Med automatisering är tiden på din sida vid DDoS-attacker

[KRÖNIKA] Under en DDoS-attack betyder tiden allt.

Några sekunder kan vara skillnaden mellan en lyckad lindring och dyra nätverksavbrott. Allt som ökar din genomsnittliga tid till upptäckt (MTTD, Mean Time To Detect) och åtgärd (MTTR, Mean Time To Respond) vid en attack ger dig fördelar. Det gäller i synnerhet i dagens moln- och företagsmiljöer, där kombinationen av större beroende av Internetanslutning och ett större antal säkerhetshot kan bli överväldigande för nätverks- och säkerhetsteamen.  I synnerhet säkerhetsteam har allt större krav på sig att göra kritiska och snabba bedömningar om vilka hot som behöver prioriteras och vilka lindringsåtgärder som ska vidtas – hela tiden med klockan tickande.

Det gör att automatisering kan vara avgörande för lyckat ett DDoS-försvar. Med en intelligent lösning kan köpa du köpa dig viktig tid genom att upptäcka attacker tidigt och automatiskt vidta lämpliga motåtgärder.  Men automatiseringlösningen måste kunna blockera attacker utan att blockera legitim trafik, och den måste kunna informera operatören om vad som har blockerats och varför.

På Arbor Networks förespråkar vi lösiningar som utnyttjar det vi kallar för intelligent automatisering på tre sätt:

Inbyggda motåtgärder

Det är viktigt att ha en ständigt aktiv DDoS-lösning för företags- och datacenterapplikationer. I vårt fall har vi en lösning som innehåller mer än 30 inbyggda motåtgärder, var och en utformad för att upptäcka och automatiskt vidta åtgärder vid vissa specifika typer av attacker baserat på vår djupa erfarenhet och kunskap om attacklandskapet. När lösningen upptäcker en viss attack, till exempel en TCP Syn-översvämning, svartlistade värdar eller flera anslutningsförsök från en enda värd, aktiverar den automatiskt rätt motåtgärder för att lindra dessa attacktyper och tillhandahålla detaljerade analyser och rapporter om händelserna.

Om en attack redan pågår kan motåtgärderna ändå aktiveras omedelbart, eftersom lösningen inte kräver inlärning eller att grundvärden ställs in. Även om dessa inbyggda motåtgärder är utformade för att fungera effektivt med detsamma, kan många av dem också konfigureras för att utlösas enligt policyer för användarsäkerhet och risktrösklar.

Feed med hotinformation

Vår ATLAS (Active Threat Level Analysis System) är världens mest omfattande plattform för insamling av hotinformation, och ger synlighet nästan i realtid om hotaktivitet i Internet över hela världen. NETSCOUT Arbor Security Engineering and Response Team (ASERT) samlar inte bara in och analyserar data, utan organiserar och operationaliserar också hotinformationen i hotpolicyer och motåtgärder som levereras via ATLAS Intelligence Feed (AIF) direkt till de intelligenta systemen för DDoS-lindring APS and SP/TMS.

ATLAS Intelligence Feed innehåller en lista med regler associerade till olika hottyper, samt risknivåer (hög, medium, låg) associerade med varje typ, och uppdaterar kontinuerligt Arbor-distributionen när nya hotpolicyer, regler, osv. utvecklas.  Om APS till exempel upptäcker misstänkta trafikflöden som matchar de aktiva hotpolicyerna, blockerar det automatiskt trafiken och anger vad den blockerade och varför i realtidsrapporter.

Molnsignalering

Säkerhetsexperter rekommenderar allt oftare en skiktad eller hybrid-DDoS-strategi som kombinerar lokala och molnbaserade lindringsfunktioner för maximal effektivitet. Det ger organisationen en skalbar försvarslösning som kan anpassas till olika typer av och storlekar på attacker: den lokala enheten kan omedelbart upptäcka och lindra majoriteten av små, ”låga och långsamma” attacker som vanligtvis riktas mot brandväggar, IPS-system och nätverksskalenheter, medan större volumetriska attacker lindras bäst på tjänsteleverantörsnivån i molnet. För att dessa flerskiktade attacker ska förhindras krävs att de två försvarskomponenterna arbetar synkroniserat.

Cloud Signaling är vår mekanism genom vilken den lokala komponenten (APS) kommunicerar i realtid med tjänsteleverantörens molnkomponent (SP/TMS, Arbor Cloud) för att synkronisera lindringsåtgärden. Om attackvolymen på lokal nivå eskalerar till en användarspecificerad tröskel kan Cloud Signaling automatiskt utlösa lindringsmotåtgärder i molnet och dela attackdata som blockerade IP-adresser. Säkerhetsoperatörer kan också initiera Cloud Signaling manuellt när de ser ett växande hot. Med vår hybridlösning får nätverks- och säkerhetsteam betydande flexibilitet för att konfigurera och finjustera sina Cloud Signaling-policyer.

Intelligent automatisering av motåtgärder

Allt handlar om hur snabbt hoten upptäcks och lindras. Med automatisering kan du hindra en attack och mångdubbla ditt säkerhetsteams effektivitet – men bara om den ger rätt nivå av synlighet.

Många DDoS-lösningar på marknaden förlitar sig till övervägande del på ”ställ in och glöm”-automatisering som kräver omfattande inställning av grundvärden och inlärning, men som ändå inte kan skilja på en verklig attack och en topp i legitim trafik, och som erbjuder lite eller ingen analys av attacker.  Det finns tre nackdelar med det här tillvägagångssättet: utlösning av falska hot, blockering av giltiga kundsessioner och ingen synlighet.

Det är viktigt att välja en intelligent lösning för DDoS-lindring som snabbt och automatiskt kan skilja på verkliga attacker och trafiktoppar, och dynamiskt aktivera/avaktivera lämpliga motåtgärder när attacken fortgår. Det är lika viktigt att ha flexibilitet att uppdatera, omkonfigurera och förfina automatiserade svarsfunktioner när DDoS-attackernas sofistikation och tekniker utvecklas och organisationer lär sig mer om attackerna som sker mot dem. NETSCOUT Arbors intelligenta motåtgärder och i princip realtidsfunktioner för hotanalys och molnsignalering baseras på branschens djupaste förståelse av DDoS-hot, både kända och nya. Genom att kapitalisera på dessa tre pelare med bästa praxis för DDoS kan både företag och tjänsteleverantörer utföra lindringar mer effektivt och snabbare än någonsin.

Av: Olli Lähteenmaa, Arbor Networks