V predchádzajúcom článku tejto série o základoch DDoS sme písali o spôsoboch, ktorými môže anti-DDoS systém tieto útoky blokovať. Jeden z nich sa týka využitia informácií o hrozbách, čiže threat intelligence. K čomu je táto inteligencia dobrá a prečo by ste ju vôbec mali používať?
V tomto texte sa to pokúsime vysvetliť. Stručne povedané obranný systém, ktorý je vybavený akcieschopnou threat intelligence môže:
- Poskytnúť informácie, odkiaľ DDoS útok prichádza
- Blokovať známe škodlivé IP adresy na základe blacklistu
- Identifikovať aktuálne DDoS zbrane
Pozrime sa na každú z týchto schopností bližšie.
Hlavné prínosy informácií o DDoS nástrojoch
Threat intelligence použitá v rozsiahlom obrannom systéme predstavuje viac ako len zozbierané dáta. Ide o sadu inštrukcií, ktoré môže systém použiť k lepšej ochrane siete.
Inými slovami nie je to len threat intelligence, ale sú to akcieschopné informácie o DDoS zbraniach.
Akcieschopná inteligencia v oblasti DDoS nástrojov umožňuje:
1. Poskytnúť informácie o tom, odkiaľ DDoS útok prichádza: Pred samotným útokom neviete, kto je zaň zodpovedný, kedy zaútočí a prečo. Avšak vzhľadom na to, že DDoS útoky sú distribuované, používajú prenajaté botnety a nakazené servery, správna threat intelligence vám dokáže povedať, odkiaľ útok prichádza.
2. Blokovať známe škodlivé IP adresy na základe blacklistu: Dôkladným skúmaním forenzných dát a sledovaním aktivít botov skrze analýzu nastražených pascí (honey potov), môžu threat intelligence systémy odovzdať anti-DDoS systémom informácie, ktoré IP adresy zaradiť na blacklist.
3. Identifikovať aktuálne DDoS nástroje: Threat intelligence systémy skenujú internet a hľadajú aktuálne DDoS zbrane. Tieto informácie pomôžu anti-DDoS riešením blokovať aj najnovšie typy útokov.
Inteligencia, ktorá nie je akcieschopná, má iba informačný charakter. Ochrana pritom môže byť lepšie pripravená, keď prepojí rozsiahle informácie o DDoS nástrojoch s modernými platformami, ktoré dokážu priebežne nahrávať aktuálne dáta do blacklistov o desiatkach miliónov záznamov.
Bohužiaľ, tradičná DDoS obrana je podobná ACL firewallům a má zvyčajne limitované schopnosti blacklistingu (napr. 64 tis. záznamov). K dispozícii je pritom aj akcieschopná inteligencia a moderné platformy, pri ktorých nemusíte sedieť a čakať, kedy príde ďalší útok. Len je potrebné sa uistiť, že anti-DDoS systém, ktorý ste zvolili, dokáže na blacklist nahrávať milióny záznamov z online zdrojov.
Budete potom mať možnosť proaktívne pristupovať k ochrane pred DDoS a zásadne zvýšiť svoje šance na zastavenie útoku ešte predtým, než vôbec začne.
Nezabudnite aj na prvé dva diely tohto trojdielneho seriálu:
- Päť krokov, ktorými vám automatizácia ušetrí počas DDoS útoku čas
- Tri spôsoby, ako blokovať DDoS útoky
Autor: Donald Shin, A10
Networks
Preklad a úpravy: Jan Mazal, VPGC
Zdroj: A10 Networks – Three Reasons You Need Weapons Intelligence