تعرض أحد عملائي مؤخرًا لهجوم DDoS . حسنا نوعا ما. كانوا يعتقدون أنهم يتعرضون للهجوم وكانوا على وشك استدعاء خدمة التخفيف من هجمات DDoS ، لكنهم انتظروا بدلاً من ذلك لأنهم لم يكونوا متأكدين بنسبة 100٪ من أنه هجوم ؛ كان من الممكن أن يكون انقطاع التيار الكهربائي.
تبدو مألوفة؟ إذا كان الأمر كذلك، فأنت لست وحدك. هناك العديد من حلول تخفيف DDoS المتوفرة في السوق ، ومعظمها يقدم مجموعة مذهلة من الخيارات. من داخل الشركة إلى الشبكة السحابية ، ومن الحلول المضمنة إلى خارج المسار ، ومن حلول النقاط المتخصصة إلى الحلول المتكاملة الكل في واحد ، والتي تتم إدارتها ذاتيًا إلى الإدارة الكاملة ، بدءًا من الخيوط الفردية إلى الزائدة عن الحاجة مع التجاوز ، هناك المزيد من التباديل متاح مما يمكن لمعظم العملاء الحصول عليه.
قد يكون التنقل فيما هو الأفضل للبنية التحتية الخاصة بك تمرينًا لا نهاية له على ما يبدو لأن CISO الخاص بك قد يكون له أولويات مختلفة عن مهندس الأمن الخاص بك (الذي يفكر بشكل مختلف عن مدير SOC الخاص بك ، والذي بدوره يهتم بأشياء مختلفة عن الشخص المسؤول عن المشتريات). يمكن أن يكون بناء الإجماع أمرًا صعبًا. ولا يقوم البائع بتسهيل الأمر بستة عروض أسعار مختلفة تبدو جميعها متشابهة ولكن بها اختلافات طفيفة للغاية ، ما يكفي فقط لإرباكك أنت وزملائك. تبدأ في التفكير ربما تكون أفضل حالًا في العيش مع كل ما لديك بالفعل من بائع التخفيف DDoS الحالي ، على الرغم من أنه لا يعمل حقًا.
لقد رأيت الكثير من زملائي وعملائي يفرطون في تصميم حل تخفيف DDoS الخاص بهم لدرجة أنني شعرت في كثير من الأحيان بالصراخ ، “لا ، من فضلك لا – هذا لن ينجح معك أبدًا! تبدو جيدة على الورق – ولكن هل لديك الموارد التشغيلية لتحقيق ذلك؟ ”
الأكثر تعقيدًا ليس دائمًا الأفضل
عادة ، كلما زادت الخيارات المتوفرة في التصميم الخاص بك ، كلما كان الحل الخاص بك أكثر تعقيدًا. لذا ، فإن هذا الصندوق الفائض داخل الشركة ، أو موجز التهديد التلقائي هذا ، أو خيار تنقية السحابة عالي السعة ، لديك جميعًا مع تعقيد إضافي.
الحكمة التقليدية هي أنه إذا أضفت أتمتة أو عنصرًا مُدارًا بالكامل من البائع ، فسيصبح الأمر أكثر بساطة. ومع ذلك ، فأنت تقوم ببساطة بنقل التعقيد إلى شخص آخر قد يكون أو لا يكون مؤهلاً لاتخاذ القرارات نيابةً عنك ، يأتي وقت الأزمة. لسوء الحظ ، لا يوجد أحد في السوق يتمتع بالبساطة والاكتمال في تغطية الهجوم ، لذلك يجب أن تقرر ما هو الأفضل لاحتياجاتك.
أنا لا أقول أن التعقيد أمر سيء ، فقط أن حل DDoS المعقد يشبه طائرة مقاتلة ، وأنت بحاجة إلى طيارين مقاتلين مدربين تدريباً جيداً لتشغيلها. لا تتوقع أن تطير بنفسها.
قد لا يكون خيار البائع المزدوج يستحق ذلك
إذا كنت مصرفًا أو مؤسسة مالية كبيرة ، فمن المحتمل أن يكون لديك سياسة بائع مزدوج. ما الخطأ الذي يمكن أن يحدث هنا ؟! لديك بائعان لتخفيف DDoS ، لذا إذا لم يتمكن أحدهما من إيقاف هجوم ، فيجب أن يكون الآخر قادرًا على … أليس كذلك؟
دعنا نقول فقط أن الأشخاص الذين توصلوا إلى سياسة البائعين المزدوجة لم يعملوا في الواقع في قسم الطوارئ في المستشفى. عندما تتعرض لهجوم DDoS ، فهذا يشبه الإصابة بنوبة قلبية وتحتاج إلى زيارة طارئة للمستشفى. تريد مستشفى واحد ومكتب استقبال واحد وفريق واحد من الأطباء والممرضات. يعد وقت وتوافر الفريق الطبي أكثر أهمية من المعدات المتوفرة. وبالمثل ، لا تشتري وثيقتين مختلفتين للتأمين الطبي في حالة إصابتك بنوبة قلبية ، ستأتي إحداهما لإنقاذك. يجب عليك اختيار بوليصة واحدة وطبيب رعاية أولية ومستشفى واحد.
حل تخفيف DDoS عبارة عن خدمة طوارئ ومن المرجح أن يكتشفك حل بائع واحد ويخفف عنك ويمسك بك من خلال هجوم DDoS.
التكرار أمر جيد ، لكن تغطية جميع السيناريوهات قد لا يستحق ذلك
أحد جوانب التصميم الرئيسية للتخفيف من هجمات DDoS هو التكرار. اعتاد معظم العملاء على شراء جهازي تخفيف DDoS محليين لمركز البيانات الخاص بهم. يشتري البعض أيضًا مفتاح تجاوز في حالة فشل الأجهزة. علاوة على ذلك ، يمتلك بعض العملاء حلاً مختلطًا حيث يكون لديهم خيار استدعاء خدمة DDoS السحابية إذا كان الهجوم كبيرًا.
نظرًا للجانب الرئيسي لتقليل DDoS هو الاكتشاف الدقيق والتخفيف السريع ، في بعض السيناريوهات حول تصميم الحل يمكن أن يؤدي إلى الكثير من الالتباس عندما تكون في الواقع تحت الهجوم. لا يوجد مقاس واحد يناسب الجميع ، ولكن إذا كان لديك الكثير من التكرار المدمج ، فأنت بحاجة إلى وثائق دقيقة وسهلة الاستخدام لتتماشى معها. خلاف ذلك ، لن يعرف فريقك حقًا أي المقابض تعمل عندما تتعرض للهجوم.
الإبلاغ فقط مقابل المنع المباشر
تأتي بعض حلول تخفيف DDoS مع خيار وضع التقرير فقط أو وضع الخروج عن المسار. الفكرة هي أن يتم تنبيهك عندما يكون هناك هجوم ، لكن لديك خيار التصرف حيال ذلك بعد أن تقوم بتحليل الهجوم.
يبدو هذا رائعًا على الورق ، لكنني لم أر في الواقع هذا المفهوم يعمل في الواقع. في معظم الأوقات ، إذا كنت في وضع الإبلاغ فقط ، فلن تعرف حتى أن هناك هجومًا. في حين أن هناك بعض مخاطر الإيجابيات الخاطئة ، فمن الأفضل أن تكون في وضع الحظر (أو في الخط). بخلاف ذلك ، ما الهدف من وجود حل تخفيف DDoS؟ ومن مثل وجود الوصول إلى المستشفى في تقرير وضع فقط – نعم، فقط اسمحوا لي معرفة إذا كان لي نوبة قلبية.
عدد نُهج الأمان
سواء كان جهازًا للتخفيف من هجمات DDoS في مكان العمل ، أو خدمة قائمة على السحابة ، يمكنك اختيار تصميم سياسة الأمان الخاصة بك بطريقة بسيطة أو معقدة كما تريدها. مرة أخرى ، لمجرد وجود 100 طبيب للاختيار من بينهم في المستشفى ، فهذا لا يعني أنك تريدهم جميعًا تحت تصرفك في نفس الوقت.
كقاعدة عامة ، من الأفضل أن يكون لديك نوع من سياسة الأمن العالمية التي تُستخدم كسياسة شاملة ، و 10-20 سياسة فردية ، كل منها يتوافق مع مجموعة مماثلة من التطبيقات. يمنحك هذا التوازن الصحيح بين فصل تطبيقاتك والحفاظ على مجموعة واضحة من السياسات التي يمكن للمرء فهمها.