DDoS saldırıları en çok, sunucuları ve altyapıyı büyük miktarda trafiğe sahip ezerek uygulamaları ve web sitelerini ele geçirme yetenekleriyle bilinir. Bununla birlikte, siber suçluların DDoS saldırılarını veri sızdırmak, gasp etmek, siyasi veya ideolojik olarak hareket etmek için kullanmaları için ek hedefler vardır. DDoS saldırılarının en yıkıcı özelliklerinden biri, hedeflenen organizasyonlarda veya sistemlerde kaos yaratma ve kaos yaratma konusundaki benzersiz yetenekleridir. Bu, veri hırsızlığı gibi daha karmaşık saldırılar için DDoS’u sis perdesi olarak kullanan kötü aktörler için iyi bir rol oynar. Bu, siber suçluların hedeflerine ulaşmak için birden fazla saldırı vektörünü iç içe geçirmek için kullandıkları giderek daha karmaşık taktikleri göstermektedir.

Azure, kuruluşların uygulamalarını korumalarına yardımcı olan çeşitli ağ güvenliği ürünleri sunar: Azure DDoS Koruması, Azure Güvenlik Duvarı ve Azure Web Uygulaması Güvenlik Duvarı (WAF). Müşteriler, Azure’daki korumalı ortamlarının ve uygulamalarının güvenlik duruşunu geliştirmek için bu hizmetlerin her birini ayrı ayrı dağıtır ve yapılandırır. Her ürün, belirli saldırı vektörlerini ele almak için benzersiz bir dizi yeteneğe sahiptir, ancak en büyük fayda, bu üç ürün birleştirildiğinde daha kapsamlı koruma sağlayan ilişkinin gücüne işaret eder. Gerçekten de, modern saldırı kampanyalarıyla mücadele etmek için, çok vektörlü saldırıları tespit edebilmek ve engelleyebilmek için bir dizi ürün kullanılmalı ve güvenlik sinyallerini birinden diğerine ilişkilendirmelidir.

Microsoft Sentinel için yeni bir Azure DDoS Koruma Çözümü’nü duyuruyoruz. Müşterilerin Azure’un DDoS güvenlik sinyallerinden kötü aktörleri tanımlamasına ve Azure Güvenlik Duvarı gibi diğer güvenlik ürünlerindeki olası yeni saldırı vektörlerini engellemesine olanak tanır.

Microsoft Sentinel’i saldırı düzeltmesi için tutkal olarak kullanma

Azure’un ağ güvenliği hizmetlerinin her biri, bulutta yerel bir güvenlik bilgileri ve olay yönetimi (SIEM) çözümü olan Microsoft Sentinel ile tamamen tümleşiktir. Bununla birlikte, Sentinel’in gerçek gücü, bu ayrı güvenlik hizmetlerinden güvenlik sinyalleri toplamak ve saldırı ortamının merkezi bir görünümünü oluşturmak için bunları analiz etmektir. Sentinel olayları ilişkilendirir ve anormallikler tespit edildiğinde olaylar oluşturur. Daha sonra karmaşık saldırıları azaltmak için yanıtı otomatikleştirir.

Örnek durumumuzda, siber suçlular DDoS saldırılarını veri hırsızlığı için sis perdesi olarak kullandığında, Sentinel DDoS saldırısını algılar ve düşman yaşam döngüsünün sonraki aşamalarını önlemek için saldırı kaynaklarında topladığı bilgileri kullanır. Gelecekte Azure Güvenlik Duvarı’ndaki ve diğer ağ güvenliği hizmetlerindeki düzeltme özellikleri kullanılarak, saldıran DDoS kaynakları engellenir. Bu ürünler arası algılama ve düzeltme, Sentinel’in orkestratör olduğu kuruluşun güvenlik duruşunu büyütür.

Gelişmiş saldırıların otomatik olarak algılanması ve düzeltilmesi

Sentinel için yeni Azure DDoS Koruma Çözümümüz, müşterilerin bu düzeyde otomatik algılama ve düzeltme elde etmesine olanak tanıyan tek bir sarf malzemesi çözüm paketi sağlar. Çözüm aşağıdaki bileşenleri içerir:

  1. Azure DDoS Koruması veri bağlayıcısı ve çalışma kitabı.
  2. Kaynak DDoS saldırganlarının alınmasına yardımcı olan uyarı kuralları. Bunlar, bu çözüm için özel olarak oluşturduğumuz yeni kurallardır. Bu kurallar, müşteriler tarafından güvenlik stratejileri için başka hedeflere ulaşmak için kullanılabilir.
  3. Kaynak DDoS saldırganlarını engellemek için Azure Güvenlik Duvarı’nda otomatik olarak düzeltme oluşturan bir Düzeltme IP Çalışma Kitabı. Azure Güvenlik Duvarı’nın düzeltme için nasıl kullanılacağını belgeleyip göstermemize rağmen, Sentinel Çalışma Kitabı’na sahip herhangi bir 3. taraf güvenlik duvarı düzeltme için kullanılabilir. Bu, müşterilere bu yeni DDoS çözümünü herhangi bir güvenlik duvarıyla kullanma esnekliği sağlar.

Çözüm başlangıçta Azure Güvenlik Duvarı (veya herhangi bir üçüncü taraf güvenlik duvarı) için yayımlanmıştır ve yakında Azure WAF’yi destekleyecek şekilde geliştirmeyi planlıyoruz.

Bu ürünler arası saldırı düzeltmesi için birkaç kullanım örneği görelim.

Kullanım örneği #1: Azure Güvenlik Duvarı ile düzeltme

Azure DDoS Koruması ve Azure Güvenlik Duvarı’nı kullanan bir kuruluşu ele alalım ve aşağıdaki şekilde saldırı senaryosunu ele alalım:

Kötü bir bota sahip olan ve Azure'daki sanal ağdaki bir uygulamada DDoS sis perdesi saldırısı başlatan ve Sentinel için yeni DDoS çözümüne sahip bir güvenlik duvarı tarafından düzeltilen bir saldırgan

Bir düşman, güvenliği ihlal edilmiş bir botu kontrol eder. DDoS sis perdesi saldırısıyla başlar ve bu kuruluş için sanal ağdaki kaynakları hedef alır. Ardından, hassas verilere erişebilene kadar tarama ve kimlik avı girişimleri yoluyla ağ kaynaklarına erişmeyi planlarlar.

Azure DDoS Koruması, sis perdesi saldırısını algılar ve bu hacimsel ağ taşmasını azaltır. Paralel olarak Sentinel’e log sinyalleri göndermeye başlar. Ardından, Sentinel saldıran IP adreslerini günlüklerden alır ve Azure Güvenlik Duvarı’nda düzeltme kuralları dağıtır. Bu kurallar, DDoS saldırıları sona erdikten ve DDoS azaltma işlemi sona erdikten sonra bile DDoS olmayan herhangi bir saldırının sanal ağdaki kaynaklara ulaşmasını engeller.

Kullanım örneği #2: Azure WAF ile düzeltme (yakında)

Şimdi, Azure’da bir web uygulaması çalıştıran başka bir kuruluşu ele alalım. Web uygulamasını korumak için Azure DDoS Koruması ve Azure WAF kullanır. Bu durumda düşmanın amacı, web uygulamasına saldırmak ve DDoS sis perdesi saldırısıyla başlayarak hassas verileri sızdırmak ve ardından uygulamaya web saldırıları başlatmaktır.

 

Kötü bir bota sahip olan ve Azure'daki bir web uygulamasında DDoS sis perdesi saldırısı başlatan ve Sentinel için yeni DDoS çözümüyle WAF tarafından düzeltilen bir saldırgan.

Azure DDoS Koruması hizmeti hacimsel sis perdesi saldırısını algıladığında, bunu azaltmaya başlar ve günlükleri Sentinel’e yönlendirir. Sentinel, saldırı kaynaklarını alır ve uygulamada gelecekteki web saldırılarını engellemek için Azure WAF’de düzeltme uygular.

Azure DDoS korumasını hemen kullanmaya başlayın

Saldırganlar, düşmanın yaşam döngüsü boyunca gelişmiş çok vektörlü saldırı teknikleri kullandığından, saldırı algılama ve azaltmayı otomatik olarak düzenlemek için güvenlik hizmetlerinden mümkün olduğunca yararlanmak önemlidir.

Bu nedenle, Microsoft Sentinel için kuruluşların kaynaklarını ve uygulamalarını bu gelişmiş saldırılara karşı daha iyi korumalarına yardımcı olan yeni Azure DDoS Koruması çözümünü oluşturduk. Bu çözümü geliştirmeye ve daha fazla güvenlik hizmeti ve kullanım örneği eklemeye devam edeceğiz.

Yeni çözümün nasıl dağıtılacağına ilişkin adım adım yapılandırma kılavuzumuzu izleyin.

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Fill out this field
Fill out this field
Lütfen geçerli bir e-posta adresi girin.
You need to agree with the terms to proceed

Menü