תרחישים לדוגמה לשימוש בהגנה דינמית

התכונה 'הגנה אדפטיבית' ב-Google Cloud Armor מזהה באופן אוטומטי מתקפות מניעת שירות מבוזרות (DDoS) בשכבה 7 (L7) ודפוסי תעבורה פוגעניים. במסמך הזה מתוארים תרחישי שימוש נפוצים ב-Adaptive Protection, כולל שימוש בלמידת מכונה לגילוי מוקדם, החלה של כללים מוצעים של חומת אש לאפליקציות אינטרנט (WAF) לצורך צמצום הסיכון והתאמה אישית של מודלים. הבנת התרחישים האלה עוזרת לכם לוודא שהשירות זמין ולצמצם את הצורך בתגובה ידנית לאירועים.

זיהוי והגנה מפני מתקפות DDoS בשכבה 7

תרחיש השימוש הנפוץ ביותר ב-Adaptive Protection הוא זיהוי של מתקפות DDoS בשכבה 7 (L7) כמו הצפות של HTTP GET, הצפות של HTTP POST או פעילויות אחרות של HTTP בתדירות גבוהה, ומתן מענה להן. התקפות DDoS ברמה 7 מתחילות בדרך כלל בעוצמה נמוכה יחסית, ומתגברות עם הזמן. עד שבני אדם או מנגנונים אוטומטיים לזיהוי עלייה חדה יזהו מתקפה, סביר להניח שהעוצמה שלה תהיה גבוהה והיא כבר תשפיע באופן שלילי על האפליקציה. חשוב לציין שאפשר לראות את העלייה החדה בתעבורה באופן מצטבר, אבל קשה יותר להבחין בזמן אמת בין בקשות בודדות זדוניות לבין בקשות רגילות שנוצרו באופן מלא, כי הן נראות רגילות. באופן דומה, מכיוון שמקורות המתקפה מפוזרים בין רשתות בוטים או קבוצות אחרות של לקוחות זדוניים, שגודלן נע בין אלפים למיליונים, קשה יותר ויותר לצמצם את ההשפעה של מתקפה מתמשכת על ידי זיהוי שיטתי של לקוחות בעייתיים וחסימתם על סמך כתובת ה-IP בלבד. במקרה של DDoS, התוצאה היא שהמתקפה מצליחה להשבית את השירות הממוקד לחלק מהמשתמשים הרגילים או לכולם.

איור של מתקפת DDoS בשכבה 7 (הצפת HTTP GET). מתקפה מוצלחת עלולה להעמיס על האפליקציה המטורגטת ולמנוע ממשתמשים לגיטימיים לגשת לשירות.
איור של מתקפת DDoS ברמה 7 (הצפת בקשות HTTP GET). מתקפה מוצלחת עלולה להעמיס על האפליקציה המטורגטת ולמנוע ממשתמשים לגיטימיים לגשת לשירות. (לוחצים כדי להגדיל)

כדי לזהות במהירות מתקפות DDoS בשכבה 7 ולתת להן מענה, בעלי הפרויקט או מדיניות האבטחה יכולים להפעיל את ההגנה האדפטיבית בפרויקט שלהם על בסיס מדיניות אבטחה. אחרי לפחות שעה של אימון ותצפית על דפוסי תנועה רגילים, ההגנה האדפטיבית תהיה מוכנה לזהות במהירות ובדייקנות מתקפה בשלב מוקדם במחזור החיים שלה, ולהציע כללי WAF לחסימת המתקפה המתמשכת בלי להשפיע על משתמשים רגילים.

ההגנה האדפטיבית מזהה מתקפת DDoS ברמה 7 ומצמצמת את ההשפעה שלה, וכך מאפשרת למשתמשים לגיטימיים לגשת לאפליקציה.
הגנה אדפטיבית מזהה מתקפת DDoS בשכבה 7 ומצמצמת את ההשפעה שלה, וכך מאפשרת למשתמשים לגיטימיים לגשת לאפליקציה. (לוחצים כדי להגדיל)

התראות על מתקפות פוטנציאליות והחתימה המזוהה של התנועה החשודה נשלחות ל-Logging, שם הודעת היומן יכולה להפעיל מדיניות התראות מותאמת אישית, לעבור ניתוח ולאחסון, או להישלח לפתרון לניהול אבטחת מידע ואירועים (SIEM) או לניהול יומנים. למידע נוסף על שילוב של SIEM או ניהול יומנים במורד הזרם, אפשר לעיין במסמכי התיעוד בנושא רישום ביומן.

זיהוי חתימות של התקפות ותגובה

חשוב מאוד לא רק לזהות מתקפות פוטנציאליות בשלב מוקדם ולהתריע עליהן, אלא גם לפעול בעקבות ההתראה ולהגיב בזמן כדי לצמצם את ההשפעה של המתקפות. צוותי התגובה לאירועים בארגונים צריכים להשקיע דקות ושעות יקרות בחקירה, ולנתח לעיתים קרובות יומנים ומערכות מעקב כדי לאסוף מספיק מידע ולפתח תגובה להתקפה מתמשכת. בשלב הבא, לפני פריסת הפתרון, צריך לאמת את התוכנית כדי לוודא שלא תהיה לה השפעה לא מכוונת או שלילית על עומסי העבודה בסביבת הייצור.

תהליך עבודה נפוץ בתהליך התגובה לתקריות בארגון.
תהליך עבודה נפוץ לתגובה לאירוע בארגון. (לוחצים כדי להגדיל)

בעזרת Adaptive Protection, לצוותי התגובה לתקריות יש את כל מה שהם צריכים כדי לנתח במהירות מתקפת DDoS מתמשכת ברמה 7 ולהגיב לה ברגע שהם מקבלים את ההתראה. ההתראה על הגנה דינמית כוללת את החתימה של התנועה שזוהתה כחלק מהמתקפה הפוטנציאלית. התוכן של החתימה יכלול מטא-נתונים על התנועה הנכנסת, כולל קבוצת הכותרות של בקשות HTTP זדוניות, מיקומים גיאוגרפיים של לקוחות וכו'. ההתראה כוללת גם כלל שתואם לחתימת המתקפה, שאפשר להחיל ב-Google Cloud Armor כדי לחסום באופן מיידי את התנועה הזדונית.

אירוע ההגנה הדינמית מספק ציון ודאות ושיעור בסיסי משוער של ההשפעה שמשויכים לכלל המוצע, כדי לעזור באימות. לכל רכיב בחתימה יש גם מדדים של סבירות להתקפה ושיעור ההתקפה, כדי לאפשר לצוות התגובה לתקרית לכוונן את היקף התגובה, להרחיב אותו או לצמצם אותו.

התאמה אישית של המודל ודיווח על שגיאות באירועים

מודלים לזיהוי מתקפות של Adaptive Protection מאומנים על מערך נתונים שנוצר באופן מלאכותי כדי להציג את המאפיינים של תנועה תקינה ותנועה זדונית. כתוצאה מכך, יכול להיות שההגנה הדינמית תזהה מתקפה פוטנציאלית, אבל אחרי בדיקה נוספת, מגיב האירוע או בעל האפליקציה יקבעו שלא מדובר במתקפה. ההגנה האדפטיבית יכולה ללמוד מההקשר הייחודי ומדפוסי התנועה של כל אפליקציה מוגנת.

דוגמה לחתימה של תקיפה פוטנציאלית.
חתימה לדוגמה של מתקפה פוטנציאלית. (לוחצים כדי להגדיל)

אתם יכולים לדווח על התראות ספציפיות כהתראות שווא כדי לעזור ל-Adaptive Protection לאמן ולהתאים אישית את מודלי הזיהוי. אם יש דוחות חיוביים כוזבים, סביר להניח שמודלים של הגנה דינמית לא יתריעו בעתיד על תנועה עם מאפיינים ותכונות דומים. עם הזמן, מודלים לזיהוי של הגנה דינמית יותאמו יותר למאפיינים הספציפיים של התנועה בכל מדיניות אבטחה מוגנת. השלבים לדיווח על אירועים חיוביים כוזבים מפורטים במאמר מעקב, משוב ודיווח על שגיאות באירועים.

המאמרים הבאים