Serangan DDoS paling dikenal karena kemampuannya melumpuhkan aplikasi dan situs web dengan membanjiri server dan infrastruktur dengan lalu lintas dalam jumlah besar. Namun, ada tujuan tambahan bagi penjahat dunia maya untuk menggunakan serangan DDoS untuk mengekstraksi data, memeras, bertindak secara politis, atau ideologis. Salah satu fitur serangan DDoS yang paling merusak adalah kemampuannya yang unik untuk mengganggu dan menciptakan kekacauan dalam organisasi atau sistem yang ditargetkan. Ini cocok untuk aktor jahat yang memanfaatkan DDoS sebagai tabir asap untuk serangan yang lebih canggih, seperti pencurian data. Ini menunjukkan semakin canggihnya taktik yang digunakan penjahat dunia maya untuk menjalin beberapa vektor serangan untuk mencapai tujuan mereka.
Azure menawarkan beberapa produk keamanan jaringan yang membantu organisasi melindungi aplikasi mereka: Perlindungan Azure DDoS, Azure Firewall, dan Azure Web Application Firewall (WAF). Pelanggan menyebarkan dan mengonfigurasi setiap layanan ini secara terpisah untuk meningkatkan kondisi keamanan lingkungan dan aplikasi mereka yang dilindungi di Azure. Setiap produk memiliki serangkaian kemampuan unik untuk mengatasi vektor serangan tertentu, tetapi manfaat terbesar berbicara tentang kekuatan hubungan—ketika digabungkan, ketiga produk ini memberikan perlindungan yang lebih komprehensif. Memang, untuk memerangi kampanye serangan modern, seseorang harus menggunakan rangkaian produk dan menghubungkan sinyal keamanan satu sama lain, agar dapat mendeteksi dan memblokir serangan multi-vektor.
Kami mengumumkan Solusi Perlindungan Azure DDoS baru untuk Microsoft Sentinel. Ini memungkinkan pelanggan untuk mengidentifikasi aktor jahat dari sinyal keamanan DDoS Azure dan memblokir kemungkinan vektor serangan baru di produk keamanan lainnya, seperti Azure Firewall.
Menggunakan Microsoft Sentinel sebagai lem untuk perbaikan serangan
Setiap layanan keamanan jaringan Azure terintegrasi penuh dengan Microsoft Sentinel, solusi keamanan informasi dan manajemen peristiwa (SIEM) cloud-native. Namun, kekuatan sebenarnya dari Sentinel adalah mengumpulkan sinyal keamanan dari layanan keamanan terpisah ini dan menganalisisnya untuk menciptakan tampilan lanskap serangan yang terpusat. Sentinel mengkorelasikan peristiwa dan membuat insiden saat anomali terdeteksi. Itu kemudian mengotomatiskan respons untuk mengurangi serangan canggih.
Dalam contoh kasus kami, ketika penjahat dunia maya menggunakan serangan DDoS sebagai tabir asap untuk pencurian data, Sentinel mendeteksi serangan DDoS, dan menggunakan informasi yang dikumpulkannya pada sumber serangan untuk mencegah fase selanjutnya dari siklus hidup musuh. Dengan menggunakan kemampuan remediasi di Azure Firewall dan layanan keamanan jaringan lainnya di masa mendatang, sumber DDoS yang menyerang diblokir. Deteksi dan remediasi lintas produk ini meningkatkan postur keamanan organisasi, di mana Sentinel adalah orkestranya.
Deteksi otomatis dan remediasi serangan canggih
Solusi Perlindungan DDoS Azure baru kami untuk Sentinel menyediakan satu paket solusi habis pakai yang memungkinkan pelanggan mencapai tingkat deteksi dan remediasi otomatis ini. Solusinya mencakup komponen-komponen berikut:
1. Konektor data dan buku kerja Azure DDoS Protection.
2. Aturan peringatan yang membantu mengambil sumber penyerang DDoS. Ini adalah aturan baru yang kami buat khusus untuk solusi ini. Aturan-aturan ini dapat dimanfaatkan oleh pelanggan untuk mencapai tujuan lain untuk strategi keamanan mereka.
3. Playbook IP Remediasi yang secara otomatis membuat remediasi di Azure Firewall untuk memblokir sumber penyerang DDoS. Meskipun kami mendokumentasikan dan mendemonstrasikan cara menggunakan Azure Firewall untuk remediasi, firewall pihak ketiga mana pun yang memiliki Sentinel Playbook dapat digunakan untuk remediasi. Ini memberikan fleksibilitas bagi pelanggan untuk menggunakan solusi DDoS baru ini dengan firewall apa pun.
Solusi awalnya dirilis untuk Azure Firewall (atau firewall pihak ketiga mana pun), dan kami berencana untuk menyempurnakannya agar segera mendukung Azure WAF.
Mari kita lihat beberapa kasus penggunaan untuk perbaikan serangan lintas produk ini.
Kasus #1: remediasi dengan Azure Firewall
Mari pertimbangkan organisasi yang menggunakan Azure DDoS Protection dan Azure Firewall, dan pertimbangkan skenario serangan dalam gambar berikut:
Musuh mengontrol bot yang disusupi. Mereka mulai dengan serangan layar asap DDoS, menargetkan sumber daya di jaringan virtual untuk organisasi tersebut. Mereka kemudian berencana untuk mengakses sumber daya jaringan dengan memindai dan mencoba phishing hingga mereka dapat memperoleh akses ke data sensitif.
Perlindungan Azure DDoS mendeteksi serangan layar asap dan mengurangi banjir jaringan volumetrik ini. Secara paralel itu mulai mengirim sinyal log ke Sentinel. Selanjutnya, Sentinel mengambil alamat IP yang menyerang dari log, dan menerapkan aturan perbaikan di Azure Firewall. Aturan ini akan mencegah serangan non-DDoS mencapai sumber daya di jaringan virtual, bahkan setelah serangan DDoS berakhir, dan mitigasi DDoS berhenti.
Kasus #2: remediasi dengan Azure WAF
Sekarang, mari pertimbangkan organisasi lain yang menjalankan aplikasi web di Azure. Ia menggunakan Azure DDoS Protection dan Azure WAF untuk melindungi aplikasi webnya. Tujuan musuh dalam hal ini adalah untuk menyerang aplikasi web dan mengekstraksi data sensitif dengan memulai serangan layar asap DDoS, dan kemudian meluncurkan serangan web pada aplikasi tersebut.
Saat layanan Azure DDoS Protection mendeteksi serangan layar asap volumetrik, layanan tersebut mulai meredakannya, dan memberi sinyal log ke Sentinel. Sentinel mengambil sumber serangan dan menerapkan perbaikan di Azure WAF untuk memblokir serangan web di masa mendatang pada aplikasi.
Mulailah dengan perlindungan Azure DDoS
Karena penyerang menggunakan teknik serangan multi-vektor canggih selama siklus hidup musuh, penting untuk memanfaatkan layanan keamanan sebanyak mungkin untuk mengatur deteksi dan mitigasi serangan secara otomatis.
Untuk alasan ini, kami membuat solusi Azure DDoS Protection baru untuk Microsoft Sentinel yang membantu organisasi melindungi sumber daya dan aplikasi mereka dengan lebih baik dari serangan tingkat lanjut ini. Kami akan terus menyempurnakan solusi ini dan menambahkan lebih banyak layanan keamanan dan kasus penggunaan.
