SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Защита веб-приложений: анти-DDoS

Защита веб-приложений: анти-DDoS
31.10.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Руслан Рахметов, Security Vision


1.jpg

Рис. 1 – защита от атак на отказ в обслуживание


Перед разбором средств защиты от DDoS-атак стоит разобрать, что это такое. DDoS (Distributed Denial of Service) расшифровывается как распределённый отказ в обслуживании. Это атака на веб-сервис, которая «топит» его потоком трафика и ненужными запросами, повышая нагрузку на оборудование и попросту делая ресурс недоступным для всех остальных пользователей.


Существуют различные типы таких атак: массовые (которые загружают всю ширину канала), UDP, ICMP и другие уровни согласно модели OSI. Цель одних атак - загрузить ресурсы системы большими запросами. Мощности железа, на котором работает сервис, не бесконечны, поэтому вызвать отказ в доступе можно, заполнив всю память хакерскими запросами. Иногда злоумышленник заставляет ресурсы жертвы отвечать на запросы подменных адресов. Другие атаки основаны на массовости атакующих узлов. Для организации атаки злоумышленники используют целую сеть ботов или устройств, заражённых вирусами (смартфоны, устройства умного дома, компьютеры и т.д.), которые будут являться источниками мусорного трафика. Ещё один тип атак пытается «подставить» жертву в рассылке вредоносного трафика. В таком случае злоумышленник организует массовую рассылку, подменяя свой адрес адресом жертвы, чтобы её «забанили».


Поскольку существует несколько видов DDoS-атак, сами средства защиты также можно разделить на группы по эффективности, скорости обработки тех или иных запросов, возможности остановить атаку определённого типа и по другим параметрам. В классификации и особенностях разных типов систем защиты разберёмся в этой статье.


2.jpg

Рис. 2 – расположение сервисов anti-DDoS


Большая часть программных продуктов класса anti-DDoS разворачивается не на периметре сети компании, а на глобальных маршрутах трафика по всему миру. Некоторые вендоры имеют сеть из 12-15 уpлов на основных магистралях трафика, у других в распоряжении более 30-ти точек обработки трафика на каналах поменьше. Специальные сервисы, обрабатывающие трафик «на лету», отсеивают мусорные запросы ещё до момента поступления их на атакуемый сервер.


Существуют также сервисы, разворачивающиеся локально. Такие решения дороже своих облачных коллег по рынку, однако по скорости реагирования и минимизации задержки они выигрывают у своих конкурентов. Системы, работающие на L3–L4 уровнях сетевой модели, могут защитить от пакетного флуда (от атак, основанных на большом потоке данных), таких как флуд UDP, ICMP и SYN.


Существуют также и решения гибридного плана, которые пытаются взять от облачных решений лучшее: перевести часть поддержки на собственную экспертизу и снизить требования к работникам заказчиков, фильтрации атак на веб-сайты на уровне приложения (L7) и т.д. Защита на уровне приложений обычно самая трудоёмкая и интересная, поскольку сами атаки отлично маскируются под полезный трафик и трудны для обнаружения.


Поскольку anti-DDoS решения сами по себе пропускают огромное количество трафика, где бы они ни находились, они сами могут стать жертвой атаки. Поэтому сервисы устроены таким образом, чтобы они могли обрабатывать огромное количество запросов, а соединение с интернет было бы даже шире, чем у защищаемого сервиса. Именно из-за этого требования к оборудованию у подобных систем защиты настолько высоки, что популярностью пользуются облачные или гибридные сервисы.


3.jpg

Рис. 3 – уровни защиты веб приложений от DDoS-атак


Почти все решения разбираемого нами сегодня класса могут фильтровать пакеты транспортного и сетевого уровней (как в примере с локальными сервисами выше), но поскольку большинство атак используют слабые места уровня приложений, стоит выделить и защиту на уровне L7. Некоторые системы осуществляют балансировку нагрузки и распределение ресурсов для обработки запросов. Таким образом обеспечивается не только защита, но и оптимизация скорости для веб-приложений, работающих на неподходящем «железе». С небольшой оговоркой к системам класса anti-DDoS можно отнести и средства фильтрации почтового трафика, отсеивающий спам и лишние запросы к серверу почты. Ещё один тип атаки связан с перебором паролей (брутфорс, brutforce), с которым можно эффективно бороться и внутри периметра. Для этого используются детекторы и сборщики логов в связке с SIEM (которая коррелирует отдельные попытки ввода пароля) и IRP (которая организует процессы и автоматическое реагирование без необходимости работы аналитика в режиме 24х7).


4.jpg

Рис. 4 – алгоритмы работы anti-DDoS


Anti-DDoS сервисы помогают обезопасить критичные ресурсы заказчика с использованием методов поведенческого анализа помимо классической фильтрации трафика. При это сама фильтрация также бывает различной: есть решения, которые анализируют только входящий трафик (такие решения используют ассиметричные алгоритмы) или весь поток данных целиком (симметричная установка, которая анализирует взаимодействие между приложением и пользователем целиком).


Из-за особенностей функционирования и отличий по скорости работы те или иные решения выбираются для разных задач. Крупные ЦОД и провайдеры связи обычно выбирают on-premise решение с гибкими возможностями настроек и возможностью организации MSSP модели лицензирования для своих клиентов. Часто провайдеры также используют решения с асимметричным анализом (только входящего трафика). Однако для защиты критичных приложений и сервисов клиенты выбирают anti-DDoS с полным (симметричным) анализом трафика. Для оптимизации расходов на дополнительное железо в таком случае выбираются облачные или гибридные системы.


Подкасты ИБ Управление ИБ СЗИ IRP SIEM ИБ для начинающих

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют