Casos prácticos de protección adaptable de Google Cloud Armor

En este documento, se presentan algunos casos prácticos comunes de la Protección adaptable de Google Cloud Armor.

Protección y protección contra ataques de DSD de L7

El caso práctico más común para la protección adaptable es detectar y responder a los ataques de DSD L7 como, por ejemplo, inundaciones en HTTP GET, inundaciones en HTTP o en otras actividades HTTP de alta frecuencia. Los ataques de DSD de frecuencia a menudo comienzan con una lentitud relativamente lenta y crecen en intensidad con el tiempo. Cuando los humanos o los mecanismos de detección automática de picos de actividad detectan un ataque, es probable que su intensidad sea alta y que ya tengan un gran impacto negativo en la aplicación. En esencia, si bien es posible observar el aumento del tráfico en conjunto, es mucho más difícil diferenciar en tiempo real las solicitudes individuales como maliciosas o no porque aparecen como solicitudes normales y completas. Del mismo modo, dado que las fuentes de ataque se distribuyen entre las redes de botan y otros grupos de clientes maliciosos que varían en tamaño de miles a millones, se vuelve cada vez más difícil mitigar un ataque continuo por identificar y bloquear de manera sistemática según el IP solo. En el caso de DSD, el resultado es que el ataque sea exitoso para que el servicio objetivo no esté disponible para algunos o todos los usuarios regulares.

Ilustración de un ataque de DSD D7 (HTTP GET flood) Un ataque exitoso podría abrumar la aplicación de destino y evitar que los usuarios legítimos accedan al servicio.
Ilustración de un ataque de DSD L7 (HTTP GET flood) Un ataque exitoso podría abrumar la aplicación de destino y evitar que los usuarios legítimos accedan al servicio. (haz clic para agrandar)

A fin de detectar y responder con rapidez a los ataques de DSD D7, el propietario del proyecto o la política de seguridad puede habilitar la protección con medidas de seguridad para una política de seguridad por proyecto. Después de al menos una hora de entrenamiento y observar patrones de tráfico normales, la Protección adaptable estará lista para detectar de forma rápida y precisa un ataque al principio del ciclo de vida y sugerirá las reglas de WAF para bloquear el ataque en curso mientras los usuarios permanecen sin ser afectados.

La Protección adaptable identifica y mitiga un ataque de DSD de L7, lo que permite que los usuarios legítimos accedan a la aplicación.
La protección adaptable identifica y mitiga un ataque DSD L7, lo que permite que los usuarios legítimos accedan a la aplicación. (haz clic para agrandar)

Las notificaciones de posibles ataques y la firma identificada del tráfico sospechoso se envían a Logging, donde el mensaje de registro puede activar una política de alertas personalizada, analizar y almacenar o enviarse a una información de seguridad descendente. y de gestión de eventos (SIEM) o solución de administración de registros. Consulta la documentación de Logging para obtener más información sobre cómo integrar integración de sistemas de SIEM o registro descendente.

Detección y respuesta de las firmas del ataque

Es fundamental no solo detectar y prevenir los posibles ataques temprano, sino también poder actuar sobre esa alerta y responder a tiempo para mitigar los ataques. Los respuestas de los incidentes de una empresa deben dedicar minutos a horas de análisis y horas cruciales para investigar, buscar con frecuencia registros de supervisión y sistemas de supervisión, a fin de reunir información suficiente para desarrollar una respuesta a un ataque en curso. A continuación, antes de implementar la mitigación, ese plan debe validarse para garantizar que no tenga un impacto negativo ni no deseado en las cargas de trabajo de producción.

Un flujo de trabajo común para el proceso de respuesta de un incidente empresarial
Un flujo de trabajo común para el proceso de respuesta de un incidente empresarial. (haz clic para agrandar)

Con la Protección adaptable, los servicios de respuesta ante incidentes tienen todo lo que necesitan para analizar y responder con rapidez a un ataque DSD L7 en curso el momento en el que reciben la alerta. La alerta de protección adaptable incluye la firma del tráfico que se determina que participa en el posible ataque. El contenido de la firma incluirá metadatos sobre el tráfico entrante, incluido el conjunto de encabezados de solicitud HTTP maliciosos, geografías de origen, etc. La alerta también incluye una regla que coincide con la firma de ataque que se puede aplicar en Google Cloud Armor para bloquear de inmediato el tráfico malicioso.

El evento de protección adaptable proporciona una puntuación de confianza y una tasa de referencia afectada por un promedio asociada con la regla sugerida para facilitar la validación. Cada componente de la firma también tiene medidas para la probabilidad de ataque y la proporción de ataque a fin de que los servicios de respuesta ante incidentes puedan ajustar y ajustar o ampliar el alcance de la respuesta.

Personaliza el modelo y informa los errores de los eventos

Los modelos de detección de ataques de la Protección adaptable se entrenan en un conjunto de datos y se producen de forma artificial para presentar las características del tráfico bueno y malicioso. Como resultado, es posible que la Protección adaptable identifique un posible ataque que, después de una investigación adicional, la respuesta ante el incidente o el propietario de la aplicación determinará que no era un ataque. La Protección adaptable puede aprender del contexto único y los patrones de tráfico de cada aplicación protegida.

Ejemplo de firma de un posible ataque.
Ejemplo de firma de un posible ataque. (haz clic para agrandar)

Puedes informar las alertas individuales como un falso positivo para ayudar aún más a entrenar la Protección adaptable y personalizar los modelos de detección. Con informes falsos positivos, los modelos de protección adaptable tienen menos probabilidades de generar alertas sobre el tráfico con características y atributos similares en el futuro. Con el tiempo, los modelos de detección de protección adaptable se adaptarán más a las características específicas del tráfico en cada política de seguridad protegida. Los pasos para informar eventos falsos positivos se describen en Supervisión, comentarios y errores de los eventos.

¿Qué sigue?