Blog

Arbor Edge Defense – prva i poslednja linija obrane od naprednih cyber pretnji

Let’s face it. There is no peace time.

DDoS napadi nisu nikakva novost u svetu cyber pretnji. Međutim, danas smo svedoci izrazito velikih DDoS napada koji dosežu i Tbps vrednosti, povećava im se jačina, učestalost i kompleksnost. Već je uobičajena stvar da se u takvim napadima koriste IoT uređaji, a napade je moguće pokrenuti s bilo kog mesta na metu koja je isto tako bilo gde na svetu.

No, nisu DDoS pretnje jedine s kojima se moramo boriti, sve veći problem predstavljaju Advanced Persistent Threat (APT) napadi, ransomware, phishing napadi, campaign threats…

Kako bi se organizacije zaštitile od raznih novih pretnji koje se svakodnevno pojavljuju, moderni sigurnosni stack postao je veći i kompleksniji, ali nažalost i dalje vrlo često ne ispunjava kvalitetno svoj zadatak. Timovima sigurnosnih stručnjaka je potrebno kvalitetno rešenje koje će detektovati i zaustaviti sve tipove cyber pretnji – kako inbound pretnje tako i outbound malicioznu komunikaciju koja je inicirana od strane zaraženih uređaja unutar organizacije. No, isto tako, takvo rešenje treba moći lagano integrisati u postojeći sigurnosni stack, te moraju konsolidovati različite funkcionalnosti kako bi se smanjila cena, kompleksnost i rizik.

Ove godine NETSCOUT je objavio novi proizvod nazvan Arbor Edge Defense. Kao što se može zaključiti iz samog naslova ovog članka, radi se o rešenju “Beyond DDoS protection”. Arbor Edge Defense – AED – koristi jedinstvenu poziciju u mreži kako bi postao prva i zadnja linija obrane od bilo kakvih inbound, ali i outbound pretnji.

Potrebno je više od zaštite od DDoS napada

AED je posebno usmeren prema zaštiti od novih internet prijetnji. Paralelno s tim kako se menja arhitektura mreža, menja se i nivo kompleksnosti i sofisticiranosti tehnika izvođenja napada. Današnje napadačke kampanje targetiraju šarolik spektar različitih organizacija zbog različitih razloga. Napadači usavršavaju svoje tehnike napada, u tradicionalni malware se dodaju i worm moduli, kako bi se maliciozni softver proširio što lakše i što brže. Ako se osvrnemo malo unazad i setimo se „NoPetya“ situacije gde je backdoor bio ugrađen u popularni ukrajinski računovodstveni program – malware se vrlo brzo iz Ukrajine, koja je bila osnovna meta, proširio širom sveta.

                                                   Povećani rizik od APT pretnji

AED osigurava zaštitu postojećih sigurnosnih rešenja

Tradicionalni sigurnosni uređaji postavljeni na perimetru mreže kao što su Next-Gen firewalli, IPS ili load balancing rešenja podložni su state-exhaustion napadima, a istraživanja su pokazala da je 52% enterprise organizacija imalo firewalle koji su nažalost „pali“ prilikom DDoS napada.

             Firewall i IPS rešenja nisu otporna na DDoS napade

AED se postavlja ispred firewall ili IPS rešenja, te ih na taj način štiti od DDoS napada. AED koristi stateless packet processing engine koji detektuje i mitigira veliku većinu DDoS napada, bez praćenja sesije i njenog statusa. U slučajevima gde je potrebno osigurati praćenje sesije AED sprema minimalno potrebne informacije o sesiji na kratko vreme. Zbog navedenog, AED može izdržati i targetirane napade čiji je cilj napuniti tablicu sesija na drugim proizvodima, čime ugrožava njihovu dostupnost i raspoloživost.

                                                                    AED pozicija u mrežnom okruženju

 

AED blokira inbound i outbound pretnje

Spomenuli smo jedinstvenu poziciju koju AED ima unutar mrežnog okruženja i dodatni nivo sigurnosti koji pruža štiteći firewall i IPS/IDS rešenja. Uz to, AED ima sposobnost da blokira komunikaciju prema poznatim sumnjivim destinacijama koristeći reputacijske liste. Upravo rešenja poput AED-a, koji koristi stateless packet processing, imaju najbolju iskorišćenost funkcionalnosti kao što su reputacijske liste.

ATLAS Intelligence Feed (za Arbor Availability Protection System i NETSCOUT Arbor Edge Defense)

                                                                       ATLAS Intelligence Feed

Kako bi osigurao sveobuhvatnu zaštitu od pretnji, AED koristi ATLAS – threat intelligence sistem razvijen od strane NETSCOUT inženjera. AIF uključuje geolokacijske podatke i prepoznaje napade od strane poznatih botneta i malwarea, te osigurava redovno i automatsko osvežavanje baze pretnji na AED sistemu preko sigurne SSL veze.

Efikasna zaštita i threat intelligence sistem neće samo prepoznati napad, već će osigurati i kontekst oko celog napada kako bi se bolje shvatila infrastruktura korišćena za napad, metode i povezani indikatori, da bi stručnjaci za bezbednost mogli doneti brže i sigurnije odluke. Ovaj način izveštavanja o napadu ne povezuje samo IoC (eng. Indicators of Compromise) s poznatim pretnjama, već pruža i podatke koji povezuju na prvi pogleda nepovezanu inbounbd/outbound komunikaciju kako bi se otkrile targetirane kampanje. Na ovaj način stručnjaci za bezbednost dobijaju širu sliku i mogu puno brže povezati inbound maliciozni saobraćaj s outbound komunikacijom, te brže otkriti i prekinuti napade pre nego je nanesena nepovratna šteta za organizaciju.

First and Last Line of Defense

Za kraj želimo dodatno naglasiti 4 ključne stvari koje AED razlikuju od ostalih sličnih proizvoda na tržištu, a koje mu omogućavaju detekciju i zaštitu od širokog spektra inbound i outbound pretnji:

  1. Jedinstvena pozicija na perimetru mreže
  2. Stateless packet processing
  3. ATLAS Global Threat Intelligence
  4. Unique Threat Report with all contextual information

Imate pitanja? Hteli biste demo, prezentaciju ili sastanak? Javite se!

Dodatni linkovi:

https://www.netscout.com/products/netscout-aed

https://www.netscout.com/five-things-about-aed

https://www.netscout.com/sites/default/files/2018-10/SECPDS_012_EN-1805-ATLAS-Intelligence-Feed.pdf

https://www.netscout.com/sites/default/files/2018-10/SECPDS_013_EN-1804-NETSCOUT-Arbor-Edge-Defense_0.pdf

 

 

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter
Treba Vam ponuda ili pomoć pri izradi rešenja? Tražite partnera za implementaciju?
Kontaktirajte nas!