במסמך הזה מוצגים כמה תרחישי שימוש נפוצים ב-Adaptive Protection של Google Cloud Armor.
זיהוי והגנה מפני מתקפות DDoS בשכבה 7
תרחיש השימוש הנפוץ ביותר ב-Adaptive Protection הוא זיהוי של מתקפות DDoS בשכבה 7 (L7) כמו הצפות של HTTP GET, הצפות של HTTP POST או פעילויות אחרות של HTTP בתדירות גבוהה, ומתן מענה להן. מתקפות DDoS ברמה 7 מתחילות בדרך כלל בעוצמה נמוכה יחסית, ומתגברות עם הזמן. עד שבני אדם או מנגנונים אוטומטיים לזיהוי עלייה חדה יזהו מתקפה, סביר להניח שהעוצמה שלה תהיה גבוהה והיא כבר תשפיע באופן שלילי על האפליקציה. חשוב לציין שאפשר לראות את העלייה החדה בתעבורה באופן מצטבר, אבל הרבה יותר קשה להבחין בזמן אמת בין בקשות בודדות זדוניות לבין בקשות רגילות, כי הן נראות כמו בקשות רגילות ומלאות. באופן דומה, מכיוון שמקורות המתקפה מפוזרים בין רשתות בוטים או קבוצות אחרות של לקוחות זדוניים, שגודלן נע בין אלפים למיליונים, קשה יותר ויותר לצמצם את ההשפעה של מתקפה מתמשכת על ידי זיהוי וחסימה שיטתיים של לקוחות בעייתיים על סמך כתובת ה-IP בלבד. במקרה של DDoS, התוצאה היא שהמתקפה מצליחה להשבית את השירות הממוקד לחלק מהמשתמשים הרגילים או לכולם.
כדי לזהות במהירות מתקפות DDoS בשכבה 7 ולתת להן מענה, בעלי הפרויקט או מדיניות האבטחה יכולים להפעיל את ההגנה האדפטיבית בפרויקט שלהם על בסיס מדיניות אבטחה. אחרי לפחות שעה של אימון ותצפית על דפוסי תנועה רגילים, ההגנה האדפטיבית תהיה מוכנה לזהות במהירות ובדייקנות מתקפה בשלב מוקדם במחזור החיים שלה, ולהציע כללי WAF לחסימת המתקפה המתמשכת בלי להשפיע על משתמשים רגילים.
התראות על מתקפות פוטנציאליות והחתימה המזוהה של התנועה החשודה נשלחות ל-Logging, שם הודעת היומן יכולה להפעיל מדיניות התראות מותאמת אישית, לעבור ניתוח ולאחסון, או להישלח לפתרון לניהול אירועים ופרטי אבטחה (SIEM) או לניהול יומנים במורד הזרם. מידע נוסף על שילוב של SIEM או ניהול יומנים במורד הזרם זמין במסמכי התיעוד של Logging.
זיהוי חתימות של התקפות ותגובה
חשוב מאוד לא רק לזהות מתקפות פוטנציאליות בשלב מוקדם ולהתריע עליהן, אלא גם לפעול בעקבות ההתראה ולהגיב בזמן כדי לצמצם את ההשפעה של המתקפות. צוותי התגובה לתקריות בארגונים צריכים להשקיע דקות ושעות יקרות בחקירה, ולנתח לעיתים קרובות יומנים ומערכות מעקב כדי לאסוף מספיק מידע שיאפשר להם לפתח תגובה למתקפה מתמשכת. לאחר מכן, לפני הפעלת תוכנית לצמצום הסיכונים, צריך לאמת אותה כדי לוודא שלא תהיה לה השפעה לא מכוונת או שלילית על עומסי העבודה של הייצור.
בעזרת Adaptive Protection, צוותי התגובה לתקריות מקבלים את כל מה שהם צריכים כדי לנתח במהירות מתקפת DDoS מתמשכת ברמה 7 ולהגיב לה ברגע שהם מקבלים את ההתראה. ההתראה על הגנה דינמית כוללת את החתימה של התנועה שזוהתה כחלק מהמתקפה הפוטנציאלית. תוכן החתימה יכלול מטא-נתונים על התנועה הנכנסת, כולל קבוצת הכותרות הזדוניות של בקשות HTTP, מיקומים גיאוגרפיים של לקוחות וכו'. ההתראה כוללת גם כלל שתואם לחתימת המתקפה, שאפשר להחיל ב-Cloud Armor כדי לחסום באופן מיידי את התנועה הזדונית.
אירוע ההגנה הדינמית מספק ציון ודאות ושיעור בסיסי משוער של ההשפעה שמשויכים לכלל המוצע, כדי לעזור באימות. לכל רכיב בחתימה יש גם מדדים של סבירות להתקפה ושיעור ההתקפה, כדי לאפשר לצוות התגובה לתקרית לכוונן את היקף התגובה, להרחיב אותו או לצמצם אותו.
התאמה אישית של המודל ודיווח על שגיאות באירועים
מודלים לזיהוי מתקפות של Adaptive Protection עוברים אימון על מערך נתונים שנוצר באופן מלאכותי כדי להציג את המאפיינים של תנועה תקינה ותנועה זדונית. כתוצאה מכך, יכול להיות שההגנה האדפטיבית תזהה מתקפה פוטנציאלית, אבל אחרי בדיקה נוספת, מגיב האירוע או בעל האפליקציה יקבעו שלא מדובר במתקפה. ההגנה האדפטיבית יכולה ללמוד מההקשר הייחודי ומדפוסי התנועה של כל אפליקציה מוגנת.
אתם יכולים לדווח על התראות ספציפיות כהתראות שווא כדי לעזור למערכת Adaptive Protection לאמן ולהתאים אישית את מודלי הזיהוי. אם יש דוחות חיוביים כוזבים, סביר להניח שמודלים של הגנה דינמית לא יתריעו בעתיד על תנועה עם מאפיינים ותכונות דומים. עם הזמן, מודלים לזיהוי של הגנה דינמית יותאמו יותר למאפיינים הספציפיים של התנועה בכל מדיניות אבטחה מוגנת. השלבים לדיווח על אירועים חיוביים כוזבים מתוארים במאמר מעקב, משוב ודיווח על שגיאות באירועים.