Укрепление вашей технологической инфраструктуры в рамках подготовки к DDoS-атаке
Распределенная атака типа «отказ в обслуживании» (DDoS) направлена на то, чтобы сделать онлайн-сервис недоступным для законных пользователей, перегрузив сервис необработанными запросами. Он отличается от атаки типа «отказ в обслуживании» (DoS) тем, что источник трафика не из одного источника, а из десятков, сотен или тысяч устройств.
В последние годы DDoS-атаки стали более масштабными, изощренными и дерзкими. Одной из крупнейших была атака на Dyn в октябре 2016 года, которая заблокировала доступ к более чем 1200 доменам, включая такие известные веб-сайты, как Amazon, Twitter, Airbnb, Spotify, PayPal, Netflix, Reddit, SoundCloud, The Guardian, The Wall Street Journal и другие. Нью-Йорк Таймс.
Противостояние и переживание DDoS-атаки: контрольный список
DDoS-атаки могут иметь разрушительные последствия с точки зрения потери продаж, снижения производительности и ухудшения репутации. Невозможно предотвратить DDoS-атаку на вашу технологическую инфраструктуру. Однако, заранее настроив соответствующие элементы управления, вы сможете лучше противостоять и пережить DDoS-атаку. Этот контрольный список из 11 пунктов расскажет вам, как это сделать.
1. Перечислите уязвимые, высокоприоритетные ресурсы
Определите критические ресурсы, которые больше всего нуждаются в защите от DDoS-атак. Как минимум, эти ресурсы будут включать ваши веб-серверы и серверы электронной почты. Список должен быть как в электронной, так и в бумажной форме и включать контактные данные руководителей, технических специалистов и сотрудников службы безопасности в организации.
Он также должен содержать контактную информацию вашего интернет-провайдера (ISP), хоста веб-сайта, поставщиков облачных услуг, поставщика киберстрахования и других важных поставщиков. Вам нужна физическая копия этой записи, потому что в случае DDoS-атаки серверы и приложения, на которых находится эта информация, могут быть недоступны.
2. Сотрудничайте с вышестоящим провайдером
Локальные механизмы защиты, такие как брандмауэры и балансировщики нагрузки, безусловно, полезны для отражения атак. Однако типичный масштаб и сложность DDoS-атак требуют тесного сотрудничества с вышестоящими поставщиками. Если, например, у вас есть соединение со скоростью 10 Гбит/с и вы подверглись DDoS-атаке со скоростью 200 Гбит/с, ваша локальная защита, скорее всего, будет сломлена за считанные секунды. Эту атаку лучше всего сдерживать на уровне сетевого провайдера, у которого есть ресурсы и опыт для регулярной борьбы с угрозами DDoS.
3. Создайте базовый уровень сетевого трафика
Изучите сетевой трафик вашей организации и создайте базовый уровень. Чем лучше вы понимаете, что представляет собой нормальный уровень трафика, его происхождение, а также временные и сезонные колебания, тем легче вам будет обнаружить и смягчить атаку. Большинство продуктов для защиты от DDoS-атак работают на этой предпосылке и сначала понимают, что представляют собой нормальные модели трафика, чтобы они могли лучше определить, что является отклонением от нормы.
4. Защищайтесь от распространенных DDoS-атак
Вы не хотите, чтобы ваша сеть считалась легкодоступной из-за неспособности реализовать основные элементы управления. Это только сделает вас магнитом для оппортунистических злоумышленников. Поэтому, прежде чем внедрять расширенную защиту, защитите свою инфраструктуру от наиболее распространенных и известных типов DDoS-атак, таких как ICMP-флуд, SYN-флуд, UDP-флуд, GET/POST-флуд, флуд с поддельными пакетами и метко названные ping-запросы. смерти.
5. Уменьшите поверхность атаки DDoS
Поверхность атаки вашей технологии — это общая сумма технологических ресурсов на вашем предприятии, которые подвергаются атакам. Вы можете ограничить воздействие DDoS-атак, ограничив возможности, через которые могут пройти киберпреступники. Сокращение зоны атаки будет включать устранение ненужных сложностей, таких как ошибки в технических политиках, избыточные или дублирующиеся сетевые правила, чрезмерные разрешения на доступ, недостаточно сегментированная сетевая инфраструктура, неконтролируемый доступ к оконечным точкам, отсутствие оценки и аналитики конфигурации безопасности, отсутствие анализ транспортных потоков и отсутствие количественных оценок риска.
6. Исправление
Все ваши системы, но особенно ваша инфраструктура с выходом в Интернет, должны быть оснащены последними исправлениями безопасности и обновлениями программного обеспечения, прежде чем они будут подключены к вашей производственной среде. Это относится не только к маршрутизаторам и коммутаторам, но также к серверным операционным системам и корпоративным приложениям.
7. Сегментация сети и распределение доступа
Сегментируйте свою сеть и убедитесь, что устройства на внешней границе, обрабатывающие размещенные данные, информацию и входящий трафик, распределяются таким образом, чтобы ваши системы было труднее получить и атаковать. Используйте точки присутствия (PoP) и сети доставки контента (CDN), чтобы не было ни единого узкого места, на котором злоумышленники могли бы сосредоточиться для DDoS-атаки. CDN повышают производительность за счет распространения контента и сокращения расстояния между размещенным контентом и посетителем веб-сайта. Сохраненные кэшированные копии вашего контента хранятся в нескольких местах на точках присутствия. Точки присутствия имеют несколько систем кэширования, которые обеспечивают доставку контента ближайшим посетителям вашего веб-приложения.
8. Услуги по очистке
Службы очистки — это специализированные облачные центры, куда входящий трафик атак может быть перенаправлен для очистки. Для успешного перенаправления входящего трафика требуется автоматическое изменение базовых маршрутов в протоколе пограничного шлюза (BGP) и обеспечение немедленной широковещательной рассылки таблиц BGP измененных маршрутов.
После очистки и проверки трафика создаются туннели GRE (общая инкапсуляция маршрутизации) для возврата законного трафика обратно в сеть вашего предприятия.
9. Стресс-тестирование DDoS-атак
Стресс-тестирование DDoS — это служба безопасности, которая помогает организациям понять, насколько их инфраструктура подготовлена к широкому спектру направлений DDoS-атак. Он включает в себя моделирование DDoS-атак или очень высоких нагрузок трафика на ключевые ресурсы в строго контролируемой среде и с четким предварительным уведомлением всех соответствующих поставщиков.
По окончании стресс-теста вы получите подробный отчет с описанием слабых мест и мерами по устранению недостатков, которые вы могли бы предпринять, чтобы укрепить свою сеть.
10. Планирование реагирования на инциденты
Обсуждаемые здесь различные методы защиты от DDoS-атак наиболее эффективно применяются, когда они являются частью скоординированного плана реагирования на инциденты. В плане должно быть подробно описано, какие действия вы должны предпринять сразу же после того, как подтвердите подозрение на DDoS-атак или в процессе его осуществления, и кто несет ответственность за выполнение плана. Он должен включать процедуру экстренного информирования, которая объясняет, как информация об инциденте будет доведена до сведения сотрудников, клиентов, акционеров и широкой общественности.
Чтобы убедиться, что план реагирования практичен и может работать, вам следует выполнять пробные прогоны несколько раз в год. Обновляйте план каждый раз, когда в ходе учений выявляется пробел или происходят существенные изменения в вашей технологической инфраструктуре. Убедитесь, что план правильно интегрирует критически важных поставщиков, которые потребуются для успешного ответа.
11. Осведомленность сотрудников
Обучите своих сотрудников различным типам кибератак и тому, на какие признаки им следует обращать внимание, чтобы идентифицировать DDoS-атаку на ее начальных стадиях. Сотрудники должны знать, что они должны и не должны делать, когда они подозревают атаку. Должен быть процесс эскалации, который они могут запустить немедленно и посредством которого ИТ-персонал и высшее руководство узнают о разворачивающемся инциденте в кратчайшие сроки.
DDoS-атаки: будьте бдительны и выживайте
Бдительность имеет основополагающее значение для организации, чтобы подготовиться, смягчить и пережить DDoS-атаку. В целом, предприятия должны быть в курсе последних тактик и тенденций DDoS, используемых физическими и юридическими лицами, стремящимися нанести вред своей сети.