Znalezienie najlepszej ochrony DDOS dla blogów i witryn małych firm

Dni ludzi rozmawiających o szybkim rozwoju Internetu już dawno minęły i dziś mamy do czynienia z wieloma nowymi elementami cyfrowymi do rozważenia. Sam Internet Rzeczy doda potencjalnie miliardy nowych urządzeń do największej sieci na świecie.


Z tak ogromną ekspansją przychodzą równe szanse dla cyberprzestępców, osób i organizacji, które wykorzystują urządzenia przez Internet dla własnych korzyści. Mogą to być wirusy, trojany, ransomware i inne.

Istnieją również znacznie potężniejsze zasoby na wyciągnięcie ręki tych cyberprzestępców, z których jednym jest rozproszona odmowa usługi (DDoS). W rzeczywistości problem jest jeszcze bardziej rozpowszechniony, ponieważ cyberprzestępcy sprzedają usługi ataków DDoS za ceny już od 150 USD.

W dzisiejszych czasach nie tylko doświadczone zespoły cyberprzestępców hi-tech mogą być atakującymi Danso Danso. Każdy oszust, który nie ma nawet wiedzy technicznej ani umiejętności organizowania pełnego ataku DDoS, może wykupić atak demonstracyjny w celu wymuszenia – mówi Kirill Ilganaev, szef ochrony Kaspersky DDoS w Kaspersky Lab (źródło).

DDoS jest w zasadzie atakiem siłowym, co oznacza, że ​​jest atakiem na urządzenie z wielu innych urządzeń jednocześnie.

Działa, próbując utworzyć tak wiele połączeń z celem i zalewając go informacją, że jest przytłoczony i ulega awarii, a zatem termin „odmowa usługi”. Przeprowadzając atak i powodując awarię urządzenia, cyberprzestępca odmawia obsługi tego urządzenia innym osobom, które chcą z niego korzystać.

Najczęstsze motywacje przypisywane atakom DDoS (źródło: Carbon60 Networks)

Na przykład w październiku 2016 r. Ogromna DDoS wymierzona w Dyn, firmę kontrolującą znaczną część infrastruktury internetowego systemu nazw domen (DNS), spowodowała masową awarię Internetu w większości USA i Europy. Główne witryny, w tym Twitter, Guardian, Netflix i CNN, stały się niedostępne przez pewien czas.

Chociaż jest to znaczące, należy również zauważyć, że cyberprzestępcy atakowali również strony internetowe osób fizycznych. Wcześniej byłby to poważny problem, ale na szczęście istnieją teraz opcje, które pomagają osobom chronić ich witryny.

Rodzaje ataków DDoS

Źródło: DigitalAttackMap

Istnieją cztery popularne strategie DDoS, które cyberprzestępcy wykorzystują do próby usunięcia stron internetowych. Wszystkie są atakami brutalnymi – przytłaczają licznie.

  1. Ataki połączenia TCP spróbuj zająć wszystkie dostępne połączenia z Twoją witryną. Dotyczy to wszystkich urządzeń fizycznych obsługujących witrynę, takich jak routery, zapory i serwery aplikacji. Urządzenia fizyczne zawsze mają ograniczone połączenia.
  2. Ataki wolumetryczne zalać sieć witryny danymi. Działa to przez obejście samego serwera, a nawet przez zajęcie całej dostępnej przepustowości skierowanej na serwer. Pomyśl o tym jak o powodzi lub korku, gdzie nic się nie porusza.
  3. Ataki fragmentacyjne wysyłaj bity i kawałki wielu pakietów danych na swój serwer. W ten sposób Twój serwer będzie zajęty próbą ich ponownego złożenia i nie będzie w stanie obsłużyć niczego innego.
  4. Ataki aplikacji konkretnie skup się na jednym aspekcie lub usłudze, którą posiadasz. Są to bardziej niebezpieczne, ponieważ przy ograniczonym celowaniu możesz nie zdawać sobie sprawy, że jesteś atakowany, dopóki coś się nie zepsuje.

Ochrona przed DDoS

Jeśli jesteś właścicielem małej firmy i obawiasz się, że Twoja witryna zostanie zaatakowana, masz rację. Każda forma ataku jest niebezpieczna, nie mówiąc już o DDoS, i może potencjalnie spowodować nie tylko szkody finansowe, ale i marce.

Istnieje wiele dostępnych opcji, aby się zabezpieczyć, więc rzućmy okiem na kilka podstawowych informacji:

  1. Użyj ochrony proxy – Proxy to bufor, który chroni twoją stronę przed Internetem, trochę jak ogrodzenie. Zapewnia to dodatkową warstwę ochrony, która może służyć do wczesnego ostrzegania o nadchodzącym ataku. Ukrywa również Twój prawdziwy adres IP, chociaż wszystko to jest niewidoczne dla uprawnionych użytkowników witryny.
  2. Ochrona przed sfałszowanymi adresami IP – Cyberprzestępcy lubią ukrywać swoje prawdziwe adresy IP, przejmując kontrolę nad innymi na własny użytek. Wiele popularnych adresów można zabezpieczyć, utrzymując listę kontroli dostępu (ACL) w celu blokowania dostępu z niektórych adresów IP.
  3. Tryb ma przepustowość – Chociaż przepustowość jest droga, wielu dzisiejszych hostów oferuje skalowalne plany, które mogą ci pomóc. DDoS działa, próbując pokonać dostępną przepustowość, więc utrzymując nieco więcej strefy buforowej, możesz być w stanie uzyskać również ostrzeżenie o ataku z wyprzedzeniem.

W większości przypadków wiele z tych opcji zapewnia Twój hosting. Hosty internetowe oferują dziś wiele zabezpieczeń, to tylko kwestia wyboru odpowiedniego hosta dla siebie.

Przejrzyj pełną listę hostów internetowych WSHR, którą stale przeglądamy i utrzymujemy.

Wybór profesjonalnej opcji ochrony przed DDoS

Źródło: Incapsula

Oprócz usługodawcy hostingowego istnieje również wiele profesjonalnych firm ochroniarskich, które oferują dedykowane usługi pomagające chronić się przed cyberatakami. Zanim zaczniesz się zastanawiać, pamiętaj, że nie jest to już era ogromnej korporacji wielonarodowej i że ceny są przystępne nawet dla małych i średnich firm.

Akamai

Akamai jest obecnie jedną z największych marek w dziedzinie bezpieczeństwa w sieci. Pomaga w obsłudze ponad 95 eksabajtów danych rocznie na miliardy urządzeń. Wśród wielu ofert Akamai ma coś dla prawie wszystkich poziomów potrzeb bezpieczeństwa, od potężnego Kona Site Defender do bardziej podstawowej usługi ochrony aplikacji internetowych.

Incapsula

Incapsula oferuje również kompleksowe plany ochrony, które można dostosować do własnych wymagań. Jako główne punkty zainteresowania, możesz rzucić okiem na ich podstawowe usługi ochrony DDoS, które mają na celu ochronę Twojej witryny, infrastruktury, a nawet serwera nazw.

Arbor Networks

Arbor Networks ma rozbudowany system zapobiegania DDoS typu all-in-one, który nazywa Systemem Aktywnego Analizowania Poziomu Zagrożenia (ATLAS). Jest to system wczesnego ostrzegania o zagrożeniach DDoS na całym świecie, który Arbor utrzymuje w parze z różnymi systemami zarządzania zagrożeniami.

Verisign

Chociaż firma Verisign jest bardziej znana jako wystawca certyfikatów bezpieczeństwa, dziś rozszerzyła swoją ofertę o inne usługi sieciowe. Jednak wciąż nie jest jeszcze dostępny, a usługa ochrony DDoS firmy Verisign działa głównie jako system wczesnego ostrzegania, a nie system ochrony.

Cloudflare

Cloudflare to ważna nazwa, która zasłynęła jako sieć dystrybucji treści (CDN). Na szczęście CDN jest jednym z głównych sposobów łagodzenia ataków DDoS i wykorzystuje system dostarczania w chmurze. Dzisiaj Cloudflare rozszerzył swoje usługi i obejmuje wszystko, od CDN po DNS. Usługi ochrony są skalowalne, więc płacisz tylko za to, czego chcesz użyć.

Pociesz się historiami sukcesu

Przypadek 1: Atak KrebsOnSecurity.com

Atak KrebsOnSecurity.com – Chociaż ryzyko cyberataków jest stałe, istnieje o wiele więcej historii sukcesu niż porażek. Od przedsiębiorstw do osób fizycznych cyberataki można udaremnić, a oto niektóre z nich, które mogą pomóc przywrócić wiarę w bezpieczeństwo.

Pod koniec 2016 r. Osobisty blog dziennikarza śledczego ds. Bezpieczeństwa Briana Krebsa, KrebsOnSecurity.com, został zaatakowany przez masowy atak DDoS.

Atak był godny uwagi ze względu na dwa główne czynniki:

  1. To był atak na (choć znaczący) blog osoby, i
  2. Według Akamai był prawie dwukrotnie większy niż wcześniejszy atak. Po ataku okazało się, że jest to jeden z największych ataków, jakich kiedykolwiek doświadczył Internet.

Z ataku wyszło kilka interesujących odkryć. Po pierwsze, pomimo tego, że był to rozmiar ataku czysto brutalnego, który nie polegał na wzmocnieniu ani żadnym innym narzędziu dostępnym dla cyberprzestępców. Rozmiar sugerował również, że istnieją o wiele większe botnety do uruchamiania DDoS, niż znali eksperci od bezpieczeństwa.

Niemniej jednak, wybierając odpowiedniego partnera w zakresie bezpieczeństwa, nawet małe firmy mogą skutecznie bronić swoich witryn, tak jak zrobił to Brian Krebs.

Przypadek 2: Masowy strajk przeciwko bankom rosyjskim

Masowy strajk przeciwko bankom rosyjskim – również pod koniec 2016 r. Pięć dużych rosyjskich banków, w tym państwowy Sbierbank, było celem ciągłego ataku DDoS. W ciągu kilku dni banki zostały zalane przez żądania urządzeń podłączonych do botnetu Mirai.

Według Kaspersky Lab najdłuższy atak miał czas 12 godzin, a szczyt osiągnął 660 000 żądań na sekundę. Pochodzi z ponad 24 000 zhakowanych urządzeń, które były dystrybuowane w 30 krajach. Na szczęście banki pozostały bezpieczne i operacje były kontynuowane.

Podsumowanie…

Jak w przypadku każdego aspektu technologii, nowe metody cyberataków są ciągle wymyślane, a nawet starsze metody są stale aktualizowane i uaktualniane. W rzeczywistości, według raportu Akamai, ataki DDoS znacznie wzrosły w sile, podwajając rozmiar ataku w 2016 r..

Koszt biznesowy ataku DDoS – plansza autorstwa Incapsula. Kliknij obraz, aby powiększyć.

W rzeczywistości raport Cybersecurity Cy 2017 Midyear 2017 ujawnił szybką ewolucję zagrożeń i przewidywał potencjalne ataki typu „zniszczenie usługi” (DeOS). Mogłyby one wyeliminować tworzenie kopii zapasowych i siatki bezpieczeństwa organizacji, wymagane do przywrócenia systemów i danych po ataku.

Firmy takie jak Akamai i Cloudflare broniły się przed zagrożeniami bezpieczeństwa przez prawie dwie dekady i chroniły klientów oraz utrzymywały dostępność infrastruktury, nawet pomimo największych ataków DDoS w tamtym czasie.

Z osobistego punktu widzenia jestem wielkim zwolennikiem firm koncentrujących się na swoich głównych wektorach i pozostawiających inne obszary, takie jak bezpieczeństwo, w rękach tych, których to firma. Wiele firm ignoruje ostrzeżenia bezpieczeństwa od lat, zanim poniosły poważne straty – nie bądź tą firmą.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me