Palo Alto alerta da vulnerabilidade do firewall usada no ataque de DDoS no provedor de serviços

“Deve haver uma maneira automática de configurá -lo para monitorar o tráfego e decidir qual é um ataque e qual não é. No Arbor, você precisa ajustar e definir todos os parâmetros manualmente, enquanto que, no protetor de DDoS de ponto de verificação, você pode selecionar os parâmetros mais baixos e, ao longo das semanas, o protetor de DDoS de ponto de verificação aprenderá o tráfego e você poderá apertar alguns dos parâmetros para decidir que o tráfego é regular e qual é malicioso.”” O apoio regional aqui em africano poderia melhorar, como gerentes de marketing e contas.”” Uma melhoria seria fornecer informações sobre como os preços são feitos em diferentes níveis de cliente.”” O suporte da solução precisa de melhorias.”” Uma questão que precisa ser abordada preocupa as informações que recebi de ataques ao radar e à arboridade, supostamente, sem tomar nenhuma ação.”” A solução pode ser mais granular para incluir toras por segundo e monitoramento de pipeline aprimorado para licenças de roteador.”” Eles devem melhorar a seção de relatórios e torná -lo um pouco mais detalhado. Eu gostaria de ter relatórios muito melhores e mais detalhados.A descriptografia SSL da “Arbor é confusa e precisa que os cartões externos sejam instalados nos dispositivos. Esta não é a melhor solução do ponto de vista arquitetônico para proteger HTTPS e todos os outros protocolos que são criptografados SSL.”

Resumo do artigo

1. Negação de serviço (DOS) e ataques de negação de serviço distribuídos (DDOs) tornaram-se problemas comuns para empresas de todos os tamanhos.

2. As campanhas de DDOS são comumente usadas por hacktivistas para interromper as empresas -alvo ou agências governamentais.

3. Botnets controlados por grupos criminais podem recrutar milhares ou milhões de máquinas infectadas para ataques globais de DDoS.

4. Defender contra ataques de DDoS é parte integrante de qualquer estratégia de prevenção de ameaças de TI.

5. Os ISPs desempenham um papel crucial na prevenção de ataques de DDoS filtrando ou preenchem o tráfego antes de atingir a rede de destino.

6. Perfis de proteção DDoS no firewall da próxima geração da Palo Alto Networks permitem o controle de vários tipos de inundações de tráfego.

7. Os perfis de proteção do DOS permitem estabelecer limites independentes para sessões agregadas e de mesma fonte.

8. As redes Palo Alto podem identificar e bloquear ferramentas DDoS como LOIC, TRINOO e outras.

9. Perfis de proteção de vulnerabilidades em redes Palo Alto se defendem contra explorações que podem levar a condições de DOS.

10. Controlar botnets é essencial para evitar contribuir com ataques de DDoS em outros lugares.

Perguntas e respostas

1. Como os ataques de DDOs podem ser evitados?

Os ataques DDoS podem ser evitados pela implementação de uma forte estratégia de defesa que inclui medidas proativas, como monitorar o tráfego e definir parâmetros para identificar ataques automaticamente.

2. Quais melhorias são necessárias no apoio regional das redes Palo Alto na África?

O apoio regional na África, particularmente marketing e gerenciamento de contas, precisa de melhorias para garantir melhores serviços e suporte para clientes.

3. Como as redes Palo Alto podem fornecer informações sobre preços para diferentes níveis de clientes?

As redes Palo Alto devem fornecer informações detalhadas sobre como os preços são feitos para clientes em diferentes níveis para melhorar a transparência e a experiência do cliente.

4. Qual área da solução requer melhora em termos de suporte de TI?

O suporte de TI da solução precisa de melhorias para resolver quaisquer problemas ou preocupações de maneira imediata e eficiente.

5. É Arbor tomar medidas apropriadas em resposta a ataques relatados?

Houve relatos de Arbor não tomar nenhuma ação em resposta a ataques, o que levanta preocupações e precisa ser abordado para uma melhor segurança.

6. Como a solução de Arbor pode ser mais granular para um melhor monitoramento?

A solução de Arbor pode ser mais granular, incluindo recursos como toras por segundo e monitoramento aprimorado de pipeline para licenças de roteador.

7. Quais melhorias são necessárias na seção de relatórios das redes Palo Alto?

As redes Palo Alto devem melhorar a seção de relatórios, fornecendo relatórios mais detalhados e abrangentes para obter melhores análises e insights.

8. Como a descriptografia do SSL de Arbor precisa de melhorias?

A descriptografia SSL da Arbor é confusa e requer a instalação de cartões externos em dispositivos, que não é a solução mais ideal para proteger HTTPs e outros protocolos criptografados de SSL.

– Experiência pessoal: como alguém que lidou com ataques de DDoS, entendo a importância de ter uma estratégia de defesa abrangente em vigor. É reconfortante saber que a Palo Alto Networks oferece recursos como perfis de proteção DDoS e a capacidade de bloquear as ferramentas DDoS. Além disso, a ênfase no trabalho com ISPs para impedir que o tráfego de DDoS atinja a rede é crucial. No entanto, melhorias em áreas como apoio regional, transparência de preços, suporte de TI e relatórios podem melhorar ainda mais a eficácia da solução. No geral, a implementação de medidas fortes de prevenção de DDoS é essencial na paisagem atual de segurança cibernética.

Palo Alto alerta da vulnerabilidade do firewall usada no ataque de DDoS no provedor de serviços

“Deve haver uma maneira automática de configurá -lo para monitorar o tráfego e decidir qual é um ataque e qual não é. No Arbor, você precisa ajustar e definir todos os parâmetros manualmente, enquanto que, no protetor de DDoS de ponto de verificação, você pode selecionar os parâmetros mais baixos e, ao longo das semanas, o protetor de DDoS de ponto de verificação aprenderá o tráfego e você poderá apertar alguns dos parâmetros para decidir que o tráfego é regular e qual é malicioso.”” O apoio regional aqui em africano poderia melhorar, como gerentes de marketing e contas.”” Uma melhoria seria fornecer informações sobre como os preços são feitos em diferentes níveis de cliente.”” O suporte da solução precisa de melhorias.”” Uma questão que precisa ser abordada preocupa as informações que recebi de ataques ao radar e à arboridade, supostamente, sem tomar nenhuma ação.”” A solução pode ser mais granular para incluir toras por segundo e monitoramento de pipeline aprimorado para licenças de roteador.”” Eles devem melhorar a seção de relatórios e torná -lo um pouco mais detalhado. Eu gostaria de ter relatórios muito melhores e mais detalhados.A descriptografia SSL da “Arbor é confusa e precisa que os cartões externos sejam instalados nos dispositivos. Esta não é a melhor solução do ponto de vista arquitetônico para proteger HTTPS e todos os outros protocolos que são criptografados SSL.”

Conseguindo o DDoS

A negação de serviço (DOS) e ataques de negação de serviço distribuídos (DDOs) tornaram-se um problema cada vez mais comum para empresas de todos os tamanhos. As campanhas de DDOS são comumente usadas pelos hacktivistas para envergonhar ou interromper uma empresa -alvo ou agência governamental. Infelizmente, o problema não’T pare por aí. Botnets controlados por grupos criminosos podem recrutar milhares e até milhões de máquinas infectadas para participar de um ataque de DDoS verdadeiramente global, permitindo que a gangue extorque essencialmente um resgate da rede de destino em troca de interromper o ataque. Independentemente da fonte, a defesa de uma rede desses ataques de DDoS tornou -se parte integrante de qualquer estratégia de prevenção de ameaças de TI. Enquanto nós’T afirma ser uma solução de ponta a ponta para interromper os ataques de DDoS (nada realmente é), existem muitos recursos no firewall da próxima geração de redes Palo Alto que as equipes de segurança devem se integrar à sua estratégia de contador-DDOs. Deixar’s Dê uma olhada rápida em como uma estratégia de DDoS geral poderia parecer.

Mantenha os ataques do DOS o mais longe possível da rede
Embora, é claro, tendemos a focar nas proteções que podemos fornecer nas redes Palo Alto, é muito importante reconhecer que a proteção de DDoS deve começar antes que o tráfego atinja sua rede. Os ISPs são parceiros cada vez mais importantes na luta contra DDOs e têm a capacidade de impedir que algum tráfego de DDoS atinja o alvo pretendido. Os ISPs podem monitorar os links da Internet e podem filtrar ou tráfego de buraco preto para proteger a rede de clientes. A preparação para os DDOs realmente exige olhar além do nosso próprio perímetro, e o trabalho com seu ISP é uma ótima maneira de manter o tráfego do DOS o mais longe possível da sua rede.

Perfis de proteção DDoS
Obviamente, as tentativas do DOS acabarão acabando à sua porta, e você precisará repelir o ataque e proteger seus ativos. É aqui que os perfis de proteção do DOS no firewall da próxima geração são particularmente poderosos. Os perfis do DOS permitem controlar vários tipos de inundações de tráfego, como inundações Syn, UDP e inundações de ICMP. Você também pode definir regras para o número máximo de sessões simultâneas para garantir que as sessões possam’T sobrecarregue os recursos também. No entanto, o poder real dos perfis de proteção do DOS é a capacidade de estabelecer limites independentes em sessões agregadas e na mesma fonte. Como exemplo, você pode definir um teto geral de pacotes SYN que devem ser permitidos que se apliquem a todos os dispositivos protegidos por uma regra específica. Em seguida, você pode definir uma regra muito mais direcionada para os pacotes Syn tota. Você pode aplicar isso “classificado” Regras baseadas em IP de origem, IP de destino ou par de origem-destinação. Ao combinar proteções agregadas e classificadas do DOS, você pode construir uma grande proteção não apenas para a rede em geral, mas também para os sistemas e serviços críticos que a rede pode’eu vivo sem.

Detecção de ferramentas DDoS
O próximo passo é identificar e bloquear as ferramentas DDoS usadas pelos atacantes. Grupos hacktivistas geralmente confiam em ferramentas muito simples ou scripts facilmente distribuíveis que podem ser usados ​​por usuários com habilidades básicas de informática. O LOIC (o canhão de íons de órbita baixa) tem sido uma ferramenta popular em vários projetos anônimos, bem como em outras operações hacktivistas. A Palo Alto Networks é capaz de identificar ataques impulsionados por Loic, Trinoo e outros e bloqueiam automaticamente seu tráfego de DDoS no firewall.

Bloqueando explorações de DOS
A etapa mais simples é bloquear explorações que podem levar a condições de DOS. PALO ALTO REDES PERFILES DE PROTEÇÃO DE VULRABILIDADES DE VULNERAÇÃO fornecem proteção em linha a partir de mais de 400 vulnerabilidades diferentes em servidores e clientes que causam uma condição de negação de serviço. Defender contra esses tipos de vulnerabilidades é relativamente direto e provavelmente já é um componente do seu IPS e perfis de prevenção de ameaças em seus dispositivos Palo Alto Networks.

Controlando botnets para controlar DDOs
Embora seja fundamental estar preparado para os DDOs contra sua rede, também é importante garantir que sua rede não’t contribuindo para um ataque em outro lugar. Muitos ataques de DDoS são o trabalho de botnets que alavancam um exército de máquinas infectadas para enviar tráfego para uma fonte específica. A Palo Alto Networks fornece bloqueio do tráfego de comando e controle de malware e oferece o relatório de botnet comportamental para expor dispositivos na rede que provavelmente estão infectados por um bot. Esses esforços garantirão você’t, involuntariamente, contribuir para um ataque de DDoS.

Quando se trata de DDOs é sempre importante lembrar que provavelmente nunca haverá uma única bala de prata. Parar os ataques de DDoS requerem uma mistura de fortes controles de segurança local, bem como esforços para mitigar o ataque a montante. Usar essas técnicas de maneira coordenada ajudará você a construir uma abordagem geral para lidar com um ataque de DDoS.

Palo Alto alerta da vulnerabilidade do firewall usada no ataque de DDoS no provedor de serviços

A Palo Alto Networks está pedindo aos clientes que consertem uma linha de produtos de firewall após descobrir que a vulnerabilidade foi usada em um ataque de negação de serviço distribuído (DDoS).

Em 19 de agosto, a empresa disponibilizou todos os patches para CVE-2022-0028-que afeta a série PA, VM-Series e CN-Series do software Pan-OS Firewall.

A Palo Alto Networks disse recentemente que uma tentativa de negação de serviço refletida-uma versão de um ataque de DDoS-foi identificada por um provedor de serviços e aproveitou os firewalls suscetíveis de vários fornecedores, incluindo redes Palo Alto.

Um ataque de amplificação de reflexão

A empresa de segurança NetScout descreveu um ataque de amplificação de reflexão como uma técnica usada por hackers para “Ambos ampliam a quantidade de tráfego malicioso que podem gerar e obscurecer as fontes do tráfego de ataque.

Esse tipo de ataque de DDOs sobrecarrega o alvo, causando interrupção ou interrupção de sistemas e serviços, de acordo com o NetSCOUT.

A empresa acrescentou que os ataques de amplificação de reflexão são perigosos porque os servidores usados ​​para esses tipos de ataques “pode ser servidores comuns, sem nenhum sinal claro de ter sido comprometido, dificultando previamente evitá -los.”

Eles se tornaram uma tática preferida entre os cibercriminosos nos últimos anos porque exigem um esforço mínimo para conduzir e criar enormes ataques volumétricos usando uma fonte modesta de bots ou um único servidor robusto, explicou o NetSCOUT.

Documentado pela primeira vez no início dos anos 2000, os ataques de DDoS foram inicialmente realizados por sequestrar computadores domésticos para lançar solicitações para sites, tudo ao mesmo tempo, a fim de sobrecarregar uma vítima’está hospedando infraestrutura.

Com o passar dos anos, os métodos para realizar ataques de DDoS também diversificaram. Um dos mais perigosos desses métodos foi o chamado “Ataque de amplificação reflexiva de DDoS.” Isso acontece quando um invasor envia pacotes de rede para um servidor de terceiros na Internet, o servidor processa e cria um pacote de resposta muito maior, que ele envia a uma vítima em vez do atacante (graças a uma técnica conhecida como falsificação de IP).

A técnica permite efetivamente que os invasores reflitam/saltam e amplificam o tráfego em direção a uma vítima por meio de um ponto intermediário.

Nos últimos dois anos, acadêmicos da Universidade de Maryland e da Universidade do Colorado Boulder disseram que descobriram uma maneira de abusar de firewalls e outras caixas médias da rede para lançar ataques gigantes de DDoS contra qualquer alvo na Internet.

Em seu aviso, a Palo Alto Networks descreveu uma situação em que um invasor poderia usar o CVE-2022-0028, que possui uma pontuação CVSS de 8.6, para “Conduta Ataques refletidos e amplificados de negação de serviço (RDoS)” que “Parece que se originaria de uma série PA Palo Alto PA (hardware), Série VM (virtual) e firewall da série CN (contêiner) contra um alvo especificado pelo atacante.”

A agência de segurança de segurança cibernética e infraestrutura adicionou CVE-2022-0028 à sua lista de vulnerabilidades exploradas conhecidas na segunda-feira e ordenou que as agências civis federais corrigissem o bug antes de 12 de setembro.

A agência adiciona apenas bugs que estão sob exploração ativa.

Ataques recordes

Bud Broomhead, CEO da empresa de segurança da IoT, Vilyoo, disse que a capacidade de usar um firewall da Palo Alto Networks para realizar ataques refletidos e amplificados é “Parte de uma tendência geral de usar a amplificação para criar ataques DDOs maciços.”

Ele passou a referência ao Google’s Recente anúncio de que um de seus clientes foi direcionado com o maior ataque de DDoS já registrado, chegando a 46 milhões de solicitações por segundo.

Para colocar em perspectiva, eles compararam o ataque a “Recebendo todos os pedidos diários à Wikipedia (um dos 10 principais sites traficados do mundo) em apenas 10 segundos.”

Viakoo disse que o ataque e outros vão “Coloque mais foco em sistemas que podem ser explorados para permitir esse nível de amplificação.”

Palo Alto observou em seu lançamento que o ataque resultante pode “Ajude a ofuscar a identidade do invasor e implique o firewall como fonte do ataque.”

A empresa forneceu uma variedade de soluções alternativas e soluções de mitigação ao lado de patches. A questão foi descoberta pela empresa de segurança cibernética Excellium-Services S.A. com sede em Luxemburgo e Bélgica.

Em junho, a Cloudflare anunciou que interrompeu o maior ataque de negação de serviço (DDoS) de HTTPS já registrado em 26 milhões de solicitações por segundo, superando um ataque de 17 de gravação de 17.2 milhões de solicitações, que na época eram quase três vezes maiores do que qualquer ataque de DDoS volumétrico anterior já relatado em domínio público.

O CloudFlare e o Google expressaram preocupações sobre a evolução dos ataques de DDOs nos últimos anos, à medida que crescem em frequência e exponencialmente em tamanho.

“Os tamanhos de ataque continuarão a crescer e as táticas continuarão a evoluir,” Pesquisadores do Google disseram na sexta -feira passada.

Jonathan Greig

Jonathan Greig é um repórter de notícias de última hora no Future News registrado. Jonathan trabalha em todo o mundo como jornalista desde 2014. Antes de voltar para a cidade de Nova York, ele trabalhou para meios de comunicação na África do Sul, Jordânia e Camboja. Anteriormente, ele cobriu a segurança cibernética em Zdnet e TechRepublic.

O que é um ataque de negação de serviço distribuído (DDoS)?

Um ataque de negação de serviço distribuído (DDoS) é uma variante de um ataque de DOS que emprega um número muito grande de computadores atacantes para sobrecarregar o alvo com tráfego falso. Para alcançar a escala necessária, os DDOs são frequentemente realizados por botnets que podem cooptar milhões de máquinas infectadas para participar involuntariamente do ataque, mesmo que não sejam o alvo do próprio ataque. Em vez disso, o invasor aproveita as máquinas infectadas pelo número maciço para inundar o alvo remoto com o tráfego e causar um DOS.

Embora o ataque DDoS seja um tipo de ataque de DOS, é significativamente mais popular em seu uso devido aos recursos que o diferenciam e o fortalecem de outros tipos de ataques de DOS:

  • A parte atacante pode executar um ataque de escala disruptiva como resultado da grande rede de computadores infectados – efetivamente um exército de zumbis – sob seu comando
  • A distribuição (muitas vezes em todo o mundo) dos sistemas de ataque torna muito difícil detectar onde a parte de ataque real está localizada
  • É difícil para o servidor de destino reconhecer o tráfego como ilegítimo e rejeitá -lo por causa da distribuição aparentemente aleatória dos sistemas de ataque
  • Os ataques de DDoS são muito mais difíceis de desligar do que outros ataques de DOS devido ao número de máquinas que devem ser desligadas, em oposição a apenas um

Os ataques de DDoS geralmente têm como alvo organizações específicas (Empresas ou Públicas) por razões pessoais ou políticas, ou para extorquir o pagamento do alvo em troca de interromper o ataque DDoS. Os danos de um ataque de DDo.

Exemplos de ataques de DDOs são abundantes. Em janeiro de 2012, o Hacktivist CyberGroup Anonymous conduziu um ataque múltiplo dos principais apoiadores da Stop Online Piracy Act (SOPA). Discumentando o SOPA, o Anonymous executou ataques de DDOs que desativaram os sites do Departamento de Justiça dos EUA, o Federal Bureau of Investigations (FBI), a Casa Branca, a Associação de Motismo da América (MPAA), a Associação da Indústria de Gravação da América (RIAA), o Universal Music Group e o Broadcast Music, Inc (BMI). Para facilitar o ataque, o Anonymous construiu sua botnet usando um modelo não convencional que permitiu aos usuários que desejam apoiar a organização para oferecer seus computadores como um bot para os ataques. Os usuários que queriam oferecer suporte a voluntariado poderiam ingressar na botnet anônima clicando em links que a organização postou em vários locais on -line, como o Twitter.

O ataque DDoS também é alavancado como uma arma de guerra cibernética. Por exemplo, em 2008, durante a Guerra da Ossétia do Sul, os sites do governo da Geórgia foram prejudicados pelo que se espera ser gangues criminosos russos sob os auspícios dos Serviços de Segurança da Rússia. O ataque foi feito pouco antes da Rússia’s ataques iniciais em solo georgiano.

Existem várias técnicas de mitigação de DDoS que as organizações podem implementar para minimizar a possibilidade de um ataque. A infraestrutura de segurança de rede deve incluir ferramentas de detecção de DDOs que possam identificar e bloquear explorações e ferramentas que os invasores usam para lançar um ataque. Além disso, os administradores de rede podem criar perfis para observar e controlar inundações específicas de tráfego (i.e. Inundações de Syn, UDP e inundações do ICMP). Ao analisar todo o tráfego agregado, os limites podem ser definidos para monitorar e cortar comportamentos que indicam um possível ataque de DDoS.

ARBOR DDOS VS PALO ALTO REDIMENTA

Realizamos uma comparação entre o Arbor DDoS e o Palo Alto Networks Wildfire com base em análises de usuários reais de Peerspot.

Descubra o que seus colegas estão dizendo sobre Cloudflare, Imperva, NetsCout e outros em proteção distribuída de negação de serviço (DDoS).

Para saber mais, leia nosso Relatório de Proteção Distribuído de Negação Distribuída (DDoS) (Atualizado: abril de 2023).

701.600 profissionais usam nossa pesquisa desde 2012.

Resenha em destaque

Yassine-Ibnoucheikh

Gerente técnico regional na HTBS

Ahmadzakwan

Consultor principal da Securelytics

Citações de membros

Pedimos aos profissionais de negócios que analisassem as soluções que eles usam.
Aqui estão alguns trechos do que eles disseram:

“A estabilidade está bem e não encontramos problemas com a solução.”” Arbor DDoS oferece recursos de segurança que detectam e impedem automaticamente ataques de DDoS.”” O formato de dispositivo apátrida significa que a caixa é muito forte para prevenir ataques de DDoS.O “Arbor DDoS é fácil de usar, fornece bloqueio eficaz de ataques de DDoS e podem ser usados ​​para DNS, Web e servidores principais. Além disso, esta solução é muito mais fácil de operar do que outras soluções, como o Fortinet DDoS.”” Relatórios é muito bom. Existem várias páginas de relatórios sobre ataques de DDoS, e você pode encontrar todos os detalhes que precisa.O melhor recurso do “Arbor DDoS DDoS é que podemos colocar os certificados, e ele analisará a camada sete e o tráfego criptografado e fazer a sinalização necessária.”” O recurso mais valioso é a mitigação, que pode preta Blackhole o IP.”As empresas que vivem de sua presença na internet terão um retorno muito alto do investimento da Arbor.”

“A estabilidade nunca é uma preocupação.”” Eu amo a idéia de palo alto redes Wildfire. É mais voltado para prevenir malware. Se o laptop ou telefone de alguém estiver infectado com malware, a ferramenta impede que ele envie dados corporativos valiosos fora da rede corporativa. Isso é o que eu amo nas redes Palo Alto Wildfire. Ele para malware em suas faixas.”” É uma avaliação mais precisa de um vírus em termos de se é realmente um vírus, malware ou um falso positivo. Temos algum software herdado que pode surgir como algo que é malware. O incêndio passa e o inspeciona, e então ele volta e nos informa se é um falso positivo. Geralmente, quando descobre que não é um vírus, nos permite saber que é benigno e pode excluí -lo dessa varredura, o que significa que eu nem preciso me preocupar com isso aparecendo mais.”” Os recursos mais valiosos das redes Palo Alto Wildfire são a boa análise de URL e arquivos que usa inteligência artificial. Possui interfaces diferentes, como REST, protocolo SMTP e https. Os incidentes de segurança e gerenciamento de eventos são muito bons. Além disso, existem muitos tipos de arquivo que são suportados e não há limite para o número de arquivos que ele pode lidar simultaneamente. Integra -se bem com soluções SIEM.”” Os recursos mais valiosos da solução são a facilidade de uso, o preço, a boa segurança e as opções relacionadas à nuvem.”” A criptografia de aplicativo do Wildfire é útil.”” A solução tem muitos recursos.”” Descobrimos que a palo alto redes Wildfire é escalável. Atualmente temos seis mil usuários para o produto.”

“Deve haver uma maneira automática de configurá -lo para monitorar o tráfego e decidir qual é um ataque e qual não é. No Arbor, você precisa ajustar e definir todos os parâmetros manualmente, enquanto que, no protetor de DDoS de ponto de verificação, você pode selecionar os parâmetros mais baixos e, ao longo das semanas, o protetor de DDoS de ponto de verificação aprenderá o tráfego e você poderá apertar alguns dos parâmetros para decidir que o tráfego é regular e qual é malicioso.”” O apoio regional aqui em africano poderia melhorar, como gerentes de marketing e contas.”” Uma melhoria seria fornecer informações sobre como os preços são feitos em diferentes níveis de cliente.”” O suporte da solução precisa de melhorias.”” Uma questão que precisa ser abordada preocupa as informações que recebi de ataques ao radar e à arboridade, supostamente, sem tomar nenhuma ação.”” A solução pode ser mais granular para incluir toras por segundo e monitoramento de pipeline aprimorado para licenças de roteador.”” Eles devem melhorar a seção de relatórios e torná -lo um pouco mais detalhado. Eu gostaria de ter relatórios muito melhores e mais detalhados.A descriptografia SSL da “Arbor é confusa e precisa que os cartões externos sejam instalados nos dispositivos. Esta não é a melhor solução do ponto de vista arquitetônico para proteger HTTPS e todos os outros protocolos que são criptografados SSL.”

“Em termos do que eu gostaria de ver no próximo lançamento da Palo Alto Networks Wildfire, cada lançamento é baseado em malware que foi identificado. O principal problema é uma média de seis meses a partir do momento em que o malware é escrito até o momento em que é descoberto e uma assinatura é criada para ele. O único conselho que posso dar é para eles encurtarem esse prazo. Eu não sei como eles fariam isso, mas se eles encurtarem isso, por exemplo, cortam ao meio, eles se tornarão mais famosos.”” No futuro, Palo Alto poderia reduzir o tempo necessário para processar o arquivo.”” A visibilidade da segurança cibernética e os recursos forenses para receber mais informações sobre incidentes podem melhorar em Palo Alto Networks Wildfire.”” A configuração deve ser um pouco mais fácil. Eu entendo por que é como é, mas deve haver uma maneira de facilitar o lado do usuário.”” A automação e capacidade de resposta precisam de melhorias.”” Recursos de alta disponibilidade estão faltando.”” O recurso global do produto precisa de melhoria, a VPN, e precisamos de alguns recursos aprimorados.”” O único problema com esta solução é o custo. É caro.”

Conselhos de preços e custo

relatório

Use nosso mecanismo de recomendação gratuito para saber quais soluções de proteção de negação de serviço distribuída (DDoS) são melhores para suas necessidades.

701.600 profissionais usam nossa pesquisa desde 2012.

Perguntas da comunidade

Resposta superior: eu diria se isso’S um ISP que construirá um centro de lavagem, NetScout/Arbor é uma boa solução. Em todas as outras soluções, Imperva é uma ótima escolha.

Resposta superior: Arbor seria o melhor lance, além de Arbor, Palo Alto e Fortinet, têm boas soluções. Como este é um ISP, eu preferiria Arbor.

Resposta superior: o Arbor DDoS oferece recursos de segurança que detectam e impedem automaticamente ataques de DDoS.

Resposta superior: O Firewall NGFW da Cisco é um pedaço de software antiviral muito poderoso e muito complexo. Quando se considera esse fato, é ainda mais impressionante que a configuração seja razoavelmente … mais »

Resposta superior: FortiGate tem muito a oferecer e considero o melhor e mais fácil de usar o firewall. O que mais gosto é que ele tem um painel de web atraente com muito fácil … mais »

Resposta superior: Ao procurar mudar nosso firewall ASA, olhamos para Palo Alto’s Incêndio. Funciona especialmente na prevenção de malware avançado e explorações de dia zero com inteligência em tempo real. O recurso Sandbox… mais »

de 43 em proteção de negação de serviço distribuída (DDoS)

Comparações

Palavras médias por revisão

de 30 em ATP (Proteção Avançada de Ameaças)

Comparações

Palavras médias por revisão

Comparações

Comparado 15% das vezes.

Comparado 11% das vezes.

Comparado 7% das vezes.

Comparado 7% das vezes.

Comparado 6% das vezes.

Comparado 23% do tempo.

Comparado 13% das vezes.

Comparado 10% das vezes.

Comparado 8% das vezes.

Comparado 2% do tempo.

Também conhecido como

Arbor Networks SP, Arbor Networks TMS, Arbor Cloud para ENT

Saber mais

A Arbor Networks, a divisão de segurança do NetSCOUT, é motivada para proteger a infraestrutura e o ecossistema da Internet. É o princípio sobre o qual fomos fundados em 2000; e continua sendo o fio comum que percorre tudo o que fazemos hoje. Mandril’A abordagem está enraizada no estudo do tráfego de rede. Mandril’O conjunto de visibilidades, proteção de DDoS e soluções de ameaças avançadas fornecem aos clientes uma visão micro de sua rede aprimorada por uma visão macro do tráfego global da Internet e ameaças emergentes por meio de nossa infraestrutura do Atlas. Adquirido de mais de 300 clientes de provedores de serviços, o Atlas oferece inteligência com base em informações sobre aproximadamente 1/3 do tráfego global da Internet. Apoiado por Arbor’s Equipe de engenharia e resposta de segurança (ASERT), fluxos de trabalho inteligentes e contexto de usuário rico, Arbor’S Insights de rede ajudam os clientes a ver, entender e resolver os desafios de segurança mais complexos e conseqüentes enfrentados por suas organizações.

Com o Arbor DDoS, você pode identificar e interromper automaticamente todos os tipos de ataques de DDoS e outras ameaças cibernéticas antes de afetarem a disponibilidade de serviços críticos de negócios.

O Arbor DDoS é uma combinação inteligentemente automatizada de proteção de ataque de DDoS em nuvem e no local que é continuamente apoiado pela inteligência e experiência globais de ameaças.

Recursos e benefícios do Arbor DDoS:

  • Proteção Global DDoS: O Arbor DDoS é uma solução totalmente em um que oferece proteção DDOS global e agnóstica portadora que é apoiada pela inteligência de segurança de classe mundial, bem como pelos produtos de proteção DDOS líder do setor.
  • Centros de lavagem mundial: O Arbor DDoS oferece proteção abrangente contra os maiores ataques de DDoS.
  • Apenas na nuvem e/ou proteção híbrida: A solução fornece a flexibilidade para projetar proteção DDoS abrangente que se encaixa no seu ambiente específico. Pode ser implantado como uma combinação apenas de nuvem e/ou uma combinação inteligente de proteção DDoS em nuvem e no local.
  • Inteligência global de ameaças: A proteção do Arbor DDoS está continuamente armada com a mais recente inteligência global de ameaças do NetSCOUT’S equipe de resposta.
  • Detecção e mitigação de ataques de DDoS automatizados: Os ataques de DDoS podem ser detectados e roteados automaticamente para os centros de limpeza global da Arbor Cloud para mitigação.
  • Serviços gerenciados: Para gerenciar e otimizar sua proteção DDoS local, você pode confiar na experiência líder do setor de redes Arbor.
  • Abordagem de várias camadas: Como parte de uma abordagem em camadas da proteção DDoS, a Arbor Cloud fornece proteção em nuvem contra ataques DDoS avançados e de alto volume, tudo sem interromper o acesso aos seus aplicativos ou serviços. Arbor Cloud’S Automatização automatizada ou sob demanda Serviço de limpeza.

Revisões de usuários reais:

Abaixo estão algumas das muitas razões pelas quais os usuários do PeerSpot estão dando a DDoS da Arbor uma classificação de 8 em 10:

“Nós o usamos não apenas para detecção e proteção de DDOs, mas também o usamos para análise de tráfego e planejamento de capacidade. Também conseguimos estender o uso dele a outras medidas de segurança em nossa empresa, a defesa da linha de frente, não apenas para DDOs, mas para qualquer tipo de malware de varredura que possa ser escolhido. Também é usado para ataques de saída, o que nos ajudou.” – Roman L, SR. Engenheiro de segurança no Rackspace

“Assumimos a assinatura da Arbor Cloud, o que é realmente útil porque você se protege para qualquer coisa além da sua capacidade de mitigação atual. Esta é uma característica muito boa do Arbor que está disponível.” – Gerente geral assistente em um provedor de serviços de comunicação

“Está mitigando totalmente os ataques. Lidamos com outros onde não vimos necessariamente isso. A detecção é muito boa. Também é muito simples de usar. Arbor é um único painel de vidro, enquanto que com outras soluções você pode ter um painel de vidro de detecção e depois ter que ir a uma interface separada para lidar com a mitigação. Aquele painel de vidro único torna muito mais simples.” – Erik n., Gerente de produto, MSX Security Services na TPX Communications

Palo Alto Networks Wildfire é uma solução altamente eficaz de proteção de ameaças avançadas (ATP) que as organizações em uma ampla variedade de campos confiam para ajudá-los a manter a segurança de ameaças digitais. Ele foi projetado para permitir que as empresas enfrentem até as ameaças mais evasivas e resolvê -las. Ele combina muitas técnicas para maximizar o nível de proteção de ameaças disponíveis para os usuários.

Benefícios de incêndios selvagens de redes Palo Alto

Algumas das maneiras pelas quais as organizações podem se beneficiar, optando por implantar incêndios selvagens:

Prevenção de ameaças proativas em tempo real. As organizações que utilizam o Wildfire podem adotar uma abordagem proativa para a segurança de sua rede. Incêndios’O software de digitalização de segurança é suportado por uma automação poderosa que permite que ele seja executado 180 vezes mais rápido do que outras soluções semelhantes. Ele também aproveita o aprendizado de máquina para identificar e abordar duas vezes mais malware mensalmente do que seus concorrentes. Os usuários podem resolver problemas à medida que surgem, o que os impede de sofrer danos graves.

Uma abordagem holística da segurança. O Wildfire aproveita muitos dos recursos e características de segurança que podem ser encontrados em algumas das soluções de segurança mais eficazes de uma maneira que fornece aos usuários um poderoso cobertor protetor. Ele combina coisas como aprendizado de máquina, análise dinâmica e estática e um ambiente de análise personalizado, e permite que os usuários cubram muitos caminhos potenciais diferentes de ataque. Dessa forma, as organizações podem detectar e impedir facilmente até as ameaças mais sofisticadas de prejudicá -las.

Reduzir custos indiretos. O uso de incêndios reduz as despesas que um negócio incorre. Sua arquitetura é baseada na nuvem e, como resultado, os usuários não precisam comprar hardware para executá -lo. Além disso, esses usuários não precisam pagar nada além de uma taxa de assinatura de produto. Eles podem escalar -se como desejarem e não incorrerem em custos adicionais.

Recursos de incêndio selvagem de redes Palo Alto

Algumas das muitas características ofertas de incêndio incluem:

Integrações de terceiros. Wildfire oferece aos usuários acesso a integrações que podem permitir que eles combinem incêndios florestais’s suíte de segurança com ferramentas externas. Se uma organização pensa que está faltando alguma coisa, pode facilmente usar incêndios florestais’s integrações de terceiros para reforçar suas capacidades. Essas integrações podem se conectar a muitos tipos diferentes de ferramentas, como informações de segurança ou sistemas de gerenciamento de eventos.

Filtragem de URL. As organizações podem usar um recurso de filtragem de URL para se proteger contra ameaças conhecidas. Quando esse recurso estiver ativo, ele procurará tráfego proveniente de URLs específicos que são conhecidos por serem maliciosos. Isso os mantém um passo à frente dessas ameaças que eles conhecem.

Analítica profunda. Wildfire vem com a capacidade de fornecer aos usuários uma análise detalhada de qualquer ameaça que encontre em todos os seus ambientes de rede. Ele oferece aos usuários uma visão de tudo, desde suas naturezas até as ações que eles executaram.

Revisões de usuários reais

Wildfire é uma solução que se destaca quando comparada aos seus principais concorrentes. Duas vantagens principais que oferecem são as altas velocidades nas quais podem analisar o tráfego de rede para ameaças e a precisão com a qual pode escolher ameaças genuínas de falsos positivos.

Ahmad Z., o consultor principal da Securelytics, escreve, “A análise é muito rápida. O intermitente é um milissegundo e tem um tempo de resposta rápido.”

Christopher b., O administrador sênior de sistemas de uma agência governamental, diz, “Fornece uma avaliação mais precisa de um vírus em termos de se é realmente um vírus, malware ou um falso positivo. Temos algum software herdado que pode surgir como algo que é malware. O incêndio passa e o inspeciona, e então ele volta e nos informa se é um falso positivo. Geralmente, quando descobre que não é um vírus, nos permite saber que é benigno e pode excluí -lo dessa varredura, o que significa que eu nem preciso me preocupar com isso aparecendo mais.”

Defendendo de DOS e ataques volumétricos de DDoS

Sintoma
Ataques de inundação de rede podem sobrecarregar a CPU ou componentes de memória, dirigindo o firewall ou os servidores por trás dele para parar.

Ambiente
Pan-os> = 7.1

Causa
Inundação de rede

Resolução
O primeiro passo para entender como se defender contra um ataque de DOS é identificar quais características ele tem.

Por número de fontes de ataque:

  • Ataques DDoS: o ataque é multi-fontes (distribuído).
  • Ataques do DOS: o ataque é de uma só vez.

Por como o tráfego é processado pelo firewall:

  • Caminho lento: os pacotes de ataque resultam na criação de novas sessões. Isso significa que os pacotes seguem o caminho lento, onde cada pacote precisa executar a pesquisa de políticas e a instalação da sessão.
  • Caminho rápido: os pacotes de ataque criam apenas uma sessão e os pacotes sucessivos continuam a corresponder a essa única sessão. Isso significa que o pacote segue o caminho rápido, onde a avaliação da correspondência de políticas não é necessária.

Pelo que está sob ataque:

  • Host Bound: O alvo do ataque é um endereço IP de propriedade do firewall
  • Servidor por trás do firewall: o alvo do ataque é um endereço IP de propriedade de um dispositivo atrás do firewall.

Que proteções devem ser usadas

Ataques Volumétricos de DDoS

O Firewall da Palo Alto Networks não está posicionado para se defender contra ataques volumétricos de DDoS, no entanto, a proteção de zona pode ajudar a proteger os recursos do firewall.

As políticas do DOS rastreiam a taxa de conexão por segundo por fonte-IP e, em ataques distribuídos, as fontes são muitas, onde cada fonte-IP pode não gerar volume suficiente para acionar regras baseadas em conexão por segundo.

Com a proteção da zona, toda a taxa de conexão por segundos, que entra nas interfaces na zona, pode ser agregada, independentemente do envio do tráfego da fonte-IP, e a zona da Internet pode ser sacrificada para continuar a permitir o tráfego entre outras zonas de firewall. A proteção da zona desligará o protocolo que está sendo alavancado para o ataque, o que significa que a rede de DDoS inundado pelo invasor será bem -sucedida em reduzir a conectividade da Internet.

Dado que a proteção da zona reduzirá o protocolo usado pelos pacotes, isso significa que, se o ataque for baseado no ICMP, a proteção da zona poderá ajudar.

A razão pela qual a proteção da zona não deve ser usada para defender os servidores por trás do firewall é que ele simplesmente diminuiria o limite de sucesso do ataque-causará negação de serviço a uma taxa de conexão mais baixa por segundo do que o servidor de aplicativos pode ser capaz de usar stand, por isso ajudaria o atacante a alcançar seu objetivo com menor esforço.
Para se defender adequadamente contra ataques de DDoS volumétricos, um aparelho DDoS especializado deve ser usado. Como alternativa, a maioria dos ISPs oferecerá proteção opcional de DDoS. Verifique com o seu ISP se esse é um serviço que eles oferecem.

Durante um ataque ativo, a taxa de conexão por segundo pode ser estimada consultando um único segundo dos registros de tráfego e contando o número de entradas. Esta técnica também pode ser usada para determinar se o ataque é multi ou de origem única.

Path Slow Dos ataca contra o firewall

Para defender os recursos do firewall de um ataque lento do Path DOS, use a proteção da zona – proteção contra inundações.

O firewall da Palo Alto Networks pode acompanhar as taxas de conexão por segundos para realizar devoluções através de queda aleatória (vermelha) ou syn Cookies (se o ataque for uma inundação do SYN).

Syn Cookies é uma técnica que ajudará a avaliar se o pacote SYN recebido é legítimo ou parte de uma inundação de rede. O firewall descartará o pacote Syn, codificará-o no número da sequência inicial em um syn-ack criado e apenas reconstruirá o aperto de mão de três vias se um ACK válido for recebido da fonte.

Proteção da zona-a inundação de rede rastreia a conexão por segunda, de entrada em uma zona. Ele agrega toda a taxa de conexão por segundo (para cada protocolo) que entra em todas as interfaces amarradas à zona protegida. A proteção da zona não se aplica a pacotes que correspondem a uma sessão ativa. O objetivo desta proteção é defender os recursos do firewall. The idea is to ‘sacrifice’ a Zone so that other Zones in the firewall can continue to exchange traffic, though if the DDoS attack is coming from the internet, the internet service can be taken offline for the duration of the attack (if you are trying to defend from DDoS so that your internet service is not impacted, Zone Protection is typically self-defeating, since it will simply lower the target threshold for a successful attack). É importante observar que uma das vantagens potenciais da proteção de zona para a mitigação de DDoS é que o desligamento do trânsito ocorre por protocolo; portanto, se o DDoS for baseado no ICMP, a zona é desligada para todo o tráfego ICMP, continuando a permitir todo o TCP, UDP, ICMPV6 e outro tráfego de IP-IP. (Em outras palavras, a proteção de zona pode ser útil na mitigação de DDoS para ICMP, ICMPV6 e tráfego de outro IP, uma vez que esses são na maioria dos casos, não protocolos essenciais para o serviço de Internet).

Sempre que uma rede de proteção de zona proteção contra inundações é acionada, a fonte do ataque não é gravada nos logs (não há uma única fonte). A atribuição em ataques de DOS geralmente não é útil, pois os invasores normalmente falsificam o endereço de origem.

As entradas de log de ameaças de proteção de zona indicarão “da zona” e “para a zona” e serão a mesma zona (indica a zona de entrada da inundação). O nome da “regra” estará vazio.

Nota: Nunca use os valores do limite padrão para alerta, ativar e máximo, pois isso pode levar a uma interrupção autoinfligida (as configurações definidas muito baixas resultariam em descartar tráfego legítimo). Encontrar valores apropriados não é uma tarefa trivial nem uma ação de definição e esquecimento, e exigirão tentativa e erro ao definir valores ativados e máximos para a configuração mais alta e alavancar a taxa de alerta para avaliar os picos de tráfego legítimo máximo. Pode haver eventos de rede especiais ou sazonais, como vendas de férias, backups de rede ou coisas do tipo, aumentariam o tráfego legítimo, para que esses valores sejam responsáveis ​​pelo crescimento futuro do tráfego de rede e picos legítimos.

Path Slow Dos ataca contra recursos por trás do firewall

Para defender os recursos por trás do firewall de um ataque lento do DOS, use políticas de DOS – proteção contra inundações.

Política do DOS: agregado
Rastrear a conexão por segunda correspondência de uma política de DOS. Agrega todas as taxas de conexão por segundo que correspondem à política de DOS. O objetivo desta proteção é oferecer uma defesa mais global por serviços hospedados * por trás * do firewall.

Sempre que uma política de DOS: proteção agregada é acionada, a fonte do ataque não é gravada nos logs (não há uma única fonte).

As entradas agregadas de log de ameaças do DOS Políticas não indicam “da zona” e “para a zona” e, em vez disso, indicarão a política do DOS “Nome”.

Política do DOS: Classificado – Rastrear por fonte

Rastrear a conexão por segunda correspondência de uma política de DOS. Ele agrega todas as taxas de conexão por segundo que correspondem ao tráfego por IP de origem a qualquer IP de destino. O objetivo desta proteção é oferecer uma defesa mais granular.

Sempre que uma política de DOS: proteção classificada é acionada, a fonte do ataque é gravada nos logs. Lembre -se de que a atribuição não é possível, pois a fonte é normalmente falsificada, no entanto, você pode aproveitar o IP da fonte para PBF o tráfego para descartar ou movê -lo para uma política de DOS mais agressiva.

Política do DOS: Classificado-Rastrear por fonte e destinação.

Rastrear a conexão por segunda correspondência de uma política de DOS. Ele agrega todas as taxas de conexão por segundo que correspondem ao tráfego por IP de origem a IPs de destino específicos. O objetivo desta proteção é oferecer a defesa mais granular.

Sempre que uma política de DOS: proteção classificada é acionada, a fonte do ataque é gravada nos logs. Lembre -se de que a atribuição não é possível, pois a fonte é normalmente falsificada, mas você pode aproveitar o IP da fonte para PBF o tráfego para descartar, de movê -lo para uma política de DOS mais agressiva.

Durante um ataque de DOS ativo, você pode configurar uma política classificada por DOS para detectar IPs de origem ofensiva e mover manualmente os atacantes para uma política mais restritiva. Em um ataque de DDoS, isso normalmente não é eficaz porque a fonte do ataque pode vir de centenas de fontes, todas enviando pequenas taxas de conexão por segundos-não cruzando os limiares definidos.

Ataques rápidos do Path Dos

Para defender os recursos do firewall de um ataque rápido do Path DOS, use proteção de buffer de pacotes.

No caminho rápido, ataca a taxa de conexão por segundo é próxima de 0, porque pacotes sucessivos correspondem a uma conexão ativa e não implanta novas sessões., Portanto, as proteções baseadas em limiares de conexão por segundos não se aplicam.

Se for um ataque de caminho rápido de origem única, você verá uma única sessão com um número considerável de bytes. Lembre -se de que as entradas do log de tráfego são escritas quando a sessão termina; portanto, se o ataque estiver ativo, ele pode não aparecer nos registros de tráfego até que a sessão termine. Você pode limpar todas as sessões (com o cliente’s permissão) para forçá -lo a terminar e escrever as entradas de log. Algumas sessões de longa duração também podem dar a falsa impressão de que há muitos bytes transitados por uma sessão limpa e pode ser deduzida como relacionada ao ataque, portanto, preste atenção ao registro de data e hora de partida na sessão (talvez adicione a data de início como filtro de consulta adicional).

Se houver exaustão de buffer de pacotes, você poderá implementar o PBP para defender o firewall se o ataque estiver alavancando uma ou muito poucas sessões permitidas para ataque

Alguns tipos de tráfego podem esgotar descritores de pacotes antes dos buffers de pacotes e, nesse caso, se o firewall executar pan-os> = 10.0 Você pode mudar o modo de PBP para alavancar a latência do pacote em vez da utilização do buffer de pacotes, o que pode resultar em uma mitigação mais eficaz.