O que é mitigação de DDoS?

Agora entendemos o que está em risco ao ser vulnerável a ataques DDoS, incluindo dados e aplicativos essenciais aos negócios, e por que é essencial implantar uma solução de mitigação de DDoS. Agora podemos analisar os tipos de mitigação de DDoS para que você possa determinar a melhor solução para suas necessidades.

Existem vários tipos de soluções e medidas locais que uma organização pode implementar para reduzir o risco de ataques DDoS. Alguns deles também podem ser usados em adição aos baseados em nuvem para construir uma postura geral de defesa mais forte.

• Fortalecimento da infraestrutura de rede: Esta solução envolve o reforço da infraestrutura de rede para suportar ataques DDoS. Inclui aumento de largura de banda, adição de links redundantes e atualização de dispositivos de rede. 
• Limitação de taxa e modelagem de tráfego: Essa solução envolve limitar a quantidade de tráfego que pode entrar na rede. Ele pode ser implementado configurando limites de taxa nos dispositivos de rede ou usando técnicas de modelagem de tráfego para priorizar o tráfego.
• Firewalls e sistemas de prevenção de intrusão (IPS): Esta solução envolve o uso de firewalls e dispositivos IPS para filtrar tráfego malicioso. Firewalls podem bloquear tráfego com base em endereços IP, portas e protocolos, enquanto dispositivos IPS podem detectar e bloquear ataques com base em suas assinaturas.

Mover os esforços de mitigação de DDoS para a nuvem ou uma solução híbrida ajuda a aumentar a eficiência, a escalabilidade e a eficácia. Algumas soluções baseadas em nuvem podem ser integradas com soluções locais. Soluções de mitigação de DDoS baseadas em nuvem operam em redes de entrega em nuvem, ou CDNs . 

• O roteamento anycast distribui o tráfego para o data center mais próximo que pode lidar com ele. Ele funciona anunciando a mesma rede em diferentes partes da rede, para reduzir o “tempo de viagem” da rede para chegar a essa rede. Quando uma rede CDN usa roteamento anycast , ela distribui o tráfego de forma mais estratégica, o que aumenta a área de superfície da rede receptora e ajuda a redirecionar altos volumes de tráfego para mais data centers.
• Os centros de depuração de tráfego são data centers projetados para filtrar tráfego malicioso do tráfego legítimo. Eles são usados para mitigar ataques DDoS filtrando o tráfego de ataque e encaminhando tráfego limpo para os servidores do cliente. Quando ocorre um ataque DDoS, o tráfego é roteado através do centro de depuração , onde é analisado e filtrado. O tráfego limpo é então encaminhado para os servidores do cliente.

Mover os esforços de mitigação de DDoS para uma solução híbrida pode trazer o melhor da segurança da nuvem pública e do gerenciamento da nuvem privada ou local. Um modelo híbrido pode permitir que as empresas adaptem ainda mais sua postura de segurança às suas necessidades exclusivas de dados. 

Uma estratégia abrangente de mitigação de DDoS normalmente inclui vários componentes principais.

O primeiro passo na mitigação de DDoS é detectar possíveis problemas ou riscos. Os dois principais métodos de identificação e alerta sobre ameaças são a detecção baseada em assinaturas e a detecção baseada em anomalias.

A detecção baseada em assinatura depende de uma lista pré-programada de indicadores conhecidos de comprometimento (IOCs) para identificar ameaças. Esses IOCs podem incluir comportamento de ataque de rede malicioso , conteúdo de linhas de assunto de e-mail, hashes de arquivo, sequências de bytes conhecidas ou domínios maliciosos, entre outros problemas. A detecção baseada em assinatura tem alta velocidade de processamento para ataques conhecidos e baixas taxas de falsos positivos, mas não consegue detectar explorações de dia zero.

A detecção baseada em anomalias , por outro lado, é capaz de alertar sobre comportamento suspeito desconhecido. A detecção baseada em anomalias envolve primeiro treinar o sistema com uma linha de base normalizada e, então, comparar a atividade com essa linha de base; quando algo fora do comum é detectado, um alerta é acionado. A detecção baseada em anomalias pode ter taxas maiores de falsos positivos. 

Proteger os recursos de DNS é essencial para os negócios. Duas soluções de desvio de tráfego em tempo real podem ajudar. 

• O redirecionamento de DNS envolve o redirecionamento de consultas DNS de um nome de domínio para outro. Isso pode ser útil em situações em que um site foi movido para um novo nome de domínio ou quando uma empresa deseja redirecionar o tráfego de um nome de domínio para outro. O redirecionamento de DNS pode ser implementado usando um registro CNAME no arquivo de zona DNS. Quando uma consulta DNS é recebida para o nome de domínio original, o servidor DNS responde com um registro CNAME apontando para o novo nome de domínio. O cliente então envia uma nova consulta DNS para o novo nome de domínio.
• O BGP Anycast envolve anunciar o mesmo endereço IP de vários locais na Internet. No BGP Anycast, o Border Gateway Protocol (BGP) é usado para anunciar o endereço IP de vários locais. Quando um cliente envia uma consulta DNS para um endereço IP Anycast, a consulta é roteada para o local mais próximo que está anunciando o endereço IP. Isso pode ajudar a melhorar o desempenho e a disponibilidade dos serviços DNS reduzindo a latência. O BGP Anycast é normalmente usado por grandes organizações que têm vários data centers localizados em diferentes regiões geográficas.

Ao considerar a solução certa de mitigação de DDoS para as necessidades da sua organização, você vai querer pesar os seguintes fatores com a trajetória de crescimento do seu negócio e a possível superfície de risco em mente. E quando e se você estiver considerando um serviço de nuvem, agora você tem a opção de escolher entre várias nuvens públicas (AWS, Google Cloud, Microsoft Azure e Alibaba Cloud), bem como empresas de nuvem privada.

Uma solução abrangente de mitigação de DDoS ajuda a proteger sua rede preventivamente, com resposta a incidentes em tempo real e testes e revisões contínuos para garantir o mais alto desempenho.

Projeto de arquitetura de rede: Uma arquitetura de rede bem projetada pode ajudar a prevenir ataques DDoS, garantindo que a rede seja resiliente e possa suportar altos volumes de tráfego. Por exemplo, uma rede projetada com várias camadas de segurança, incluindo firewalls, sistemas de detecção de intrusão e outras medidas de segurança, pode ajudar a impedir que ataques DDoS penetrem na rede. Além disso, a segmentação de rede pode ajudar a limitar o impacto de um ataque isolando as áreas afetadas da rede. 

Balanceamento de carga: O balanceamento de carga pode ajudar a prevenir ataques DDoS distribuindo o tráfego entre vários servidores, o que pode ajudar a evitar que um servidor fique sobrecarregado. Isso pode ajudar a garantir que a rede permaneça disponível mesmo durante um ataque DDoS. Os balanceadores de carga também podem ajudar a detectar e bloquear tráfego malicioso, o que pode ajudar a impedir que ataques DDoS sejam bem-sucedidos. 

SLAs detalhados do fornecedor: Ao considerar um terceiro para proteção contra ataques DDoS, é essencial entender as capacidades do fornecedor em cada cenário de DDoS e ter protocolos, ações e respostas incorporados ao SLA.

Etapas de tratamento de incidentes DDoS: Existem seis etapas principais envolvidas na resposta rápida e eficaz a um incidente DDoS, embora seja importante afirmar que essas etapas não acontecem de forma linear, mas sim em um loop. 

1. Preparação : Estabeleça contatos, defina procedimentos e reúna ferramentas para economizar tempo durante um ataque. 
2. Detecção : Detecte o incidente, determine seu escopo e envolva as partes apropriadas. 
3. Análise : Analise o tráfego de ataque para determinar suas características e identificar o alvo. 
   
4. Contenção : Contenha o ataque filtrando o tráfego e bloqueando o tráfego malicioso. 
   
5. Erradicação : Erradique o ataque removendo o tráfego malicioso da rede. 
   
6. Recuperação : Recupere-se do ataque restaurando os serviços e revisando o incidente. 
   

Protocolos de comunicação com provedor de mitigação durante um incidente DDoS: Desde o início, é fundamental que uma empresa e seu provedor de mitigação sigam um protocolo de comunicação rigoroso. Estas são as melhores práticas recomendadas para comunicação durante um incidente: 

• Estabeleça um plano de comunicação: Estabeleça um plano de comunicação com seu provedor de mitigação de DDoS antes que um ataque ocorra. Este plano deve incluir informações de contato do pessoal-chave, procedimentos de escalonamento e canais de comunicação.
• Forneça informações detalhadas: Forneça ao seu provedor de mitigação de DDoS informações detalhadas sobre o ataque, incluindo o tipo de ataque, o alvo e a duração do ataque. Essas informações podem ajudar seu provedor a desenvolver uma estratégia de mitigação eficaz. 
• Colabore com seu provedor: Trabalhe em estreita colaboração com seu provedor de mitigação de DDoS para desenvolver uma estratégia de mitigação adaptada às necessidades da sua organização. Isso pode incluir ajustar o roteamento de tráfego, filtrar tráfego ou bloquear tráfego malicioso. 
  
• Monitore a situação: Monitore a situação de perto e forneça atualizações regulares ao seu provedor de mitigação de DDoS. Isso pode ajudar seu provedor a ajustar sua estratégia de mitigação conforme necessário. 
  
• Reveja o incidente: Após o ataque ter sido mitigado, revise o incidente com seu provedor de mitigação de DDoS para identificar áreas de melhoria e atualizar seu plano de resposta a incidentes conforme necessário.