Hastighet är nyckeln när det kommer till DDoS-skydd. Massiva och snabbspridande överbelastningsattacker kan dyka upp plötsligt och på bara några sekunder växa till flera hundra gigabits storlek. Applikationer kan se ut att fungera som de ska för att sedan abrupt bli obrukbara, till synes helt utan orsak. Det här skriver Arbor Networks.
När du väl inser att du är under attack kan betydande skador redan ha uppstått.
DDoS-attacker slår ofta mot flera mål samtidigt, från bandbredd till applikationer och befintlig infrastruktur, inklusive nätverksbrandväggar, webbapplikationsbrandväggar (WAF) och IPSer (Intrusion Prevention Systems). Attackerna utförs inte sällan i flera skikt och utnyttjar en kombination av attackmetoder och avledande taktik för att överbelasta och slå ut företagens IT-skyddslösningar. Förmågan att skydda ditt företag och upprätthålla din tjänstetillgänglighet är direkt beroende av hur snabbt du kan reagera på de här flerfrontshoten.
Tre viktiga faktorer som avgör hastigheten
Hur kan du då trimma bort viktiga svarstidssekunder och få oddsen på din sida? Framför allt bör du fokusera på tre viktiga faktorer som avgör hastigheten:
Upptäckt: Att snabbt upptäcka DDoS-attacker är den viktigaste nyckeln för snabb skadelindring. Vilken lösning du här väljer har stor betydelse för din riskprofil. Väljer du en ny funktion för brandväggen eller skaffar du ett specialbyggt DDoS-skydd? Vad är skillnaden och varför är den viktig?
IPS-enheter, brandväggar och andra säkerhetsprodukter är viktiga element i en skiktad skyddsstrategi, men de är designade för att lösa säkerhetsproblem som skiljer sig betydligt från DDoS-attacker. IPS-enheter blockerar t ex intrångsförsök i syfte att stjäla data, medan brandväggar genomdriver policys för att förhindra obehörig åtkomst till data. Även om dessa säkerhetsprodukter är effektiva när det gäller att stärka nätverksintegriteten och sekretessen, så klarar de inte av att hantera den viktigaste aspekten i samband med DDoS-attacker – nätverkstillgänglighet.
Begränsningarna i brandväggar och IPS-enheter belyser fördelarna med intelligenta DDoS-lindringslösningar (IDMS).
* En IDMS är en tillståndsokänslig lösning, vilket innebär att den inte spårar tillståndet för alla anslutningar. En tillståndskänslig enhet som en brandvägg eller IPS är känslig för DDoS-attacker och förvärrar bara problemet.
*En IDMS-lösning är inte beroende av de signaturer som initialt skapades när attacken har påbörjades mot målen. Den har istället stöd för flera olika attackmotåtgärder, vilket möjliggör förkonfigurerat skydd mot de flesta sorters attacker.
*IDMS-lösningen har stöd för olika distributionskonfigurationer och möjliggör framför allt distributioner utanför IP-nätverket när så krävs. Denna flexibilitet kan öka lösningens skalbarhet, vilket är ett krav då storleken på DDoS-attackerna ständigt ökar.
*För att verkligen hantera distribuerade DoS-attacker är IDMS en helt integrerad lösning med stöd för en distribuerad detektionsmetod. IPS-enheter som bara använder en enda segmentbaserad detektering missar större attacker.
Automatisering: Idag strävar man mot automatiserade säkerhetslösningar, som både kan bidra till att hantera bemanningsproblem och gynna svarshastigheten. De goda nyheterna är att det, med rätt IDMS, går att upptäcka attacker och automatiskt påbörja lindringsåtgärder, ofta innan säkerhetsoperatörerna ens blir medvetna om attacken. IDMS-lösningar kaninnehålla dussintals inbyggda, automatiserade motåtgärder, var och en utformad för specifika typer av attacker.
I en distribution med DDoS-hybridskydd, som kombinerar ett lokalt och ett molnbaserat lindringsskydd, kan en signal skickas från en IDMS för att genast aktivera molnbaserade motåtgärder, samt automatiskt när attackvolymen når en angiven tröskel. Detta är särskilt viktigt eftersom attackerna inte bara blir större, utan även alltmer flerskiktade.
Respons: En lyckad hantering av DDoS-attacker inleds initialt med att ha de rätta tekniska lösningarna på plats. Även när flera aspekter av DDoS-skyddet är automatiserat, som t ex förinställda motåtgärder och anslutning till molnbaserad lindring, spelar människor alltid en viktig roll för responsen och det totala skyddet. Säkerhetsteam måste vara förberedda på att känna igen och bemöta hot utan att tveka. Förberedelse är den viktigaste aspekten för att utveckla de organisatoriska reflexerna och snabba på incidentresponsen under en attack.
Tre viktiga frågor som alla företag bör ställa sig idag är: Har vi en plan för DDoS-incidentrespons? Vet du hur du ska engagera hela organisationen, med nätverk, applikationer och serviceteam i händelse av en attack? Har du en kommunikationsplan för regel- och överensstämmelsefrågor för dina kunder, investerare och partners?
NETSCOUT Arbors flera decennier av erfarenhet av DDoS-skydd har visat att övning är nödvändigt för snabb och effektiv incidentrespons. Att ignorera den kritiska mänskliga faktorn när det kommer till DDoS-skydd kan vara lika katastrofalt för ditt företag som att välja fel lösning.
Text: Arbor Networks
