במסמך הזה מוצגים כמה תרחישים נפוצים לשימוש ב-Adaptive Protection של Google Cloud Armor.
זיהוי והגנה מפני מתקפות DDoS בשכבה 7
תרחיש השימוש הנפוץ ביותר ב-Adaptive Protection הוא זיהוי של מתקפות DDoS בשכבה 7 (L7) ומענה להן, כמו הצפות של HTTP GET, הצפות של HTTP POST או פעילויות אחרות של HTTP בתדירות גבוהה. התקפות DDoS ברמה 7 מתחילות בדרך כלל בעוצמה נמוכה יחסית, והעוצמה שלהן גדלה עם הזמן. עד שבני אדם או מנגנונים אוטומטיים לזיהוי עלייה חדה יזהו מתקפה, סביר להניח שהעוצמה שלה תהיה גבוהה והיא כבר תשפיע באופן שלילי על האפליקציה. חשוב לציין שאפשר לראות את העלייה החדה בתעבורה באופן מצטבר, אבל הרבה יותר קשה להבחין בזמן אמת בין בקשות זדוניות לבין בקשות רגילות, כי הן נראות כמו בקשות רגילות ומלאות. באופן דומה, מכיוון שמקורות ההתקפה מפוזרים בין רשתות בוטים או קבוצות אחרות של לקוחות זדוניים, שגודלן נע בין אלפים למיליונים, קשה יותר ויותר לצמצם את ההשפעה של התקפה מתמשכת על ידי זיהוי וחסימה שיטתיים של לקוחות בעייתיים על סמך כתובת ה-IP בלבד. במקרה של DDoS, התוצאה היא שהמתקפה מצליחה להשבית את השירות הממוקד עבור חלק מהמשתמשים הרגילים או עבור כולם.
כדי לזהות במהירות מתקפות DDoS בשכבה 7 ולתת להן מענה, הבעלים של הפרויקט או של מדיניות האבטחה יכולים להפעיל את ההגנה האדפטיבית בפרויקט שלהם על בסיס מדיניות אבטחה. אחרי לפחות שעה של אימון ותצפית על דפוסי תנועה רגילים, התכונה 'הגנה דינמית' תהיה מוכנה לזהות במהירות ובדייקנות מתקפה בשלב מוקדם במחזור החיים שלה, ולהציע כללי WAF לחסימת המתקפה המתמשכת בלי להשפיע על משתמשים רגילים.
התראות על מתקפות פוטנציאליות והחתימה המזוהה של התנועה החשודה נשלחות ל-Logging, שם הודעת היומן יכולה להפעיל מדיניות התראות מותאמת אישית, לעבור ניתוח ולאחסון או להישלח לפתרון לניהול יומנים או לניהול אירועים ופרטי אבטחה (SIEM) במורד הזרם. מידע נוסף על שילוב של SIEM או ניהול יומנים במורד הזרם זמין במסמכי התיעוד בנושא רישום ביומן.
זיהוי חתימות של התקפות ותגובה
חשוב מאוד לא רק לזהות התקפות פוטנציאליות בשלב מוקדם ולהתריע עליהן, אלא גם לפעול בעקבות ההתראה ולהגיב בזמן כדי לצמצם את ההשפעה של ההתקפות. צוותי התגובה לאירועים בארגונים צריכים להשקיע דקות ושעות יקרות בחקירה, ולנתח לעיתים קרובות יומנים ומערכות מעקב כדי לאסוף מספיק מידע שיאפשר להם לפתח תגובה להתקפה מתמשכת. לאחר מכן, לפני פריסת הפתרון, צריך לאמת את התוכנית כדי לוודא שלא תהיה לה השפעה לא מכוונת או שלילית על עומסי העבודה בסביבת הייצור.
בעזרת Adaptive Protection, צוותי התגובה לתקריות מקבלים את כל מה שהם צריכים כדי לנתח במהירות מתקפת DDoS מתמשכת ברמה 7 ולהגיב לה ברגע שהם מקבלים את ההתראה. ההתראה על הגנה דינמית כוללת את החתימה של התנועה שזוהתה כחלק מהמתקפה הפוטנציאלית. תוכן החתימה יכלול מטא-נתונים על התנועה הנכנסת, כולל קבוצת הכותרות הזדוניות של בקשות HTTP, מיקומים גיאוגרפיים של לקוחות וכו'. ההתראה כוללת גם כלל שתואם לחתימת המתקפה, שאפשר להחיל ב-Cloud Armor כדי לחסום באופן מיידי את התנועה הזדונית.
אירוע ההגנה הדינמית מספק ציון ודאות ושיעור בסיסי משוער של ההשפעה שמשויכים לכלל המוצע, כדי לעזור באימות. לכל רכיב בחתימה יש גם מדדים של הסתברות להתקפה ושיעור ההתקפה, כדי לאפשר לצוותי התגובה לתקריות לכוונן את היקף התגובה, להרחיב אותו או לצמצם אותו.
התאמה אישית של המודל ודיווח על שגיאות באירועים
מודלים לזיהוי התקפות של Adaptive Protection עוברים אימון על מערך נתונים שנוצר באופן מלאכותי כדי להציג את המאפיינים של תנועה תקינה ותנועה זדונית. כתוצאה מכך, יכול להיות שההגנה האדפטיבית תזהה מתקפה פוטנציאלית, אבל אחרי חקירה נוספת, מגיב האירוע או בעלי האפליקציה יקבעו שלא מדובר במתקפה. התכונה 'הגנה דינמית' לומדת מההקשר הייחודי ומדפוסי התנועה של כל אפליקציה מוגנת.
אתם יכולים לדווח על התראות ספציפיות כהתראות שווא כדי לעזור למערכת 'הגנה דינמית' להתאמן ולהתאים אישית את מודלי הזיהוי. אם יש דוחות חיוביים כוזבים, סביר להניח שמודלים של הגנה דינמית לא יתריעו בעתיד על תנועה עם מאפיינים ותכונות דומים. עם הזמן, מודלים הזיהוי של ההגנה הדינמית יותאמו יותר למאפיינים הספציפיים של התנועה בכל מדיניות אבטחה מוגנת. השלבים לדיווח על אירועים חיוביים כוזבים מתוארים במאמר מעקב, משוב ודיווח על שגיאות באירועים.