldırılarını tespit etme, sınıflandırma, geri izleme ve azaltma yeteneğine sahip olmalarını sağlayarak, saldırı karşısında bile halka açık uygulamalarının, hizmetlerinin ve içeriğinin kullanılabilir durumda kalmasını sağlayabilir.
