SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Защита веб-приложений: анти-DDoS

Защита веб-приложений: анти-DDoS
31.10.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Руслан Рахметов, Security Vision


1.jpg

Рис. 1 – защита от атак на отказ в обслуживание


Перед разбором средств защиты от DDoS-атак стоит разобрать, что это такое. DDoS (Distributed Denial of Service) расшифровывается как распределённый отказ в обслуживании. Это атака на веб-сервис, которая «топит» его потоком трафика и ненужными запросами, повышая нагрузку на оборудование и попросту делая ресурс недоступным для всех остальных пользователей.


Существуют различные типы таких атак: массовые (которые загружают всю ширину канала), UDP, ICMP и другие уровни согласно модели OSI. Цель одних атак - загрузить ресурсы системы большими запросами. Мощности железа, на котором работает сервис, не бесконечны, поэтому вызвать отказ в доступе можно, заполнив всю память хакерскими запросами. Иногда злоумышленник заставляет ресурсы жертвы отвечать на запросы подменных адресов. Другие атаки основаны на массовости атакующих узлов. Для организации атаки злоумышленники используют целую сеть ботов или устройств, заражённых вирусами (смартфоны, устройства умного дома, компьютеры и т.д.), которые будут являться источниками мусорного трафика. Ещё один тип атак пытается «подставить» жертву в рассылке вредоносного трафика. В таком случае злоумышленник организует массовую рассылку, подменяя свой адрес адресом жертвы, чтобы её «забанили».


Поскольку существует несколько видов DDoS-атак, сами средства защиты также можно разделить на группы по эффективности, скорости обработки тех или иных запросов, возможности остановить атаку определённого типа и по другим параметрам. В классификации и особенностях разных типов систем защиты разберёмся в этой статье.


2.jpg

Рис. 2 – расположение сервисов anti-DDoS


Большая часть программных продуктов класса anti-DDoS разворачивается не на периметре сети компании, а на глобальных маршрутах трафика по всему миру. Некоторые вендоры имеют сеть из 12-15 уpлов на основных магистралях трафика, у других в распоряжении более 30-ти точек обработки трафика на каналах поменьше. Специальные сервисы, обрабатывающие трафик «на лету», отсеивают мусорные запросы ещё до момента поступления их на атакуемый сервер.


Существуют также сервисы, разворачивающиеся локально. Такие решения дороже своих облачных коллег по рынку, однако по скорости реагирования и минимизации задержки они выигрывают у своих конкурентов. Системы, работающие на L3–L4 уровнях сетевой модели, могут защитить от пакетного флуда (от атак, основанных на большом потоке данных), таких как флуд UDP, ICMP и SYN.


Существуют также и решения гибридного плана, которые пытаются взять от облачных решений лучшее: перевести часть поддержки на собственную экспертизу и снизить требования к работникам заказчиков, фильтрации атак на веб-сайты на уровне приложения (L7) и т.д. Защита на уровне приложений обычно самая трудоёмкая и интересная, поскольку сами атаки отлично маскируются под полезный трафик и трудны для обнаружения.


Поскольку anti-DDoS решения сами по себе пропускают огромное количество трафика, где бы они ни находились, они сами могут стать жертвой атаки. Поэтому сервисы устроены таким образом, чтобы они могли обрабатывать огромное количество запросов, а соединение с интернет было бы даже шире, чем у защищаемого сервиса. Именно из-за этого требования к оборудованию у подобных систем защиты настолько высоки, что популярностью пользуются облачные или гибридные сервисы.


3.jpg

Рис. 3 – уровни защиты веб приложений от DDoS-атак


Почти все решения разбираемого нами сегодня класса могут фильтровать пакеты транспортного и сетевого уровней (как в примере с локальными сервисами выше), но поскольку большинство атак используют слабые места уровня приложений, стоит выделить и защиту на уровне L7. Некоторые системы осуществляют балансировку нагрузки и распределение ресурсов для обработки запросов. Таким образом обеспечивается не только защита, но и оптимизация скорости для веб-приложений, работающих на неподходящем «железе». С небольшой оговоркой к системам класса anti-DDoS можно отнести и средства фильтрации почтового трафика, отсеивающий спам и лишние запросы к серверу почты. Ещё один тип атаки связан с перебором паролей (брутфорс, brutforce), с которым можно эффективно бороться и внутри периметра. Для этого используются детекторы и сборщики логов в связке с SIEM (которая коррелирует отдельные попытки ввода пароля) и IRP (которая организует процессы и автоматическое реагирование без необходимости работы аналитика в режиме 24х7).


4.jpg

Рис. 4 – алгоритмы работы anti-DDoS


Anti-DDoS сервисы помогают обезопасить критичные ресурсы заказчика с использованием методов поведенческого анализа помимо классической фильтрации трафика. При это сама фильтрация также бывает различной: есть решения, которые анализируют только входящий трафик (такие решения используют ассиметричные алгоритмы) или весь поток данных целиком (симметричная установка, которая анализирует взаимодействие между приложением и пользователем целиком).


Из-за особенностей функционирования и отличий по скорости работы те или иные решения выбираются для разных задач. Крупные ЦОД и провайдеры связи обычно выбирают on-premise решение с гибкими возможностями настроек и возможностью организации MSSP модели лицензирования для своих клиентов. Часто провайдеры также используют решения с асимметричным анализом (только входящего трафика). Однако для защиты критичных приложений и сервисов клиенты выбирают anti-DDoS с полным (симметричным) анализом трафика. Для оптимизации расходов на дополнительное железо в таком случае выбираются облачные или гибридные системы.


Подкасты ИБ Управление ИБ СЗИ IRP SIEM ИБ для начинающих

Рекомендуем

SCA на языке безопасника
SCA на языке безопасника
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Интернет вещей и безопасность
Интернет вещей и безопасность
Интернет вещей и его применение
Интернет вещей и его применение
Сертификация ФСТЭК
Сертификация ФСТЭК
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Модель зрелости SOAR
Модель зрелости SOAR
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
SSDL: Dev vs Sec
SSDL: Dev vs Sec

Рекомендуем

SCA на языке безопасника
SCA на языке безопасника
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Интернет вещей и безопасность
Интернет вещей и безопасность
Интернет вещей и его применение
Интернет вещей и его применение
Сертификация ФСТЭК
Сертификация ФСТЭК
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Модель зрелости SOAR
Модель зрелости SOAR
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
SSDL: Dev vs Sec
SSDL: Dev vs Sec

Похожие статьи

Управление ИТ-активами
Управление ИТ-активами
Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Обзор Баз данных угроз
Обзор Баз данных угроз
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Динамические плейбуки
Динамические плейбуки
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Тестирование на проникновение
Тестирование на проникновение
Что за зверь Security Champion?
Что за зверь Security Champion?
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба

Похожие статьи

Управление ИТ-активами
Управление ИТ-активами
Темные стороны контейнеров: риски и меры безопасности
Темные стороны контейнеров: риски и меры безопасности
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Обзор Баз данных угроз
Обзор Баз данных угроз
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Динамические плейбуки
Динамические плейбуки
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Тестирование на проникновение
Тестирование на проникновение
Что за зверь Security Champion?
Что за зверь Security Champion?
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба