Blog

Arbor Edge Defense – prva in zadnja obrambna linija zaščite pred naprednimi kibernetskimi grožnjami

Let’s face it. There is no peace time.

Napadi DDoS niso nobena novost v svetu kibernetskih groženj. Danes smo namreč priča izrazito velikim napadom DDoS, ki dosegajo tudi vrednosti Tbps in pri katerih so večje tudi njihova moč, pogostost in kompleksnost. V takšnih napadih se običajno uporabljajo naprave IoT, sam napad pa je mogoče sprožiti s katerega koli mesta in ga usmeriti k tarči, ki je prav tako lahko kjer koli na svetu.

Niso pa samo grožnje DDoS tiste, proti katerim se moramo boriti. Vse večjo težavo predstavljajo napadi Advanced Persistent Threat (APT), napadi z izsiljevalsko programsko opremo, napadi z lažnim predstavljanjem, campaign threats …

Da bi se lahko organizacije zaščitile pred raznimi novimi grožnjami, ki se vsakodnevno pojavljajo, je sodoben varnostni sklad (angl. stack)postal večji in kompleksnejši, vendar žal še vedno zelo pogosto ne opravi svoje naloge dovolj kakovostno. Ekipe strokovnjakov za varnost potrebujejo kakovostno rešitev, ki bo zaznala in ustavile vse vrste kibernetskih groženj – tako dohodne grožnje kot odhodno zlonamerno komunikacijo, ki jo sprožijo okužene naprave v organizaciji. Takšna rešitev se mora enostavno integrirati v obstoječi varnostni sklad in konsolidirati različne funkcionalnosti, da bi se zmanjšali cena, kompleksnost in tveganje.

Letos je NETSCOUT predstavil nov izdelek, imenovan Arbor Edge Defense. Kot lahko sklepate iz samega naslova tega članka, gre za rešitev »Beyond DDoS protection«. Arbor Edge Defense – AED – uporablja edinstven položaj v omrežju, da bi postal prva in zadnja obrambna linija zaščite pred vsakršnimi dohodnimi in odhodnimi grožnjami.

Potrebna je več kot zaščita pred napadi DDoS

AED je posebej usmerjen k zaščiti pred novimi spletnimi grožnjami. Vzporedno s tem se s spreminjanjem arhitekture omrežij spreminja tudi raven kompleksnosti in sofisticiranosti tehnik izvajanja napadov. Današnje kampanje napadov ciljajo pester spekter različnih organizacij zaradi različnih razlogov. Napadalci izpopolnjujejo svoje tehnike napadov, v tradicionalne zlonamerne programske opreme se dodajajo tudi worm moduli, da bi se zlonamerna programska oprema razširila čim lažje in kar najhitreje. Če se ozremo malce v preteklost in se spomnimo situacije NoPetya, kjer je bil (zlonamerni) program za dostop skozi skriti vhod (backdoor) vgrajen v priljubljen računalniški računovodski program, se je zlonamerna programska oprema iz Ukrajine, ki je bila osnovna tarča, zelo hitro razširila po celem svetu.

                                                  Povečano tveganje groženj APT

AED zagotavlja zaščito obstoječih varnostnih rešitev

Tradicionalne varnostne naprave, nameščene na perimetru (zunanjosti) omrežja, kot so požarni zidovi Next-Gen, IPS ali rešitve load balancing, so podvržene napadom state-exhaustion, raziskave pa so pokazale, da je 52 % organizacij imelo požarne zidove, ki so bili pri napadih DDoS neuspešni.

             Firewall in rešitve IPS niso odporni proti napadom DDoS

AED se postavi pred požarni zid ali rešitev IPS ter ju tako ščiti pred napadom DDoS. AED uporablja stateless packet processing engine, ki zazna in ublaži veliko večino napadov DDoS brez spremljanja seje in njenega statusa. Kadar je treba zagotoviti spremljanje seje, AED shrani minimalno potrebne informacije o seji za kratek čas. Zaradi navedenega lahko AED prestane tudi ciljno usmerjene napade, katerih cilj je zapolniti tabelo sej na drugih izdelkih, s čimer ogrozi njihovo dostopnost in razpoložljivost.

                                                                    AED-položaj v omrežnem okolju

 

AED blokira dohodne in odhodne grožnje

Omenili smo edinstven položaj, ki ga ima AED v omrežnem okolju, in dodatno raven varnosti, ki jo nudijo zaščitni požarni zid in rešitvi IPS/IDS. Poleg tega lahko AED blokira komunikacijo z znanimi sumljivimi destinacijami z uporabo seznama o ugledu aplikacije. Prav rešitve, kot je AED, ki uporablja stateless packet processing, lahko najboljše izkoristijo funkcionalnosti, kot so seznami o ugledu.

ATLAS Intelligence Feed (za Arbor Availability Protection System i NETSCOUT Arbor Edge Defense)

                                                                       ATLAS Intelligence Feed

Za zagotovitev celovite zaščite pred grožnjami AED uporablja ATLAS – sistem threat intelligence, ki so ga razvili inženirji NETSCOUT. AIF vključuje geolokacijske podatke in prepozna napade znanih botnetov in zlonamerne programske opreme ter zagotavlja redno in samodejno osveževanje baze groženj na sistemu AED prek varne SSL-povezave.

Učinkovita zaščita in sistem threat intelligence ne bosta prepoznala samo napada, temveč bosta zagotovila tudi kontekst celotnega napada, da bi bilo mogoče bolje razumeti infrastrukturo, uporabljeno v napadu, metode in povezane pokazatelje, da bi lahko strokovnjaki za varnost sprejeli hitrejše in varnejše odločitve. Takšen način poročanja o napadu ne povezuje samo IoC (angl. Indicators of Compromise) z znanimi grožnjami, temveč tudi nudi podatke, ki povežejo na prvi pogled nepovezano dohodno/odhodno komunikacijo, da bi odkrili ciljno usmerjene kampanje. Tako strokovnjaki za varnost dobijo širšo sliko in lahko veliko hitreje povežejo dohodni zlonamerni promet z odhodno komunikacijo ter hitreje odkrijejo in prekinejo napade, preden je povzročena nepovratna škoda za organizacijo.

First and Last Line of Defense

Ob koncu želimo poudariti štiri ključne stvari, po katerih se AED razlikuje od ostalih podobnih izdelkov na trgu in ki mu omogočajo zaznavanje in zaščito pred širokim spektrom odhodnih in dohodnih groženj:

  1. Edinstven položaj na perimetru (zunanjosti) omrežja
  2. Stateless packet processing
  3. ATLAS Global Threat Intelligence
  4. Unique Threat Report with all contextual information

Imate kakšno vprašanje? Želimo demo, predstavitev ali sestanek? Sporočite nam!

Dodatne povezave:

https://www.netscout.com/products/netscout-aed

https://www.netscout.com/five-things-about-aed

https://www.netscout.com/sites/default/files/2018-10/SECPDS_012_EN-1805-ATLAS-Intelligence-Feed.pdf

https://www.netscout.com/sites/default/files/2018-10/SECPDS_013_EN-1804-NETSCOUT-Arbor-Edge-Defense_0.pdf

 

 

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter
Potrebujete ponudbo ali pomoč pri konfiguraciji rešitve? Iščete partnerja za implementacijo?
Kontaktirajte nas!