SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Защита веб-приложений: анти-DDoS

Защита веб-приложений: анти-DDoS
31.10.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Руслан Рахметов, Security Vision


1.jpg

Рис. 1 – защита от атак на отказ в обслуживание


Перед разбором средств защиты от DDoS-атак стоит разобрать, что это такое. DDoS (Distributed Denial of Service) расшифровывается как распределённый отказ в обслуживании. Это атака на веб-сервис, которая «топит» его потоком трафика и ненужными запросами, повышая нагрузку на оборудование и попросту делая ресурс недоступным для всех остальных пользователей.


Существуют различные типы таких атак: массовые (которые загружают всю ширину канала), UDP, ICMP и другие уровни согласно модели OSI. Цель одних атак - загрузить ресурсы системы большими запросами. Мощности железа, на котором работает сервис, не бесконечны, поэтому вызвать отказ в доступе можно, заполнив всю память хакерскими запросами. Иногда злоумышленник заставляет ресурсы жертвы отвечать на запросы подменных адресов. Другие атаки основаны на массовости атакующих узлов. Для организации атаки злоумышленники используют целую сеть ботов или устройств, заражённых вирусами (смартфоны, устройства умного дома, компьютеры и т.д.), которые будут являться источниками мусорного трафика. Ещё один тип атак пытается «подставить» жертву в рассылке вредоносного трафика. В таком случае злоумышленник организует массовую рассылку, подменяя свой адрес адресом жертвы, чтобы её «забанили».


Поскольку существует несколько видов DDoS-атак, сами средства защиты также можно разделить на группы по эффективности, скорости обработки тех или иных запросов, возможности остановить атаку определённого типа и по другим параметрам. В классификации и особенностях разных типов систем защиты разберёмся в этой статье.


2.jpg

Рис. 2 – расположение сервисов anti-DDoS


Большая часть программных продуктов класса anti-DDoS разворачивается не на периметре сети компании, а на глобальных маршрутах трафика по всему миру. Некоторые вендоры имеют сеть из 12-15 уpлов на основных магистралях трафика, у других в распоряжении более 30-ти точек обработки трафика на каналах поменьше. Специальные сервисы, обрабатывающие трафик «на лету», отсеивают мусорные запросы ещё до момента поступления их на атакуемый сервер.


Существуют также сервисы, разворачивающиеся локально. Такие решения дороже своих облачных коллег по рынку, однако по скорости реагирования и минимизации задержки они выигрывают у своих конкурентов. Системы, работающие на L3–L4 уровнях сетевой модели, могут защитить от пакетного флуда (от атак, основанных на большом потоке данных), таких как флуд UDP, ICMP и SYN.


Существуют также и решения гибридного плана, которые пытаются взять от облачных решений лучшее: перевести часть поддержки на собственную экспертизу и снизить требования к работникам заказчиков, фильтрации атак на веб-сайты на уровне приложения (L7) и т.д. Защита на уровне приложений обычно самая трудоёмкая и интересная, поскольку сами атаки отлично маскируются под полезный трафик и трудны для обнаружения.


Поскольку anti-DDoS решения сами по себе пропускают огромное количество трафика, где бы они ни находились, они сами могут стать жертвой атаки. Поэтому сервисы устроены таким образом, чтобы они могли обрабатывать огромное количество запросов, а соединение с интернет было бы даже шире, чем у защищаемого сервиса. Именно из-за этого требования к оборудованию у подобных систем защиты настолько высоки, что популярностью пользуются облачные или гибридные сервисы.


3.jpg

Рис. 3 – уровни защиты веб приложений от DDoS-атак


Почти все решения разбираемого нами сегодня класса могут фильтровать пакеты транспортного и сетевого уровней (как в примере с локальными сервисами выше), но поскольку большинство атак используют слабые места уровня приложений, стоит выделить и защиту на уровне L7. Некоторые системы осуществляют балансировку нагрузки и распределение ресурсов для обработки запросов. Таким образом обеспечивается не только защита, но и оптимизация скорости для веб-приложений, работающих на неподходящем «железе». С небольшой оговоркой к системам класса anti-DDoS можно отнести и средства фильтрации почтового трафика, отсеивающий спам и лишние запросы к серверу почты. Ещё один тип атаки связан с перебором паролей (брутфорс, brutforce), с которым можно эффективно бороться и внутри периметра. Для этого используются детекторы и сборщики логов в связке с SIEM (которая коррелирует отдельные попытки ввода пароля) и IRP (которая организует процессы и автоматическое реагирование без необходимости работы аналитика в режиме 24х7).


4.jpg

Рис. 4 – алгоритмы работы anti-DDoS


Anti-DDoS сервисы помогают обезопасить критичные ресурсы заказчика с использованием методов поведенческого анализа помимо классической фильтрации трафика. При это сама фильтрация также бывает различной: есть решения, которые анализируют только входящий трафик (такие решения используют ассиметричные алгоритмы) или весь поток данных целиком (симметричная установка, которая анализирует взаимодействие между приложением и пользователем целиком).


Из-за особенностей функционирования и отличий по скорости работы те или иные решения выбираются для разных задач. Крупные ЦОД и провайдеры связи обычно выбирают on-premise решение с гибкими возможностями настроек и возможностью организации MSSP модели лицензирования для своих клиентов. Часто провайдеры также используют решения с асимметричным анализом (только входящего трафика). Однако для защиты критичных приложений и сервисов клиенты выбирают anti-DDoS с полным (симметричным) анализом трафика. Для оптимизации расходов на дополнительное железо в таком случае выбираются облачные или гибридные системы.


Подкасты ИБ Управление ИБ СЗИ IRP SIEM

Рекомендуем

Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Системы и средства защиты информации (конспект лекции)
Системы и средства защиты информации (конспект лекции)
Геймификация SOC
Геймификация SOC
False или не false?
False или не false?
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision
SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Пентесты
Пентесты
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое

Рекомендуем

Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Системы и средства защиты информации (конспект лекции)
Системы и средства защиты информации (конспект лекции)
Геймификация SOC
Геймификация SOC
False или не false?
False или не false?
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision
SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Пентесты
Пентесты
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое

Похожие статьи

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
Геймификация SOC
Геймификация SOC
«Фишки» Security Vision: создание экосистемы
«Фишки» Security Vision: создание экосистемы
Анализ нормативных документов по защите информации в российской кредитно-финансовой сфере
Анализ нормативных документов по защите информации в российской кредитно-финансовой сфере
Зачем нужен мониторинг пользователей и как он работает
Зачем нужен мониторинг пользователей и как он работает
Динамические плейбуки
Динамические плейбуки

Похожие статьи

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №7 «Выбирайте и собирайте правильные данные»
Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
Геймификация SOC
Геймификация SOC
«Фишки» Security Vision: создание экосистемы
«Фишки» Security Vision: создание экосистемы
Анализ нормативных документов по защите информации в российской кредитно-финансовой сфере
Анализ нормативных документов по защите информации в российской кредитно-финансовой сфере
Зачем нужен мониторинг пользователей и как он работает
Зачем нужен мониторинг пользователей и как он работает
Динамические плейбуки
Динамические плейбуки