Google Cloud Armor Adaptive Protection – Anwendungsfälle

In diesem Dokument werden einige gängige Anwendungsfälle für Google Cloud Armor Adaptive Protection beschrieben.

L7-DDoS-Angriffe erkennen und abwehren

Der häufigste Anwendungsfall für Adaptive Protection ist die Erkennung und Abwehr von L7-DoS-Angriffen wie HTTP GET-Floods, HTTP POST-Floods oder andere Hochfrequenz-HTTP-Aktivitäten. L7-DoS-Angriffe starten häufig langsam und nehmen mit der Zeit an Intensität zu. Wenn Menschen oder automatisierte Mechanismen zur Spitzenerkennung einen Angriff erkennen, sind sie höchstwahrscheinlich schon sehr intensiv und haben bereits eine negative Auswirkung auf die Anwendung. Es ist zwar sehr wichtig, den gesamten Traffic beobachten zu können, doch in Echtzeit können einzelne Anfragen als schädlich eingestuft werden oder nicht, da sie als normale, vollständig formulierte Anfragen erscheinen. Da die Angriffsquellen auf Botnets oder andere Gruppen schädlicher Clients verteilt sind, deren Größe von Tausenden zu Millionen variieren können, wird es auch immer schwieriger, einen laufenden Angriff zu verhindern, indem systematisch fehlerhafte Clients ausschließlich anhand der IP-Adresse identifiziert und blockiert werden. Im Falle eines DDoS-Angriffs kann dieser dann erfolgreich dazu führen, dass der Zieldienst für einige oder alle regulären Nutzer nicht mehr verfügbar ist.

Abbildung eines L7-DDoS-Angriffs (HTTP-GET-Flood) Ein erfolgreicher Angriff kann die Zielanwendung überfordern und verhindern, dass legitime Nutzer auf den Dienst zugreifen.
Abbildung eines L7-DoS-Angriffs (HTTP GET-Flood). Ein erfolgreicher Angriff kann die Zielanwendung überfordern und verhindern, dass legitime Nutzer auf den Dienst zugreifen. (Zum Vergrößern klicken)

Zur schnellen Erkennung und Abwehr von L7-DoS-Angriffen kann der Inhaber des Projekts oder der Sicherheitsrichtlinie Adaptive Protection-Schutz auf Basis einzelner Sicherheitsrichtlinien im Projekt aktivieren. Nach mindestens einer Stunde Training und Beobachtung normaler Trafficmuster hat Adaptive Protection die Möglichkeit, einen Angriff frühzeitig in ihrem Lebenszyklus schnell und genau zu erkennen und WAF-Regeln zum Blockieren des laufenden Angriffs vorzuschlagen, während normale Nutzer nicht betroffen sind.

Mit Adaptive Protection wird ein L7-DoS-Angriff identifiziert und abgewehrt, sodass berechtigte Nutzer auf die Anwendung zugreifen können.
Adaptive Protection erkennt einen L7-DoS-Angriff und wehrt ihn ab, um berechtigten Nutzern Zugriff auf die Anwendung zu gewähren. (Zum Vergrößern klicken)

Benachrichtigungen zu möglichen Angriffen und der erkannten Signatur des verdächtigen Traffics werden an Logging gesendet. Daraufhin kann die Lognachricht eine benutzerdefinierte Benachrichtigungsrichtlinie auslösen bzw. analysiert und gespeichert oder an eine nachgelagerte SIEM (Security Information and Event Management) oder Logverwaltungslösung gesendet werden. In der Logging-Dokumentation finden Sie weitere Informationen zum Integrieren der nachgelagerten SIEM oder Logverwaltung.

Angriffssignaturen erkennen und abwehren

Es ist wichtig, nicht nur frühzeitig potenzielle Angriffe zu erkennen und zu melden, sondern auch auf solche Benachrichtigungen reagieren zu können, um die Angriffe abzuwehren. Die Vorfallsbearbeiter eines Unternehmens müssen viele Minuten und Stunden mit Nachforschungen verbringen und dabei häufig Logs und Monitoringsysteme analysieren, um genügend Informationen zu sammeln, damit sie eine Strategie zur Abwehr eines laufenden Angriffs entwickeln können. Bevor Sie mit der Entschärfung beginnen, muss dieser Plan validiert werden, um sicherzugehen, dass er keine unbeabsichtigten oder negativen Auswirkungen auf Produktionsarbeitslasten hat.

Ein häufiger Workflow für den Prozess zur Abwehr von Vorfällen in einem Unternehmen.
Ein häufiger Workflow für den Prozess zur Abwehr von Vorfällen in einem Unternehmen. (Zum Vergrößern klicken)

Mit Adaptive Protection haben Vorfallsbearbeiter alles, was sie benötigen, um einen laufenden L7-DoS-Angriff schnell zu analysieren und abzuwehren, sobald die Benachrichtigung eingeht. Die Adaptive Protection-Benachrichtigung enthält die Signatur des Traffics, der bei einem potenziellen Angriff berücksichtigt werden soll. Der Signaturinhalt enthält Metadaten über den eingehenden Traffic, einschließlich der Gruppe schädlicher HTTP-Anfrageheader, Quellregionen usw. Er enthält auch eine Regel, die mit der Angriffssignatur übereinstimmt, die in Google Cloud Armor angewendet werden kann, um den schädlichen Traffic sofort zu blockieren.

Das Adaptive Protection-Ereignis bietet einen Konfidenzwert und eine voraussichtliche Baseline-Rate, die mit der vorgeschlagenen Regel verknüpft ist, um die Validierung zu erleichtern. Jede Komponente der Signatur hat auch Messungen für die Wahrscheinlichkeit von Angriffen und den Anteil an Angriffen, damit Vorfallsbearbeiter den Umfang der Antwort verfeinern und erweitern können.

Modell anpassen und Ereignisfehler melden

Die Modelle der Adaptive Protection-Angriffserkennung werden mit einem Dataset trainiert, das künstlich angelegt wurde, um die Merkmale sowohl des guten als auch des schädlichen Traffics zu erkennen. In diesem Fall ist es möglich, dass durch den Adaptive Protection-Angriff ein potenzieller Angriff identifiziert wird und bei einer weiteren Untersuchung der Vorfallsbearbeiter oder Inhaber der Anwendung feststellt, dass es kein Angriff ist. Adaptive Protection kann von den einzigartigen Kontext- und Trafficmustern jeder geschützten Anwendung lernen.

Beispielsignatur eines potenziellen Angriffs
Beispielsignatur eines potenziellen Angriffs (Zum Vergrößern klicken)

Sie können einzelne Benachrichtigungen als falsch-positiv melden, um Adaptive Protection beim Trainieren und Anpassen der Erkennungsmodelle zu helfen. Bei falsch-positiven Berichten verringert sich die Wahrscheinlichkeit, dass Adaptive Protection-Modelle Benachrichtigungen bei Traffic mit ähnlichen Merkmalen und Attributen ausgeben. Im Laufe der Zeit werden die Adaptive Protection-Erkennungsmodelle auf die spezifischen Merkmale des Traffics in jeder geschützten Sicherheitsrichtlinie abgestimmt. Die Schritte zum Melden falsch-positiver Ereignisse wurden in Monitoring, Feedback und Melden von Ereignisfehlern beschrieben.

Nächste Schritte