V predchádzajúcom článku tejto série o základoch DDoS sme písali o spôsoboch, ktorými môže anti-DDoS systém tieto útoky blokovať. Jeden z nich sa týka využitia informácií o hrozbách, čiže threat intelligence. K čomu je táto inteligencia dobrá a prečo by ste ju vôbec mali používať?

V tomto texte sa to pokúsime vysvetliť. Stručne povedané obranný systém, ktorý je vybavený akcieschopnou threat intelligence môže:

  • Poskytnúť informácie, odkiaľ DDoS útok prichádza
  • Blokovať známe škodlivé IP adresy na základe blacklistu
  • Identifikovať aktuálne DDoS zbrane

Pozrime sa na každú z týchto schopností bližšie.

Hlavné prínosy informácií o DDoS nástrojoch

Threat intelligence použitá v rozsiahlom obrannom systéme predstavuje viac ako len zozbierané dáta. Ide o sadu inštrukcií, ktoré môže systém použiť k lepšej ochrane siete.

Inými slovami nie je to len threat intelligence, ale sú to akcieschopné informácie o DDoS zbraniach.

Akcieschopná inteligencia v oblasti DDoS nástrojov umožňuje:

1. Poskytnúť informácie o tom, odkiaľ DDoS útok prichádza: Pred samotným útokom neviete, kto je zaň zodpovedný, kedy zaútočí a prečo. Avšak vzhľadom na to, že DDoS útoky sú distribuované, používajú prenajaté botnety a nakazené servery, správna threat intelligence vám dokáže povedať, odkiaľ útok prichádza.

2. Blokovať známe škodlivé IP adresy na základe blacklistu: Dôkladným skúmaním forenzných dát a sledovaním aktivít botov skrze analýzu nastražených pascí (honey potov), môžu threat intelligence systémy odovzdať anti-DDoS systémom informácie, ktoré IP adresy zaradiť na blacklist.

3. Identifikovať aktuálne DDoS nástroje: Threat intelligence systémy skenujú internet a hľadajú aktuálne DDoS zbrane. Tieto informácie pomôžu anti-DDoS riešením blokovať aj najnovšie typy útokov.

Inteligencia, ktorá nie je akcieschopná, má iba informačný charakter. Ochrana pritom môže byť lepšie pripravená, keď prepojí rozsiahle informácie o DDoS nástrojoch s modernými platformami, ktoré dokážu priebežne nahrávať aktuálne dáta do blacklistov o desiatkach miliónov záznamov.

Bohužiaľ, tradičná DDoS obrana je podobná ACL firewallům a má zvyčajne limitované schopnosti blacklistingu (napr. 64 tis. záznamov). K dispozícii je pritom aj akcieschopná inteligencia a moderné platformy, pri ktorých nemusíte sedieť a čakať, kedy príde ďalší útok. Len je potrebné sa uistiť, že anti-DDoS systém, ktorý ste zvolili, dokáže na blacklist nahrávať milióny záznamov z online zdrojov.

Budete potom mať možnosť proaktívne pristupovať k ochrane pred DDoS a zásadne zvýšiť svoje šance na zastavenie útoku ešte predtým, než vôbec začne.

Nezabudnite aj na prvé dva diely tohto trojdielneho seriálu:

Autor: Donald Shin, A10 Networks
Preklad a úpravy: Jan Mazal,
VPGC

Zdroj: A10 Networks – Three Reasons You Need Weapons Intelligence