ВАЖНО! До скоро, всичко което компаниите трябваше да предпазват – приложения, бази данни, чувствителна информация – беше обособено в определен физически периметър. Една машина, едно устройство, един сървър. Основното правило? Защитете организационния периметър и вашите данни и информационни активи ще бъдат защитени.

С навлизането на клауд технологиите граници вече няма, а периметър още по-малко. Как може една компания да предпази активите си, без дори в някои случаи да знае къде са позиционирани те? Отговорите по тази така важна тема, вижте в по-долните редове!

IT **инфраструктурата на много компании прилича на тази от фигурата:

Ddos_infrastr1

Дата центровете оперират в различни локации, а голям процент от инфраструктурата вече е разположена в облачни технологии. Това разделяне предоставя както много възможности, така и достатъчно предизвикателства. Хакерите стават все по-изобретателни, а информацията ни все по-уязвима, което означава, че съществуващите мерки за сигурност, трябва да бъдат преразгледани.

Онлайн сигурността се развива, а заедно с нея и кибер атаките и престъпленията. Тактиките и нападенията стават все по-сложни и обиграни. Всички знаем, че няма сигурен и точен метод да предотвратим тези атаки, но има много голяма нужда те да бъдат максимално ограничени. Компанията и всички нейни потребители са изложени на риск, ако тя не вземе под внимание атаките и не ги включи в стратегията си по сигурност.

Нека разгледаме по-подробно предизвикателството за защита на разпокъсаната IT инфраструктурата, когато не знаем коя част от нея ще бъде атакувана и как тази атака ще повлияе цялостно на активите на компанията:

Нова действителност, Нови предизвикателства

  • Мрежовият периметър е на изчезване - компаниите разшириха инфраструктурата си до публичен клауд, развивайки нови приложения в него или използвайки го за disaster recovery. Сега бизнесът е изправен пред необходимостта от защита на приложенията в облака, както и в частните дата центрове. Това прави традиционните технологии за сигурност недостатъчни и за това, компаниите трябва да изградят множество умения и да поддържат нов набор от инструменти за управление.
  • Пазарът на CDN услуги се разширява - Мрежите за доставяне на съдържание (CDN) отварят нови уязвимости по отношение на сигурността. Хакерите преодоляват мощният механизъм за кеширане, който е в основата на CDN решенията, като търсят динамично съдържание. Използвайки този метод, опитните хакери могат да създадат инструменти за атака, които да преминат под CDN радара и да достигнат до сървърите за приложения в дата центъра.
  • Виртуализацията в дата центровете е предпоставка за злонамерени атаки насочени към достъпността на сайтовете и приложенията – Да, частните облачни технологии защитават конфиденциалността и интегритета на данните, но те не разполагат със средства за защита на физическата инфраструктура срещу атаки целящи да затруднят достъпността. Атаки насочени към външни приложения могат да нарушат достъпността до критични вътрешни приложения, както и атаката към едно приложение може да застраши сигурността на други такива в една споделена инфраструктура.

Сложната IT инфраструктура изисква многопластова стратегия по сигурността

Традиционните решения за сигурност обикновено обединяват в една система процесите по откриването и ограничаването на атаката. Системните оператори създават правила (политики или профили) и на тази основа, системата блокира/допуска трафик, който отговаря на предварително зададените правила. В някои случаи, системата ще сигнализира при появата на подозрителен трафик и е необходимо вашия администратор да обработи информацията ръчно. Традиционните решения за сигурност предотвратяват атаки засечени в точката където са разположени физически. Те имат твърде ограничени възможности за ограничаване на сложни атаки, които изискват поглед върху цялата мрежа и осведоменост за различните аспекти на системата.

За съжаление, компаниите са прекалено зависими от стандартните механизмите за блокиране и ограничаване, които са все по-неефективни срещу атаките от по-високо ниво. Знаейки, че тези инструменти работят на принципа на „познанието“, атакуващите започват комплексна атака, възползвайки се от липсата на интеграция. Дори и компаниите, инвестиращи в SIEM решения (системи за информация и управление на събитията във връзка със сигурността), често са претоварени от данни, генерирани от инструментите за защита, отвличайки вниманието на операторите, които трябва да следят за евентуални атаки и да ги предотвратяват.

Епохата на интегрираните хибридни решения

Въпреки че звучи като оксиморон, единственото решение е диверсификацията и разпределението на риска. Разпределеният характер на настоящата IT инфраструктура е факторът, който трябва да окаже най-силно влияние за дизайна на решенията за сигурност, за да могат да се справят с комплексните атаки и възникващите заплахи. С други думи, ако имате достъп до вашите активи от различни локации и устройства, то и инструментите за засичане и ограничаване на различни кибер атаки също трябва да бъдат разпределени. Наборът от инструменти трябва да се разшири така, че да покрие всички ресурси на компанията. Многото „крайни точки“ изисква инструментите да са повече, да са разположени в различни локации, и много вероятно да са от различни производители/доставчици. А от своя страна, това множество от инструменти изисква персонал, който да ги управлява и да решава кога, къде и как да се справя с различните атаки.

Сценарии по сигурността

Обмислете тези сценарии, при създаването на стратегия за защита, тъй като те взаимодействат с някои от новите предизвикателства по отношение на сигурността:

  1. Обемните атаки - целящи изчерпване на лимита трафик, така че да изчерпи пропускателната способност на интернет канала и се засичат с помощта на Dos/DDoS устройства позиционирани в периметъра.

Наблюдава се нарастваш брой на DDoS решенията срещу този тип атаки, предоставящи хибридни решения – ограничаване на атаката локално докато заплахата от насищане в интернет канала напълно изчезне. Когато се появи атака от подобен тип, трафикът се пренасочва към клауд базиран център и връща към организацията само чист трафик. Процесът е напълно прозрачен, така че да не натоварва потребителското изживяване.

  1. Атаки базирани към IP адреси, маскирани със CDN (мрежа за доставяне на съдържание) се разрешават с помощта на WAF - уеб базирани защитни стени. Когато атаката е ограничена в близост до приложението (не в периметъра), няма гаранция, че тя не е достигнала до други данни/ активи, които не са защитени от WAF. Освен това, ако обема на атаката нарастне и защитната стена няма да успее да я спре, а компанията е уязвима. Решението трябва да бъде скалируемо и следователно може да възникне проблем от наличието на прекалено много интегрирани защитни стени. Най-добрите възможни решения са или да имплементирате защитна стена извън обсега (правейки решението скалируемо) или да позволите защитната стената да разрешава информацията (да бъде използвана в мрежовия контекст, конфигурирайки блокиращо правило в on-premise DoS защитата или ако атаката нараства в клауда). Резултата: „жива“ мрежа, която измества силата на атаката от защитната стена към периметъра или клауда.

Неизбежно е наличието на множество прихващащи и ограничаващи инструменти в борбата с нарастващите атаки. Да, управлението, поддържането и взаимодействието с тях често причиняват главоболие, но ние вярваме че решенията ще се развият и ще бъдат по-бързи, точни и автоматизирани. Това ще изисква от компаниите да са по-добре запознати с процеса и да подобрят видимостта на атаките преди, по време на и след като се появят.

От локация до комуникация

Понеже инструментите за проследяване и ограничаване на атаките са разположени на все повече различни места, постоянно нараства необходимостта от координиращ механизъм.

Разпределението им в цялостната инфраструктурата на компанията може да предостави цялостен поглед върху поведението на системата и състоянието на атаките. Данните събрани от различните инструменти, трябва да се свържат и цялата събрана информация трябва да се вземе под внимание и да се анализира, за да се определи кой процес за ограничаване на атаките да се използва. Усеща се реална необходимост от централизирана , автоматизирана система за управление и контрол, която постоянно да получава информация от всички точки, на бзата на която да взима решения.

Днешните атаки стават все по сложни и комплексни, а компаниите имат защита само срещу това, което могат да засекат. „Засичай каквото можеш и ограничавай, където трябва“ е новата мантра.

*Звучи ви сложно, нали? Доверете се на експертите от ICN.Bg, които са подготвили и специален документ по темета, който можете да намерите ТУК:*

[button url="https://www.icn.bg/bg/whitepaper-2015-ddos/?utmsource=Blogarticle&utmmedium=Link&utmcampaign=DdosWP " icon="icon-download-alt" size="wpbbtn-large" lightbox="false"]Изтегли документа от ТУК[/button]

Етикети: #ddos-zashtita #ddos-ataki #ustojchivost-sreshtu-ataki #ataki-na-sajtove #waf #cdn #hakerski-ataki