Bài toán mang tên DDoS và cách để phản ứng kịp thời

Sự tinh vi và tần suất của các cuộc tấn công DDoS đang ngày một gia tăng và không có dấu hiệu dừng lại khi cứ mỗi 5 doanh nghiệp thì sẽ có 2 doanh nghiệp bị tấn công DDoS. Các cuộc tấn công DDoS là nguyên nhân phổ biến nhất khiến cho các dịch vụ bị ngưng hoạt động. Với sự phổ biến của các thiết bị IoT được vũ khí hóa như Botnet dùng để khởi động các cuộc tấn công DDoS lớn, các tin tặc giờ đây đã được trang bị tốt hơn bao giờ hết để đạt được mục tiêu bất chính của chúng.

Để đối phó với vấn đề này, Azure DDoS Protection đã cung cấp các biện pháp đối phó với các mối đe dọa DDoS tinh vi nhất. Dịch vụ này cung cấp các khả năng giúp giảm thiểu các cuộc tấn công DDoS nhắm vào ứng dụng và tài nguyên được triển khai trên các mạng ảo của bạn. Bạn có thể kích hoạt tính năng bảo vệ rất đơn giản trên cả những mạng ảo hiện có và những mạng ảo mới, đồng thời bạn cũng không cần phải thay đổi bất kỳ ứng dụng hay tài nguyên nào cả.

Mới đây thì một số tính năng mới đã được công bố, những tính năng này sẽ cung cấp khả năng hiển thị và hỗ trợ cấp doanh nghiệp cho khách hàng khi tài nguyên của họ bị tấn công. DDoS Attack Analytics sẽ cho bạn biết những thông tin chi tiết về cuộc tấn công có thể được sử dụng để tuân thủ, kiểm tra bảo mật và phân tích các cuộc tấn công để từ đó tối ưu hóa các chiến lược phòng bị và khâu bảo mật. DDoS Rapid Response sẽ cho phép khách hàng trực tiếp thảo luận với các chuyên gia về DDoS khi bị tấn công để có thể nhận được những sự hỗ trợ đặc biệt từ phía các chuyên gia.

Và ngay hôm nay chúng ta sẽ cùng nhau chào đón 3 tính năng mới của Azure DDoS Protection là: Attack Mitigation Reports, Attack Mitigation Flow Logs DDoS Rapid Response. Những khách hàng đang bảo vệ mạng ảo của họ khỏi những cuộc tấn công DDoS bằng Azure DDoS Protection giờ đây sẽ có thêm thông tin chi tiết về lưu lượng tấn công và các hành động được thực hiện để giảm thiểu cuộc tấn công, thông qua cài đặt chẩn đoán trong Azure Monitor. Ngoài ra, DDoS Rapid Response còn có thể giúp khách hàng điều tra kỹ càng về các cuộc tấn công bằng cách phân tích các thông tin trước và sau cuộc tấn công DDoS.

Attack Mitigation Reports

Attack Mitigation Reports sử dụng dữ liệu lưu lượng mạng tổng hợp để cung cấp thông tin chi tiết về các cuộc tấn công nhắm vào tài nguyên của bạn. Attack Mitigation Reports có thể được kích hoạt vô cùng đơn giản thông qua Diagnostic Settings trong Azure Monitor. Sau khi đã được kích hoạt thành công, Attack Mitigation Reports sẽ được xử lý bằng Log Analytics, một tài khoảng Azure Storage hoặc Event Hub để tích hợp với các hệ thống SIEM như Splunk hoặc Stream Analytics.

Khi tài nguyên Public IP của khách hàng là mục tiêu của những cuộc tấn công DDoS thì dữ liệu về các cuộc tấn công sẽ được khởi tạo sau mỗi 5 phút. Khi một cuộc tấn công kết thúc, một báo cáo về toàn bộ quãng thời gian mà cuộc tấn công diễn ra sẽ được khởi tạo.

Lược đồ Attack Mitigation Report

Lược đồ Attack Mitigation Report sẽ bao gồm các trường sau:

  • Các vectơ tấn công
  • Thống kê lưu lượng truy cập
  • Lý do khiến các gói tin bị rớt (Dropped packets)
  • Các giao thức liên quan
  • Top 10 quốc gia/khu vực nguồn hàng đầu
  • Top 10 ASN (Autonomous System Number) nguồn

Attack Mitigation Flow Logs

Attack Mitigation Flow Logs cho phép bạn xem lại lưu lượng truy cập bị rớt, lưu lượng truy cập được chuyển tiếp và những dữ liệu tấn công khác trong khoảng thời gian mà một cuộc tấn công DDoS đang hoạt động. Khách hàng sử dụng Azure DDoS Protection Standard có thể nhập dữ liệu này vào các hệ thống SIEM như Splunk hoặc Stream Analystics để theo dõi gần thời gian thực.

Cũng giống như Attack Mitigation Reports, Attack Mitigation Flow Logs được kích hoạt thông qua Diagnostic Settings trong Azure Monitor cho một tài nguyên Public IP nhất định và có thể được tích hợp với log analytics, storage account hoặc event hub.

Lược đồ Attack Mitigation Flow Logs

Lược đồ này sẽ bao gồm những trường sau:

  • IP nguồn
  • IP đích
  • Cổng nguồn
  • Cổng đích
  • Loại giao thức
  • Hành động được thực hiện trong quá trình giảm thiểu (mitigation)

DDoS Attack Analytics sẽ cung cấp cho bạn khả năng hiển thị đầy đủ các cuộc tấn công DDoS bằng các báo cáo gần thời gian thực về các cuộc tấn công đang diễn ra hoặc đã diễn ra. Ngoài ra những khách hàng đang sử dụng DDoS Protection Standard giờ đây sẽ có quyền kết nối trực tiếp với các chuyên gia về DDoS ngay trong một cuộc tấn công đang diễn ra. Các chuyên gia về DDoS sẽ có thể giúp khách hàng giảm thiểu tùy chỉnh trong quá trình phân tích tấn công và hậu tấn công.

DDoS Rapid Response (DRR)

Khách hàng sử dụng DDoS Protection Standard giờ đây sẽ có thể kết nối với đội ngũ Rapid Response trong lúc một cuộc tấn công đang diễn ra. DDR có thể giúp điều tra cuộc tấn công, , giảm thiểu tùy chỉnh trong quá trình phân tích tấn công và hậu tấn công.

Bạn có thể thực hiện như các bước bên dưới để nhờ tới sự giúp đỡ của DDR trong lúc một cuộc tấn công DDoS đang diễn ra:

1. Từ Azure Portal chọn tạo yêu cầu hỗ trợ mới, chọn Loại sự cố là Kỹ thuật.

2. Chọn Dịch vụDDoS Protection.

3. Lựa chọn một tài nguyên trong list tài nguyên sẵn có. Bạn buộc phải lựa chọn DDoS Plan được liên kết với mạng ảo được bảo vệ bởi DDoS Protection Standard để có thể nhận được sự hỗ trợ từ DDR.

4. Ở trang Problem tiếp theo, hãy chọn mức độ nghiêm trọng là A -Critical Impact và Loại vấn đề là ‘Bị tấn                  công’.

5. Hoàn thành các chi tiết bổ sung và gửi yêu cầu hỗ trợ.

Leave a Reply

Leave a Reply

Your email address will not be published.