18 декабря 2014
Традиционные решения для обнаружения DDoS-атак ограничены по своим возможностям, они способны управлять только сетевой телеметрией, такой как сетевой поток (netflow), который не несет атрибутов уровня приложений и оставляет массивную брешь при обнаружении современных атак уровня приложений. Кроме того, все эти решения обеспечивают сигнатурное детектирование и отражение атак в режиме on premises, что не есть эффективным против неизвестных атак нулевого дня. Далее, такие решения оценивают только входной трафик на основе сигнатурной базы угроз, оставляя уязвимости в безопасности для прохода вредоносного трафика. Один из примеров – атака DNS-усиления.
Кроме того, традиционные решения не способны различать легитимный и вредоносный трафик. Таким образом, система должна быть сконфигурирована вручную для определения высокого/среднего/низкого пороговых величин, на которых трафик должен быть блокирован. Подобный подход ведет к компромиссу между низким порогом ложного положительного срабатывания и агрессивной защитой. Если порог выставлен слишком высоко, это создает проблему ложного позитивного срабатывания, что приводит к блокированию больших объемов легального трафика. Если занижен, то потенциально вредоносный трафик будет разрешен, что приведет к взлому. Нехватка инструментов защиты на уровне Layer 7 и неспособность реализовать мониторинг защищенных ресурсов делают традиционные DDoS-решения неэффективными против современных атак, которые осуществляются вне границы сигнатурного периметра.
Вкратце, обеспечение полного спектра средств защиты против современных DDoS-атак требует отдельного решения с малым временем ожидания, расположенного локально на периметре ЦОДа. Такое решение оценивает производительность каждого приложения, от Layer 7 до сетевых ресурсов, требуемых для гарантии их доступности, осуществляя мониторинг, как входящего, так и исходящего трафика. Это наиболее эффективный подход для предотвращения известных и неизвестных атак, различающих легитимный и вредоносный трафик, и минимизирующий ложные позитивные срабатывания. В этом случае даже не требуется ручная настройка сигнального порога, который был всегда необходим, а ведь он создает постоянную операционную нагрузку, и всегда запаздывает в сравнении с реальными изменениями в шаблоне трафика.
Juniper DDoS Secure — защита от DDoS—атак для бизнес-критических приложений
Полностью придерживаясь стратегии инноваций, компания Juniper Networks выпустила решение Juniper DDoS Secure, которое прошло проверку и показало высокие результаты в обнаружении и отражении DDoS-атак. На сегодня продукт помог избежать ущерба для компаний, работающих в сфере массовой информации, онлайн-розницы, онлайн-игр, финансов, образования и правительственных органов.
В противоположность традиционным решениям, Juniper DDoS Secure использует несигнатурные технологии для обнаружения и отражения атак уровня приложений. Программа инспектирует весь входящий и исходящий трафик на периметре ЦОДа, а также осуществляет мониторинг производительности приложений с каждым входящим клиентским запросом. Перед использованием порогового метода или настройки для отражения атак, Juniper DDoS Secure использует специальный алгоритм, CHARM, для количественной оценки рисков в режиме реального времени, связанной с двухсторонним трафиком. Продукт анализирует ресурсы целевого приложения, когда последнее прибывает под атакой. Если приложение атакуют, он поднимает порог CHARM, требуемый для доступа к приложениям, блокируя наиболее рисковый трафик. Путем корреляции входящих рисков и исходящей реакции, DDoS Secure способен обнаруживать невидимые атаки, которые типично обходят традиционные сигнатурные решения защиты от DDoS.
Инновационная архитектура Juniper DDoS Secure использует процесс «обратной связи» для анализа полного цикла входящих пакетов и ответа, который был отправлен обратно запрашивающей стороне.
DDoS Secure является самообучающимся и не требует настройки или определения пороговой величины. Он осуществляет мониторинг того, как приложение реагирует и анализирует каждое нападение. Этот инновационный эвристический подход позволяет технологиям определять, как должен выглядеть нормальный трафик и нормальная реакция со стороны приложения. Когда происходит новая атака, DDoS Secure обновляет алгоритм для включения характеристик новой атаки, создавая высокоинтеллектуальную систему обороны от DDoS, которая включает динамические обновления. В случае атаки DNS-усиления, DDoS Secure применяет интеллектуальный подход в отношении DNS-ресурса с целью отбить атаку еще до того, как она парализует DNS-сервер. Специальные фильтры Juniper DDoS Secure отсеивают периодически повторяющиеся запросы DNS-системы для одной и той же информации, тем самым предотвращая атаку DNS-усиления и защищая цели злоумышленников от зловредных запросов, влияющих на их доступность.
По существу, система различает реальный пользовательский трафик и трафик, сгенерированный машиной. Этот подход гарантирует пропуск легитимного трафика и блокирование атак еще до того, как они причинят вред. Это критически важно в течение периода, когда серверы находятся под высокой нагрузкой, например, во время рождественских праздников, когда любые перебои в доступе к серверу по причине ложного позитивного срабатывания могут привести к падению прибыли. Многие киберпреступники сегодня комбинируют эти новые усложненные DDoS-атаки с традиционные «лавинными» атаками, в то же время, DDoS Secure способен обнаруживать и предотвращать оба типа атак.
DDoS Secure можно установить в виде физического устройства размером 1U, или виртуальной машины. Поскольку решение коррелирует входящую и исходящую информацию для оценки рисков, а не использует предопределенную пороговую величину, ложные позитивные срабатывания ограничены, что делает управление простым и легким в развертывании. Кроме того, интеграция BGP позволяет решению работать с облачным защитным решением для борьбы с масштабными «лавинными» атаками.
Flood—атаки, построенные на больших объемах трафика, могут быть отражены в облаке, однако новый тип атак уровня приложений и мультивекторные атаки требуют выделенного интеллектуального on premises решения, которое может их отразить и гарантировать стопроцентную доступность для бизнес-критических приложений. Благодаря Juniper DDoS Secure как интегральной части корпоративной сетевой инфраструктуры приложений, компании могут закрыть бреши в отражении DDoS-атак, значительно уменьшив разрушающую силу этих атак, финансовое мошенничество в режиме онлайн и хищение данных. Компании также могут меньше фокусироваться на безопасности и больше сосредоточиться на новых возможностях для бизнеса.
[:]
