התקנת ציוד ייעודי – למשל: DefensePro, ASM (יש לנו) שירותים נוספים: cloudflare, imperva
Black hole routing – פעולה המנתבת לNull0 וכתוצאה מזה הנגישות לנכסים היא רק בתוך הטווח של הספקית (בדרך כלל גם בכל הספקיות בארץ)
אחסון בענן
לפני שאני אכתוב “עוד מסמך” שבסופו של דבר יהיה עוד משהו בארכיון זה מה שחשבתי לעשות:
מיפוי נכסים חיצוניים – להכין רשימה כזו רשימה כזו, אולי קיימת איפשהו? מה הכנסים ששווה להגן עליהם? האם יש דירוג לפי רמת קריטיות?
איך עובדות המערכות \ רכיבים של ASM ו – DefensePro , מי יכול לעבור איתי על זה? האם יש עוד מערכות רלוונטיות?
כמה איכותיים החוקים שקיימים כרגע?
אם רוצים לסמלץ DDOS עם מי ניתן לדבר?
האם קיים שירות חיצוני שנותן לנו מענה? מה גודל ההתקפה שספק השירות מתחייב לעצור?
מי הם אנשי הקשר בזמן התקפה מתוך החברה? בספק שירות ?
האם אנחנו יודעים להבדיל בין “עומס יתר לגיטימי” לבין התקפה?
האם יש אפשרות לבצע תרגול שבו מעורבים כל הגורמים הרלוונטים – למשל סימלוץ התקפת :DDOS
אפשרות א’:
שירות חיצוני שמסמלץ DDOS > מענה ראשוני על ידי SOC > המשך תחקור על ידי אנליסטים LVL3> העברת פרטים לצוות תקשורת > פנייה לספק אינטרנט ולבקש לחסום כתובת ספציפית בNULL0 (למי מתקשרים? כמה זמן זה לוקח? מי מאושר לבקש)
אפשרות ב’:
שירות חיצוני שמסמלץ DDOS > מענה ראשוני על ידי SOC > המשך תחקור על ידי אנליסטים LVL3> העברת פרטים לצוות תקשורת > להעביר את האתר לענן (מי מפעיל אותו שם? עם מי מדברים אם לא עובד כמו שצריך בענן? מי דואג לשנות רישומים בDNS.?)
בהנחה והנוהל הקיים מיושן וספק אם רלוונטי
הנוהל יכנס לפורמט של כל הנהליים הארגוניים
לתוך הפורמט יתווספו הסבר כלי על מערכות ההגנה וההתראה לנושא DOS\DDOS
כמובן שיש המון שיטות שונות לDOS - וDDOS זה רק חלק קטן מהם - הדגש הוא על תקיפות DDOS
התשובה להתמודדות עם DDoS היא לא תמיד אצל ה-ISP, במקרה של מתקפות אפלקטיביות, יש סיכוי מסויים שהבקרים של הספקית לא יזהו מתקפה ובמקרה הזה התתמודדות היא על-ידי WAF, caching ו-scaling. אז השלבים הם:
הכנות. מדבר על כתיבת מדריכים, הבנת יכולת של התשתיות והאפלקציה, יעדים שעלולים להיות לתוקפים, ישום הגנות, אנשי קשר (בתוך הארגון בצד הספקית רשת, ספקית WAF וכיוצ"ב).
זיהוי. איזה מערכות זיהוי יש ברשות הארגון, האם יש לוגים ברמת התשתית? לוגים מהאפליקציה? היכן הם נמצאים ואיזה התראות הם מייצרים ומתי.
הכלה. יכולת של האפליקציה לגדול כשלב ראשוני (scale up/out) להתמודדות, האם יש מספיק מנגנוני cache בשביל למזער את הנזק.
מניעה. יצירת קשר עם הספקים השונים (ספקית אינטרנט, ספק WAF).
התאוששות. אימות הפסקת המתקפה, חזרה לשגרה.
דין וחשבון. סיכום האירוע, מה היה טוב, מה לא היה טוב, מה אפשר ללמוד ואיך משתפרים.