Dağıtılmış hizmet reddi (DDOS) saldırıları, siber suçların en yaygın ve yıkıcı biçimlerinden biri olmaya devam etmektedir. Savunucular geleneksel olarak devam ettikten sonra bu saldırıları tespit etmeye odaklanmışlardır. Yeni araştırmalar, DDOS saldırılarını önceden tahmin etmenin mümkün olabileceğini ve güvenlik ekiplerine savunmalarını planlamaya başlamasını sağlıyor.
Yeni bir çalışma, derin öğrenme kullanarak DDOS etkinliğini tahmin etmeye yönelik bir yaklaşımı özetlemektedir. Universiti Malaya ve Universiti Teknikal Malezya Melaka’dan araştırmacılar, 2019-2021 yılları arasında gerçekleşen 192.525 DDOS saldırılarını analiz etti. Amaçları, geçmiş faaliyetteki kalıpların yaklaşan dalgalanmaları tahmin etmek için kullanılıp kullanılamayacağını belirlemekti.
Ekip, birçok kuruluşun operasyonları çevrimiçi olarak kaydırmak zorunda kaldığı Covid-19 dönemine odaklandı. Bu süre zarfında, DDOS etkinliği keskin bir şekilde büyüdü, saldırı boyutları ve süreler benzeri görülmemiş seviyelere ulaştı. Bir örnekte, araştırmacılar 2019-2020 yılları arasında saniyede 1 terabiti aşan saldırılarda yüzde 94 artış buldular.
Tespitten tahmine geçiş
Çoğu siber güvenlik aracı, saldırıları gerçek zamanlı olarak tespit etmek için tasarlanmıştır. Bir anomali işaretlendiğinde, hasar verilebilir. Araştırmacılar, DDOS saldırılarını sadece tespit etmek yerine tahmin etmeye odaklanan farklı bir yaklaşım öneriyorlar.
Modelleri, ardışık verilerdeki kalıpları tanımak için tasarlanmış bir tür derin öğrenme algoritması olan uzun kısa süreli bellek (LSTM) kullanır. Bu durumda, dizi DDOS aktivitesinin zaman serisi verileridir. Modeli tarihsel saldırı verileri üzerine eğiterek, sistem, trafik hacminde bir artış veya saldırı süresinde ani bir artış gibi daha sonra ne olacağını tahmin etmeye çalışır.
Tahminler kesin olmasa da, model umut verici sonuçlar gösterdi. Dalgalanmanın kesin boyutunu her zaman tahmin etmese bile, saldırı faaliyetinde önemli ani artışların meydana geldiği zaman başarıyla tanımlandı. Güvenlik ekipleri için bu kısmi öngörü bile değerli olabilir. DDOS trafiğinde yaklaşan bir artışla ilgili bir uyarı, kuruluşların kaynak tahsis etmelerine, ağ yapılandırmalarını ayarlamasına veya saldırı zirveleri önce azaltma hizmetleri hazırlamalarına yardımcı olabilir.
Yerel etkiye sahip küresel bir veri kümesi
Bu araştırmada kullanılan veri kümesi, dünya çapında DDOS etkinliğini görselleştiren bir proje olan dijital saldırı haritasından kazınmıştır. Veriler, 330’dan fazla İnternet servis sağlayıcısından geldi ve bu da onu küresel ölçekte DDOS saldırılarını tahmin etmek için mevcut daha kapsamlı kamu kaynaklarından biri haline getirdi.
Araştırmacılar, bu küresel verileri analiz ederek saldırganların nasıl işlediğine dair temel eğilimleri belirlediler. Toplam trafik, UDP kötüye kullanımı ve IP parçalanma saldırıları, çalışma dönemi boyunca en yaygın tiplerdir. Araştırma ayrıca bazı saldırı yöntemleri yıllardır varken, gitmediklerini buldu. Bunun yerine, saldırganlar eski teknikleri yeni taktiklerle birleştiriyor ve savunması daha zor olan karmaşık, çok vektör kampanyaları oluşturuyor.
Bu bulgular birçok güvenlik ekibinin yerde gördüğü şeyle eşleşiyor. IoT botnetlerinin ve “işe alım için DDOS” hizmetlerinin yükselişi, saldırganların çeşitli ve öngörülemeyen kampanyalar başlatmasını kolaylaştırdı. Bu taktik çeşitliliği, statik savunmaların sıklıkla başarısız olmasının önemli bir nedenidir.
Güvenlik ekipleri için neden önemlidir?
Çalışma, savunucuların DDOS tehditleri hakkında nasıl düşündüklerinde önemli bir değişimi vurgulamaktadır. Tespit ve hafifletme her zaman gerekli olacaktır, ancak bunlar reaktif adımlardır. DDOS saldırılarını tahmin etmek, tehditleri gerçekleşmeden önce öngörerek yukarı akışta hareket etme şansı sunar.
Teknoloji henüz üretim kullanımına hazır değil. Araştırmacılar, modellerinin yüksek bir hata marjına sahip olduğunu ve daha fazla iyileştirmeye ihtiyaç duyduğunu kabul ediyorlar. Ancak, kavramın kendisi çekiş kazanmaktır. Makine öğrenimi modelleri geliştikçe ve veri kümeleri daha ayrıntılı hale geldikçe, tahmin DDOS savunmasının standart bir parçası olabilir.
Araştırma ayrıca iyi verilerin değerinin altını çizmektedir. Doğru tahmin, büyük, güncel veri kümelerine bağlıdır. Mevcut birçok kamu veri kümesi modası geçmiş veya eksiktir, bu da mevcut modellerin doğruluğunu sınırlar. Güvenlik ekiplerinin, ilgili, yüksek kaliteli verilere erişebildiklerinden emin olmak için servis sağlayıcılar ve tehdit istihbarat ortakları ile yakın çalışması gerekebilir.
DDOS tahmininin geleceği
Bu çalışma hala erken aşama olsa da, DDOS savunmasının nereye gidebileceğine bir bakış sunuyor. Gelecekte, kuruluşların mevcut saldırı trafiğini ve olası etkinlik saatlerini ve hatta günleri gösteren gösterge tabloları olabilir. Tepkiden DDOS saldırılarını tahmin etmeye geçiş, savunucuların büyük ölçekli aksamalar için nasıl hazırlandıkları konusunda bir fark yaratabilir.
Şimdilik, araştırma gelecekteki gelişme için bir temel sağlamaktadır. Ayrıca CISOS’a, öngörücü analitiklerin siber güvenlikteki en kalıcı tehditlerden birinin önüne geçmelerine nasıl yardımcı olabileceği konusunda ekipleriyle konuşmalara başlamak için bir neden verir.
İndir: Finans sektörü için Siber Savunma Rehberi