Google Cloud Armor Adaptive Protection – Anwendungsfälle

In diesem Dokument werden einige gängige Anwendungsfälle für Google Cloud Armor Adaptive Protection beschrieben.

L7-DDoS-Angriffe erkennen und abwehren

Der häufigste Anwendungsfall für Adaptive Protection ist das Erkennen von L7-DDoS-Angriffen wie HTTP GET Floods, HTTP POST Floods oder anderen HTTP-Aktivitäten mit hoher Häufigkeit und die Reaktion darauf. L7-DDoS-Angriffe beginnen häufig langsam und richten mit der Zeit einen immer größeren Schaden an. Wenn Menschen oder automatisierte Verfahren zur Spike-Erkennung einen Angriff ausmachen, ist er meist von hoher Intensität und wirkt sich bereits negativ auf Anwendungen aus. Es werden zwar Spikes insgesamt beobachtet, es ist jedoch viel schwieriger, für einzelne Anfragen zu beurteilen, ob sie schädlich sind oder nicht, da sie als normale, vollständig ausgebildete Anfragen auftreten. Die Angriffsquellen sind auf Botnets oder andere Gruppen böswilliger Clients mit einer Größe von Tausenden bis Millionen verteilt. Dadurch wird es immer schwieriger, einen laufenden Angriff durch eine systematische Identifizierung und Blockierung von böswilligen Bedrohungen basierend auf IP-Adressen zu minimieren. Bei DDoS besteht das Ergebnis darin, dass es durch den Angriff gelingt, den Zieldienst für einige oder alle regulären Nutzer unzugänglich zu machen.

Darstellung eines L7-DDoS-Angriffs (HTTP GET Flood) Ein erfolgreicher Angriff kann die ausgewählte Anwendung überfordern und den Zugriff auf den Dienst durch legitime Nutzer verhindern.
Darstellung eines L7-DDoS-Angriffs (HTTP GET Flood). Ein erfolgreicher Angriff kann die ausgewählte Anwendung überfordern und den Zugriff auf den Dienst durch legitime Nutzer verhindern. (Zum Vergrößern klicken)

Zur schnellen Erkennung und Abwehr von L7-DoS-Angriffen kann der Inhaber des Projekts oder der Sicherheitsrichtlinie Adaptive Protection-Schutz auf Basis einzelner Sicherheitsrichtlinien im Projekt aktivieren. Nach mindestens einer Stunde Training und Beobachtung normaler Trafficmuster hat Adaptive Protection die Möglichkeit, einen Angriff frühzeitig in ihrem Lebenszyklus schnell und genau zu erkennen und WAF-Regeln zum Blockieren des laufenden Angriffs vorzuschlagen, während normale Nutzer nicht betroffen sind.

Mit Adaptive Protection wird ein L7-DoS-Angriff identifiziert und abgewehrt, sodass berechtigte Nutzer auf die Anwendung zugreifen können.
Adaptive Protection erkennt einen L7-DoS-Angriff und wehrt ihn ab, um berechtigten Nutzern Zugriff auf die Anwendung zu gewähren. (Zum Vergrößern klicken)

Benachrichtigungen zu möglichen Angriffen und der erkannten Signatur des verdächtigen Traffics werden an Logging gesendet. Daraufhin kann die Lognachricht eine benutzerdefinierte Benachrichtigungsrichtlinie auslösen bzw. analysiert und gespeichert oder an eine nachgelagerte SIEM (Security Information and Event Management) oder Logverwaltungslösung gesendet werden. In der Logging-Dokumentation finden Sie weitere Informationen zum Integrieren der nachgelagerten SIEM oder Logverwaltung.

Angriffssignaturen erkennen und abwehren

Es ist wichtig, nicht nur frühzeitig potenzielle Angriffe zu erkennen und zu melden, sondern auch auf solche Benachrichtigungen reagieren zu können, um die Angriffe abzuwehren. Die Vorfallsbearbeiter eines Unternehmens müssen viele Minuten und Stunden mit Nachforschungen verbringen und dabei häufig Logs und Monitoringsysteme analysieren, um genügend Informationen zu sammeln, damit sie eine Strategie zur Abwehr eines laufenden Angriffs entwickeln können. Bevor Sie mit der Entschärfung beginnen, muss dieser Plan validiert werden, um sicherzugehen, dass er keine unbeabsichtigten oder negativen Auswirkungen auf Produktionsarbeitslasten hat.

Ein häufiger Workflow für den Prozess zur Abwehr von Vorfällen in einem Unternehmen.
Ein häufiger Workflow für den Prozess zur Abwehr von Vorfällen in einem Unternehmen. (Zum Vergrößern klicken)

Mit Adaptive Protection haben Vorfallsbearbeiter alles, was sie benötigen, um einen laufenden L7-DoS-Angriff schnell zu analysieren und abzuwehren, sobald die Benachrichtigung eingeht. Die Adaptive Protection-Benachrichtigung enthält die Signatur des Traffics, der bei einem potenziellen Angriff berücksichtigt werden soll. Der Signaturinhalt enthält Metadaten über den eingehenden Traffic, einschließlich der Gruppe schädlicher HTTP-Anfrageheader, Quellregionen usw. Er enthält auch eine Regel, die mit der Angriffssignatur übereinstimmt, die in Google Cloud Armor angewendet werden kann, um den schädlichen Traffic sofort zu blockieren.

Das Adaptive Protection-Ereignis bietet einen Konfidenzwert und eine projizierte Referenzrate, die mit der vorgeschlagenen Regel verknüpft ist, um die Validierung zu unterstützen. Jede Komponente der Signatur enthält auch Messwerte für die Angriffswahrscheinlichkeit und den Anteil im Angriff. So wird sichergestellt, dass Reaktionen auf den jeweiligen Vorfall abgestimmt sind.

Modell anpassen und Ereignisfehler melden

Die Modelle der Adaptive Protection-Angriffserkennung werden mit einem Dataset trainiert, das künstlich angelegt wurde, um die Merkmale sowohl des guten als auch des schädlichen Traffics zu erkennen. In diesem Fall ist es möglich, dass durch den Adaptive Protection-Angriff ein potenzieller Angriff identifiziert wird und bei einer weiteren Untersuchung der Vorfallsbearbeiter oder Inhaber der Anwendung feststellt, dass es kein Angriff ist. Adaptive Protection kann von den einzigartigen Kontext- und Trafficmustern jeder geschützten Anwendung lernen.

Beispielsignatur eines potenziellen Angriffs.
Beispielsignatur eines potenziellen Angriffs. (Zum Vergrößern klicken)

Sie können einzelne Benachrichtigungen als falsch-positiv melden, um Adaptive Protection beim Trainieren und Anpassen der Erkennungsmodelle zu helfen. Bei falsch-positiven Berichten verringert sich die Wahrscheinlichkeit, dass Adaptive Protection-Modelle Benachrichtigungen bei Traffic mit ähnlichen Merkmalen und Attributen ausgeben. Im Laufe der Zeit werden die Adaptive Protection-Erkennungsmodelle auf die spezifischen Merkmale des Traffics in jeder geschützten Sicherheitsrichtlinie abgestimmt. Die Schritte zum Melden falsch-positiver Ereignisse wurden in Monitoring, Feedback und Melden von Ereignisfehlern beschrieben.

Nächste Schritte