Este documento apresenta alguns casos de uso comuns da Proteção Adaptativa do Google Cloud Armor.
Detecção e proteção contra ataques DDoS na camada 7
O caso de uso mais comum para a Proteção Adaptativa é detectar e responder a ataques DDoS na camada 7, como inundações de HTTP do tipo GET, inundações de HTTP do tipo POST ou outras atividades de HTTP com alta frequência. Os ataques DDoS na camada 7 costumam começar em baixa intensidade e aumentar gradualmente ao longo do tempo. No momento em que operadores humanos ou mecanismos automatizados de detecção de anomalias identificam um ataque, ele geralmente já atingiu alta intensidade e está afetando de forma considerável o desempenho do aplicativo. O ponto crítico é que, mesmo sendo possível perceber o aumento geral do tráfego, é muito difícil identificar em tempo real quais solicitações individuais são mal-intencionadas, já que elas se parecem com solicitações normais e legítimas. De modo semelhante, uma vez que as fontes do ataque se encontram distribuídas entre botnets ou grupos de clientes mal-intencionados, que podem variar de milhares a milhões, a mitigação de um ataque em andamento se torna extremamente desafiadora quando baseada exclusivamente na identificação e no bloqueio de clientes maliciosos por endereços IP. No caso de ataques DDoS, o resultado observado é a indisponibilidade do serviço sob ataque, total ou parcial, para os usuários legítimos.
Para detectar e responder rapidamente a ataques DDoS na camada 7, o proprietário do projeto ou da política de segurança pode ativar a Proteção Adaptativa em cada política de segurança do projeto. Após um período mínimo de uma hora de treinamento e análise dos padrões normais de tráfego, a Proteção Adaptativa estará apta a identificar precocemente, com agilidade e rapidez, os ataques no ciclo de vida e recomendar regras de WAF que bloqueiam o ataque em andamento, preservando o acesso dos usuários legítimos.
As notificações de possíveis ataques e a assinatura identificada do tráfego suspeito são enviadas para o Logging, onde a mensagem de registro pode acionar uma Política de Alertas personalizada, ser analisada e armazenada, ou ser enviada para uma solução posterior de gerenciamento de eventos e informações de segurança (SIEM) ou de gerenciamento de registros. Confira a documentação do Logging para mais informações sobre como integrar um sistema posterior de SIEM ou de gerenciamento de registros.
Detecção e resposta a assinaturas de ataques
É essencial não apenas detectar e emitir alertas sobre possíveis ataques de forma antecipada, mas também ser capaz de atuar sobre esses alertas e responder rapidamente para mitigar os ataques. As pessoas responsáveis pelas respostas a incidentes em uma empresa precisam dedicar minutos e horas críticos investigando, analisando registros e monitorando sistemas para reunir informações suficientes e elaborar uma resposta a um ataque em andamento. Em seguida, antes de implantar a ação de mitigação, esse plano deve ser validado para garantir que não cause impactos indesejados ou negativos nas cargas de trabalho de produção.
Com a Proteção Adaptativa, a equipe responsável pela resposta a incidentes tem tudo o que precisa para analisar e responder rapidamente a um ataque DDoS em andamento na camada 7 assim que recebe o alerta. O alerta da Proteção Adaptativa inclui a assinatura do tráfego identificado como potencial participante do ataque. O conteúdo da assinatura inclui metadados sobre o tráfego de entrada, como o conjunto de cabeçalhos das solicitações HTTP mal-intencionadas, as regiões geográficas dos clientes, entre outros dados. O alerta também fornece uma regra correspondente à assinatura do ataque que pode ser aplicada no Cloud Armor para bloquear imediatamente o tráfego malicioso.
O evento da Proteção Adaptativa fornece uma pontuação de confiança e uma projeção da taxa com valor de referência para o impacto associada à regra sugerida, auxiliando na validação. Cada componente da assinatura inclui métricas de probabilidade de ataque e proporção do ataque, possibilitando que as equipes de resposta a incidentes ajustem e delimitem ou expandam o escopo da ação de mitigação.
Como personalizar o modelo e reportar erros relativos a eventos
Os modelos de detecção de ataques da Proteção Adaptativa são treinados em um conjunto de dados artificialmente produzido para apresentar características tanto do tráfego legítimo quanto do mal-intencionado. Como resultado, é possível que a Proteção Adaptativa identifique um possível ataque que, após investigação adicional, o responsável pela resposta ao incidente ou o proprietário do aplicativo determine que não se tratava de um ataque. A Proteção Adaptativa é capaz de aprender com o contexto único e os padrões de tráfego de cada aplicativo protegido.
É possível reportar alertas individuais como falsos positivos para ajudar a Proteção Adaptativa a treinar e personalizar ainda mais os modelos de detecção. Com os relatórios de falsos positivos, os modelos da Proteção Adaptativa vão ter menor probabilidade de gerar alertas para tráfego com características e atributos semelhantes no futuro. Com o tempo, os modelos de detecção da Proteção Adaptativa se tornarão mais ajustados às características específicas do tráfego em cada política de segurança protegida. As etapas para reportar eventos como falsos positivos estão descritas em Como monitorar, enviar feedback e reportar erros sobre eventos.