Casos de uso de protección adaptable de Google Cloud Armor

En este documento, se presentan algunos casos de uso comunes de la protección adaptable de Google Cloud Armor.

Protección y detección de ataques de DSD de L7

El caso de uso más común de la protección adaptable es detectar y responder a los ataques de DSD de L7, como desbordamientos HTTP GET, desbordamientos HTTP POST u otras actividades HTTP de alta frecuencia. Los ataques de DSD de L7 a menudo comienzan relativamente lento y aumentan su intensidad con el tiempo. En el momento en que las personas o los mecanismos automatizados de detección de aumentos repentinos detectan un ataque, es probable que la intensidad sea alta y que ya tenga un gran impacto negativo en la aplicación. Aunque es posible observar el aumento repentino del tráfico, es mucho más difícil diferenciar en tiempo real si las solicitudes individuales son malintencionadas o no, ya que parecen ser solicitudes normales con la forma correcta. Del mismo modo, como las fuentes de ataque se distribuyen entre botnets u otros grupos de clientes maliciosos cuyo tamaño varía entre miles y millones, se vuelve cada vez más difícil mitigar un ataque en curso mediante la identificación y el bloqueo sistemáticos de clientes maliciosos solo a partir de las IP. En el caso de DSD, el resultado es que el ataque logra que el servicio objetivo deje de estar disponible para algunos o todos los usuarios habituales.

Ilustración de un ataque de DSD de L7 (desbordamiento de HTTP GET). Un ataque exitoso podría sobrecargar la aplicación objetivo y evitar que los usuarios legítimos accedan al servicio.
Ilustración de un ataque de DSD de L7 (desbordamiento de HTTP GET). Un ataque exitoso podría sobrecargar la aplicación objetivo y evitar que los usuarios legítimos accedan al servicio. (haz clic para agrandar)

Para detectar y responder con rapidez a los ataques de DSD de L7, el propietario del proyecto o la política de seguridad puede habilitar la protección adaptable por política por seguridad en su proyecto. Después de al menos una hora de entrenar y observar patrones de tráfico normales, la protección adaptable estará lista para detectar con rapidez y precisión un ataque al inicio de su ciclo de vida y sugerir reglas de WAF a fin de bloquear el ataque en curso y evitar que afecte a los usuarios normales.

La protección adaptable identifica y mitiga un ataque de DSD de L7, lo que permite a los usuarios legítimos acceder a la aplicación.
La protección adaptable identifica y mitiga un ataque DSD de L7, lo que permite a los usuarios legítimos acceder a la aplicación. (haz clic para agrandar)

Las notificaciones de posibles ataques y la firma identificada del tráfico sospechoso se envían a Logging, donde el mensaje de registro puede activar una política de alertas personalizada, analizarse y almacenarse o enviarse a una solución descendente de información de seguridad y administración de eventos (SIEM) o de administración de registros. Consulta la documentación de Logging para obtener más información sobre cómo integrar una solución de administración de registros o SIEM descendente.

Detección de firmas de ataques y respuesta

Es fundamental no solo detectar y alertar sobre posibles ataques en una etapa temprana, sino también poder tomar medidas al respecto y responder a tiempo para mitigar los ataques. Los encargados de la respuesta ante incidentes de una empresa deben dedicar minutos y horas vitales a investigar, analizando los registros y supervisando los sistemas con frecuencia para recopilar suficiente información a fin de desarrollar una respuesta a un ataque en curso. A continuación, antes de implementar la mitigación, ese plan debe validarse para asegurarte de que no tenga un impacto no deseado o negativo en las cargas de trabajo de producción.

Un flujo de trabajo común para el proceso de respuesta ante incidentes de una empresa.
Un flujo de trabajo común para el proceso de respuesta ante incidentes de una empresa. (haz clic para agrandar)

Con la protección adaptable, los encargados de la respuesta ante incidentes tienen todo lo que necesitan para analizar y responder con rapidez a un ataque de DSD de L7 en curso en el momento en que reciben la alerta. La alerta de protección adaptable incluye la firma del tráfico que, según lo determinado, participa en el posible ataque. El contenido de la firma incluirá metadatos sobre el tráfico entrante, incluido el conjunto de encabezados de solicitud HTTP maliciosos, las ubicaciones geográficas de origen, etc. La alerta también incluye una regla que coincide con la firma del ataque que se puede aplicar en Google Cloud Armor para bloquear de inmediato el tráfico malicioso.

El evento de protección adaptable proporciona una puntuación de confianza y una tasa de referencia de impacto proyectada que se asocia con la regla sugerida para ayudar con la validación. Cada componente de la firma también tiene medidas para la probabilidad y la proporción de ataque a fin de permitir que los encargados de la respuesta ante incidentes ajusten y reduzcan o extiendan el alcance de la respuesta.

Personaliza el modelo y genera informes de errores de eventos

Los modelos de detección de ataques de protección adaptable se entrenan en un conjunto de datos producido de forma artificial para mostrar las características del tráfico bueno y del malicioso. Como resultado, es posible que la protección adaptable identifique un posible ataque y que, después de una investigación adicional, el encargado de la respuesta ante incidentes o el propietario de la aplicación determine que no fue un ataque. La protección adaptable puede aprender de los patrones únicos de tráfico y contexto de cada aplicación protegida.

Firma de ejemplo de un posible ataque.
Firma de ejemplo de un posible ataque. (haz clic para agrandar)

Puedes informar alertas individuales como un falso positivo para ayudar aún más al entrenamiento de la protección adaptable y personalizar los modelos de detección. Con informes de falsos positivos, es menos probable que los modelos de protección adaptable alerten sobre el tráfico con características y atributos similares en el futuro. Con el tiempo, los modelos de detección de protección adaptable se adaptarán más a las características específicas del tráfico en cada política de seguridad protegida. Los pasos para informar eventos de falsos positivos se describieron en Supervisión, comentarios e informes de errores de eventos.

¿Qué sigue?