SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

Защита веб-приложений: анти-DDoS

Защита веб-приложений: анти-DDoS
31.10.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  

Руслан Рахметов, Security Vision

1.jpg

Рис. 1 – защита от атак на отказ в обслуживание

Перед разбором средств защиты от DDoS-атак стоит разобрать, что это такое. DDoS (Distributed Denial of Service) расшифровывается как распределённый отказ в обслуживании. Это атака на веб-сервис, которая «топит» его потоком трафика и ненужными запросами, повышая нагрузку на оборудование и попросту делая ресурс недоступным для всех остальных пользователей.

Существуют различные типы таких атак: массовые (которые загружают всю ширину канала), UDP, ICMP и другие уровни согласно модели OSI. Цель одних атак - загрузить ресурсы системы большими запросами. Мощности железа, на котором работает сервис, не бесконечны, поэтому вызвать отказ в доступе можно, заполнив всю память хакерскими запросами. Иногда злоумышленник заставляет ресурсы жертвы отвечать на запросы подменных адресов. Другие атаки основаны на массовости атакующих узлов. Для организации атаки злоумышленники используют целую сеть ботов или устройств, заражённых вирусами (смартфоны, устройства умного дома, компьютеры и т.д.), которые будут являться источниками мусорного трафика. Ещё один тип атак пытается «подставить» жертву в рассылке вредоносного трафика. В таком случае злоумышленник организует массовую рассылку, подменяя свой адрес адресом жертвы, чтобы её «забанили».

Поскольку существует несколько видов DDoS-атак, сами средства защиты также можно разделить на группы по эффективности, скорости обработки тех или иных запросов, возможности остановить атаку определённого типа и по другим параметрам. В классификации и особенностях разных типов систем защиты разберёмся в этой статье.


2.jpg

Рис. 2 – расположение сервисов anti-DDoS

Большая часть программных продуктов класса anti-DDoS разворачивается не на периметре сети компании, а на глобальных маршрутах трафика по всему миру. Некоторые вендоры имеют сеть из 12-15 уpлов на основных магистралях трафика, у других в распоряжении более 30-ти точек обработки трафика на каналах поменьше. Специальные сервисы, обрабатывающие трафик «на лету», отсеивают мусорные запросы ещё до момента поступления их на атакуемый сервер.

Существуют также сервисы, разворачивающиеся локально. Такие решения дороже своих облачных коллег по рынку, однако по скорости реагирования и минимизации задержки они выигрывают у своих конкурентов. Системы, работающие на L3–L4 уровнях сетевой модели, могут защитить от пакетного флуда (от атак, основанных на большом потоке данных), таких как флуд UDP, ICMP и SYN.

Существуют также и решения гибридного плана, которые пытаются взять от облачных решений лучшее: перевести часть поддержки на собственную экспертизу и снизить требования к работникам заказчиков, фильтрации атак на веб-сайты на уровне приложения (L7) и т.д. Защита на уровне приложений обычно самая трудоёмкая и интересная, поскольку сами атаки отлично маскируются под полезный трафик и трудны для обнаружения.

Поскольку anti-DDoS решения сами по себе пропускают огромное количество трафика, где бы они ни находились, они сами могут стать жертвой атаки. Поэтому сервисы устроены таким образом, чтобы они могли обрабатывать огромное количество запросов, а соединение с интернет было бы даже шире, чем у защищаемого сервиса. Именно из-за этого требования к оборудованию у подобных систем защиты настолько высоки, что популярностью пользуются облачные или гибридные сервисы.


3.jpg

Рис. 3 – уровни защиты веб приложений от DDoS-атак

Почти все решения разбираемого нами сегодня класса могут фильтровать пакеты транспортного и сетевого уровней (как в примере с локальными сервисами выше), но поскольку большинство атак используют слабые места уровня приложений, стоит выделить и защиту на уровне L7. Некоторые системы осуществляют балансировку нагрузки и распределение ресурсов для обработки запросов. Таким образом обеспечивается не только защита, но и оптимизация скорости для веб-приложений, работающих на неподходящем «железе». С небольшой оговоркой к системам класса anti-DDoS можно отнести и средства фильтрации почтового трафика, отсеивающий спам и лишние запросы к серверу почты. Ещё один тип атаки связан с перебором паролей (брутфорс, brutforce), с которым можно эффективно бороться и внутри периметра. Для этого используются детекторы и сборщики логов в связке с SIEM (которая коррелирует отдельные попытки ввода пароля) и IRP (которая организует процессы и автоматическое реагирование без необходимости работы аналитика в режиме 24х7).


4.jpg

Рис. 4 – алгоритмы работы anti-DDoS

Anti-DDoS сервисы помогают обезопасить критичные ресурсы заказчика с использованием методов поведенческого анализа помимо классической фильтрации трафика. При это сама фильтрация также бывает различной: есть решения, которые анализируют только входящий трафик (такие решения используют ассиметричные алгоритмы) или весь поток данных целиком (симметричная установка, которая анализирует взаимодействие между приложением и пользователем целиком).

Из-за особенностей функционирования и отличий по скорости работы те или иные решения выбираются для разных задач. Крупные ЦОД и провайдеры связи обычно выбирают on-premise решение с гибкими возможностями настроек и возможностью организации MSSP модели лицензирования для своих клиентов. Часто провайдеры также используют решения с асимметричным анализом (только входящего трафика). Однако для защиты критичных приложений и сервисов клиенты выбирают anti-DDoS с полным (симметричным) анализом трафика. Для оптимизации расходов на дополнительное железо в таком случае выбираются облачные или гибридные системы.


Подкасты ИБ Управление ИБ СЗИ IRP SIEM

Рекомендуем

«Фишки» Security Vision: создание экосистемы
«Фишки» Security Vision: создание экосистемы
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
IPS / IDS системы. Обнаружение и предотвращение вторжений
IPS / IDS системы. Обнаружение и предотвращение вторжений
Обзор Security Vision 3.4 — российской платформы SGRC
Обзор Security Vision 3.4 — российской платформы SGRC
Защита веб-приложений: анти-DDoS
Защита веб-приложений: анти-DDoS
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 6. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 6. Основные понятия и парадигма - продолжение
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
Как организована техническая сторона защиты данных от утечек
Как организована техническая сторона защиты данных от утечек

Рекомендуем

«Фишки» Security Vision: создание экосистемы
«Фишки» Security Vision: создание экосистемы
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
IPS / IDS системы. Обнаружение и предотвращение вторжений
IPS / IDS системы. Обнаружение и предотвращение вторжений
Обзор Security Vision 3.4 — российской платформы SGRC
Обзор Security Vision 3.4 — российской платформы SGRC
Защита веб-приложений: анти-DDoS
Защита веб-приложений: анти-DDoS
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 6. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 6. Основные понятия и парадигма - продолжение
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
IRP/SOAR по закону. ГИС, ПДн, проект ГОСТ
Как организована техническая сторона защиты данных от утечек
Как организована техническая сторона защиты данных от утечек

Похожие статьи

Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Управление и обслуживание ИТ сервисов
Управление и обслуживание ИТ сервисов
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Динамический анализ исходного кода
Динамический анализ исходного кода
Управление доступом и учетными записями (конспект лекции)
Управление доступом и учетными записями (конспект лекции)

Похожие статьи

Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Управление и обслуживание ИТ сервисов
Управление и обслуживание ИТ сервисов
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 1. Основные понятия и парадигма
Динамический анализ исходного кода
Динамический анализ исходного кода
Управление доступом и учетными записями (конспект лекции)
Управление доступом и учетными записями (конспект лекции)