Tři důvody, proč jsou potřebné informace o DDoS zbraních

V předchozím článku této série o základech DDoS jsme psali o způsobech, kterými může anti-DDoS systém tyto útoky blokovat. Jeden z nich se týká využití informací o hrozbách, neboli threat intelligence. K čemu je tato inteligence dobrá a proč byste ji vůbec měli používat?

V tomto textu se to pokusíme vysvětlit. Stručně řečeno obranný sytém, který je vybaven akceschopnou threat intelligence může:

  • Poskytnout informace, odkud DDoS útok přichází
  • Blokovat známé škodlivé IP adresy na základě blacklistu
  • Identifikovat aktuální DDoS zbraně

Podívejme se na každou z těchto schopností blíže.

Hlavní přínosy informací o DDoS nástrojích

Threat intelligence použitá v rozsáhlém obranném systému představuje víc než jen sesbíraná data. Jde o sadu instrukcí, které může systém použít k lepší ochraně sítě.

Jinými slovy není to jen threat intelligence, ale jsou to akceschopné informace o DDoS zbraních.

Akceschopná inteligence v oblasti DDoS nástrojů umožňuje:

  1. Poskytnout informace o tom, odkud DDoS útok přichází: Před samotným útokem nevíte, kdo je za něj odpovědný, kdy zaútočí a proč. Avšak vzhledem k tomu, že DDoS útoky jsou distribuované, používají pronajaté botnety a nakažené servery, správná threat intelligence vám dokáže říct, odkud útok přichází.
  2. Blokovat známé škodlivé IP adresy na základě blacklistu: důkladným prozkoumáním forenzních dat a sledováním aktivit botů skrze analýzu nastražených pastí (honey potů), mohou threat intelligence systémy předat anti-DDoS systémům informace, které IP adresy zařadit na blacklist.
  3. Identifikovat aktuální DDoS nástroje: threat intelligence systémy skenují internet a hledají aktuální DDoS zbraně. Tyto informace pomohou anti-DDoS řešením blokovat i nejnovější typy útoků.

Inteligence, která není akceschopná, má pouze informační charakter. Ochrana přitom může být lépe připravená, když propojí rozsáhlé informace o DDoS nástrojích s moderními platformami, které dokážou průběžně nahrávat aktuální data do blacklistů o desítkách milionů záznamů.

Bohužel, tradiční DDoS obrana je podobná ACL firewallům a má obvykle limitované schopnosti blacklistingu (např. 64 tis. záznamů). K dispozici je přitom i akceschopná inteligence a moderní platformy, u kterých nemusíte sedět a čekat, kdy přijde další útok. Jen je potřeba se ujistit, že anti-DDoS systém, který jste zvolili, dokáže na blacklist nahrávat miliony záznamů z online zdrojů.

Budete pak mít možnost proaktivně přistupovat k ochraně před DDoS a zásadně zvýšit své šance na zastavené útoku ještě předtím, než vůbec začne.

Nezapomeňte i na první dva díly tohoto třídílného seriálu:

Autor: Donald Shin, A10 Networks
Překlad a úpravy: Jan Mazal,
VPGC

Zdroj: A10 Networks – Three Reasons You Need Weapons Intelligence