A maioria dos mecanismos para identificar e mitigar ataques como ataques anônimos é bem conhecida, e a maioria dos produtos e serviços do Anti-DoS pode lidar com eles com altos índices de sucesso. No entanto, às vezes, organizações e empresas não têm políticas de proteção ajustadas ou atualizadas. Além disso, fiquei surpreso ao descobrir que muitos deles não têm proteção Anti-DoS, nem por produto nem por serviço.
Anônimo geralmente usa ferramentas bem conhecidas. Não há motivo para que SOC / NOC local ou SOC / NOC do provedor de serviços não consiga bloquear seus ataques. A questão é se a detecção e o bloqueio são precisos o suficiente sem falsos positivos de bloquear o tráfego legítimo também. Como conseqüência disso é um sucesso DoS / DDoS ...
Em geral, há três caminhos para lidar com ataques DDoS / DoS:
- Ter recursos suficientes (largura de banda, servidores, etc.) - opção não realista, pois o volume de ataques pode exceder a largura de banda que você tem e o custo de ter um poder computacional ilimitado é enorme.
- Serviços de Provedor de Serviços de Segurança 'Renting' - uma boa solução, depende dos recursos do provedor específico. No entanto, você deve observar que a maioria dos MSSP trabalha com centros de depuração no modo Fora do caminho. Isso significa que eles dependem, em muitos casos, de protocolos de análise de tráfego, como o NetFlow, para identificar os ataques. Embora essa opção funcione com DDoS ou ataque volumétrico grande, ela não pode identificar ataques baixos e lentos. Você pode superar essa limitação se estiver pronto para fazer a ligação você mesmo para o MSSP depois de detectar problemas com o tráfego. Outra limitação da abordagem dos "centros de lavagem" é que normalmente apenas uma direção do tráfego é inspecionada.
- Ter sua própria solução Anti-DoS, instalada em linha. Embora às vezes seja mais cara, essa opção oferece a você a melhor segurança, já que a verificação tenta tentativas de força bruta e muitas outras ameaças de segurança podem ser tratadas por um dispositivo em linha. O dispositivo Inline é eficaz desde que o volume do ataque não exceda a largura de banda do seu pipe. Trabalhar no modo in-line garante a detecção de ataques baixos e lentos, e até intrusões, depende do equipamento que você deseja usar.
Como você pode ver, não há uma resposta clara para a pergunta, pois depende de muitos parâmetros, o orçamento é apenas um deles. A qualidade do serviço ou produto também é um aspecto significativo - - Pode gerar assinaturas em tempo real para uma mitigação precisa sem afetar o tráfego legítimo? reduzindo a taxa de falso-negativo? - Inclui módulos de aprendizagem comportamental e detecção? Ou usa apenas limites baseados em taxa? - Inclui opções de autenticação (para HTTP / DNS e outros protocolos)? novamente para reduzir as chances de falsos negativos. - Inclui um mecanismo de escalonamento de ação, uma opção de feedback fechado que pode usar automaticamente ações de mitigação mais agressivas com base no sucesso da ação de mitigação atual? - Qual é a taxa de mitigação que o serviço / produto pode oferecer, independentemente das taxas de tráfego legítimo? - O produto inclui um serviço de emergência 24 horas por dia, sete dias por semana? (a maioria dos MSSPs possui, nem todos os produtos)
Felicidades,