“DDoS hacktivizminin” yükselişi ve Fransız ve Alabama hükümet web sitelerini bozmayı amaçlayan son DDoS saldırıları ışığında, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), devlet kurumlarının (aynı zamanda diğer kuruluşların) bu duruma nasıl yanıt vermesi gerektiğine ilişkin kılavuzunu güncelledi. bu tür saldırılar.
DDoS saldırıları açıklandı
Her şeyden önce belge, DoS saldırısı (tek kaynaktan) ile DDoS saldırısı (birden fazla kaynaktan) arasındaki temel farkı açıklıyor.
Ajans, “DDoS saldırısının DoS saldırısına göre temel avantajı, hedef sistemin kaynaklarını daha büyük ölçüde tüketerek önemli ölçüde daha yüksek trafik hacmi oluşturma yeteneğidir” diyor. Bunun DDoS saldırılarını daha büyük bir sorun haline getirdiğini söylemeye gerek yok.
DDoS saldırıları kullanılan tekniklere göre kategorize edilebilir. Var:
- Bant genişliğini veya sistem kaynaklarını tüketmek amacıyla büyük miktarda trafiği hedefe yönlendirmeyi içeren hacim tabanlı saldırılar
- Hedefin performansını düşürmek veya arızalanmasına neden olmak amacıyla ağ protokolleri veya hizmetlerindeki güvenlik açıklarından yararlanan protokol tabanlı saldırılar
- Hedef sistemde çalışan uygulamalardaki veya hizmetlerdeki güvenlik açıklarını hedef alan uygulama katmanı tabanlı saldırılar (“Katman 7” olarak da bilinir).
Ancak ajans, farklı tekniklerin birleştirilebileceğini ve çoğu zaman birleştirilebileceğini belirtiyor.
DDoS saldırılarını tanıyın ve bunlarla mücadele edin
CISA, bir kuruluşun DDoS saldırısının hedefi olabileceğine dair çeşitli göstergeleri açıkladı.
DDoS Saldırısının Belirtileri (Kaynak: CISA)
Ancak kurum, kuruluşların hedef alınmadan önce DDoS riskini değerlendirmeleri, uygun güvenlik önlemlerini uygulamaları ve bir olay müdahale (IR) planına sahip olmaları gerektiğini savunuyor.
Diğer şeylerin yanı sıra şunları yapmaları gerekir:
- Anormal trafik düzenlerini tanıyabilmek amacıyla normal trafik düzenlerinden haberdar olmak için ağ trafiğini düzenli olarak analiz edin
- CAPTCHA sorgulaması uygulayarak web sitelerini otomatik saldırılara karşı koruyun
- Şüpheli trafik düzenlerini filtrelemek ve belki de trafik hızı sınırlamalarını uygulamak için güvenlik duvarlarını kullanın
- Trafik yükünü dağıtmak ve yedekli ağ altyapısını uygulamak için çözümler kullanmayı düşünün
Ajans, DDoS saldırısının işaretlerini tanıyın ve bunu doğrulamak için ağ izleme araçlarını ve trafik analizini kullanın, ardından IR planınızı etkinleştirin ve saldırıyla ilgili bilgileri (zaman damgaları, IP adresleri, paket yakalamaları, günlükler vb.) toplamaya başlayın diyor. .
İSS'niz, trafik kısıtlamaları ve bağlantı noktası ve paket boyutu filtreleme uygulayarak saldırıyı azaltmanıza yardımcı olabilir; bir içerik dağıtım ağı (CDN) hizmeti, trafiği emerek ve dağıtarak size yardımcı olabilir ve DDoS azaltma sağlayıcıları, kötü amaçlı trafiği filtrelemenize ve yönlendirmenize yardımcı olabilir. .
“Durum çözüldükten sonra saldırı vektörlerini, açığa çıkan güvenlik açıklarını ve öğrenilen dersleri anlamak için kapsamlı bir olay sonrası analiz gerçekleştirin. Gelecekteki saldırıları önlemek için olay müdahale planınızı ve güvenlik önlemlerinizi buna göre güncelleyin,” tavsiyesinde bulundu ve “kötü niyetli aktörlerin taktiklerini, tekniklerini ve prosedürlerini (TTP'ler) uyarlayıp geliştirmeleri nedeniyle sürekli olarak yeni saldırı yöntemleri ve çeşitlerinin ortaya çıktığına” dikkat çekti.