Kasus penggunaan Google Cloud Armor Adaptive Protection

Dokumen ini menyajikan beberapa kasus penggunaan umum untuk Google Cloud Armor Adaptive Protection.

Deteksi dan perlindungan serangan DDoS L7

Kasus penggunaan yang paling umum untuk Adaptive Protection adalah mendeteksi dan merespons serangan DDoS L7 seperti banjir HTTP GET, banjir HTTP POST, atau aktivitas HTTP frekuensi tinggi lainnya. Serangan DDoS L7 sering kali dimulai dengan relatif lambat dan intensitasnya meningkat seiring waktu. Pada saat manusia atau mekanisme deteksi lonjakan otomatis mendeteksi serangan, serangan tersebut kemungkinan memiliki intensitas tinggi dan sudah memiliki dampak negatif yang kuat pada aplikasi. Yang penting, meskipun dapat mengamati lonjakan traffic secara agregat, jauh lebih sulit untuk membedakan, secara real time, setiap permintaan sebagai berbahaya atau tidak karena permintaan tersebut muncul sebagai permintaan normal yang terbentuk sepenuhnya. Demikian pula, karena sumber serangan didistribusikan di antara botnet atau grup klien berbahaya lainnya yang berukuran ribuan hingga jutaan, semakin sulit untuk memitigasi serangan yang sedang berlangsung dengan mengidentifikasi dan memblokir klien jahat secara sistematis berdasarkan IP saja. Dalam kasus DDoS, hasilnya adalah serangan berhasil membuat layanan yang ditargetkan tidak tersedia untuk beberapa atau semua pengguna reguler.

Ilustrasi serangan DDoS L7 (flood HTTP GET). Serangan yang berhasil dapat membebani aplikasi yang ditargetkan dan mencegah pengguna yang sah mengakses layanan.
Ilustrasi serangan DDoS L7 (flood HTTP GET). Serangan yang berhasil dapat membebani aplikasi yang ditargetkan dan mencegah pengguna yang sah mengakses layanan. (klik untuk memperbesar)

Untuk mendeteksi dan merespons serangan DDoS L7 dengan cepat, pemilik project atau kebijakan keamanan dapat mengaktifkan perlindungan Adaptive Protection berdasarkan kebijakan keamanan di project mereka. Setelah setidaknya satu jam pelatihan dan mengamati pola traffic normal, Adaptive Protection akan siap mendeteksi serangan dengan cepat dan akurat di awal siklus prosesnya dan menyarankan aturan WAF untuk memblokir serangan yang sedang berlangsung tanpa memengaruhi pengguna normal.

Adaptive Protection mengidentifikasi dan mengurangi serangan DDoS L7, sehingga pengguna yang sah dapat mengakses aplikasi.
Adaptive Protection mengidentifikasi dan memitigasi serangan DDoS L7, sehingga pengguna yang sah dapat mengakses aplikasi. (klik untuk memperbesar)

Notifikasi potensi serangan dan tanda tangan yang diidentifikasi dari traffic yang dicurigai akan dikirim ke Logging, tempat pesan log dapat memicu Kebijakan Pemberitahuan kustom, dianalisis dan disimpan, atau dikirim ke solusi manajemen log atau informasi keamanan dan manajemen peristiwa (SIEM) downstream. Lihat Dokumentasi logging untuk mengetahui informasi selengkapnya tentang cara mengintegrasikan SIEM downstream atau pengelolaan log.

Deteksi dan respons tanda serangan

Sangat penting untuk tidak hanya mendeteksi dan memberikan peringatan tentang potensi serangan sejak awal, tetapi juga dapat menindaklanjuti peringatan tersebut dan merespons tepat waktu untuk memitigasi serangan. Tim respons insiden perusahaan harus menghabiskan menit dan jam yang penting untuk melakukan investigasi, sering kali menganalisis log dan memantau sistem untuk mengumpulkan informasi yang memadai guna mengembangkan respons terhadap serangan yang sedang berlangsung. Selanjutnya, sebelum men-deploy mitigasi, rencana tersebut harus divalidasi untuk memastikannya tidak akan memiliki dampak yang tidak diinginkan atau negatif pada beban kerja produksi.

Alur kerja umum untuk proses respons insiden perusahaan.
Alur kerja umum untuk proses respons insiden perusahaan. (klik untuk memperbesar)

Dengan Adaptive Protection, responden insiden memiliki semua yang mereka butuhkan untuk menganalisis dan merespons serangan DDoS L7 yang sedang berlangsung dengan cepat begitu mereka menerima peringatan. Peringatan Perlindungan Adaptif menyertakan tanda tangan traffic yang ditentukan untuk berpartisipasi dalam potensi serangan. Isi tanda tangan akan menyertakan metadata tentang traffic masuk, termasuk kumpulan header permintaan HTTP berbahaya, geografi sumber, dll. Notifikasi juga menyertakan aturan yang cocok dengan tanda tangan serangan yang dapat diterapkan di Google Cloud Armor untuk segera memblokir traffic berbahaya.

Peristiwa Adaptive Protection memberikan skor keyakinan dan proyeksi tingkat dasar pengukuran yang terpengaruh yang terkait dengan aturan yang disarankan untuk membantu validasi. Setiap komponen tanda tangan juga memiliki ukuran untuk kemungkinan serangan dan proporsi serangan agar responden insiden dapat menyesuaikan dan mempersempit atau memperluas cakupan respons.

Menyesuaikan model dan melaporkan error peristiwa

Model deteksi serangan Adaptive Protection dilatih pada set data, yang dibuat secara artifisial untuk menunjukkan karakteristik traffic yang baik dan malicious. Akibatnya, Adaptive Protection mungkin akan mengidentifikasi potensi serangan yang, setelah penyelidikan tambahan, akan ditentukan oleh petugas respons insiden atau pemilik aplikasi bahwa serangan tersebut bukan serangan. Adaptive Protection dapat mempelajari konteks dan pola traffic unik dari setiap aplikasi yang dilindungi.

Contoh tanda tangan potensi serangan.
Contoh tanda tangan potensi serangan. (klik untuk memperbesar)

Anda dapat melaporkan setiap pemberitahuan sebagai positif palsu untuk lebih membantu Adaptive Protection melatih dan menyesuaikan model deteksi. Dengan laporan positif palsu, model Adaptive Protection kemungkinan besar tidak akan memberikan pemberitahuan tentang traffic dengan karakteristik dan atribut serupa di masa mendatang. Seiring waktu, model deteksi Perlindungan Adaptif akan lebih disesuaikan dengan karakteristik khusus traffic di setiap kebijakan keamanan yang dilindungi. Langkah-langkah untuk melaporkan peristiwa positif palsu dijelaskan dalam Memantau, memberikan masukan, dan melaporkan error peristiwa.

Langkah selanjutnya