Demo: A10 Defend Threat Control
März 19, 2024
Transkription
Hallo zusammen. Willkommen zu einer Demo des neuesten Produkts in der A10 Defend Suite, A10 Defend Threat Control .
Diese eigenständige SaaS-Plattform definiert die DDoS-Intelligenz, eine neue Notwendigkeit für umfassenden DDoS-Schutz, neu, indem sie Einblicke, Analysen und Blocklisten bietet, die besser umsetzbar, flexibel und proaktiv sind.
Hier sehen Sie das Dashboard von Defend Threat Control. Die Karte mit den Angriffen in Echtzeit zeigt eine Karte mit laufenden und gestoppten Angriffen im letzten angegebenen Zeitrahmen an. Bitte beachten Sie, dass dies die A10-Ansicht der Angriffe ist. Eine vollständige Übersicht über alle Angriffe ist nicht möglich.
Ähnlich wie bei einer einfachen Zufallsstichprobe handelt es sich bei dieser Karte um eine Zufallsstichprobe von DDoS-Angriffen auf der ganzen Welt, so dass die dargestellten Trends, Muster und anderen Erkenntnisse genutzt werden können und es sich lohnt, sie zu untersuchen.
Wenn Sie auf die einzelnen Tinten klicken, erhalten Sie weitere Informationen zu einem bestimmten Angriff. Sie können zusätzlich nach der Zeit filtern, zu der die Angriffe stattgefunden haben, und über den Filter auf der linken Seite können Sie nach der Dauer des Angriffs, der Art des Angriffs, der ASN - oder autonomen Systemnummer - oder dem Land filtern.
Gehen wir in der oberen Navigationsleiste der Benutzeroberfläche zu "Waffen und Aktivitäten".
Der Abschnitt "Zusammenfassung" zeigt die wichtigsten Angriffsvektoren und Angriffsmethoden, die A10 beobachtet hat. Diese Daten stammen nicht aus dem Internet, sondern wurden mit der A10-eigenen Methode zur Datenerfassung und -validierung recherchiert.
Die Filterfunktion ist auf dieser Seite weiterhin verfügbar, so dass Sie bestimmte Angriffsvektoren genauer untersuchen können. Unter "Waffen und Aktivitäten" finden Sie außerdem Reflektoren, Botnetze und Indikatoren für Kompromittierungen.
Unter Reflektoren erhalten Sie die A10-Perspektive, wie reflexionsbasierte Angriffe ausgeführt werden, z. B. unter Ausnutzung des ARM-Protokolls oder vielleicht des bekannteren NTP-Protokolls. Reflektoren sind wichtige Werkzeuge für die Angreifer bei Amplifikationsangriffen.
Unter Botnets erhalten Sie die A10-Perspektive auf die wichtigsten Ports, die für die Rekrutierung von Botnets gescannt werden, die wichtigsten Organisationen, die über eine große Anzahl von Bots verfügen, eine Aufschlüsselung der Botnets nach Ländern und andere.
Einer der Gründe, warum DDoS gefährlicher ist, liegt darin, dass es so einfach ist, Botnets zu rekrutieren, und wie groß diese Botnets sein können. Es ist nicht mehr so einfach, die angreifende IP zu stoppen, da diese IP Teil eines größeren Plans sein kann. Die Komplexität und das Volumen von DDoS-Angriffen sind in die Höhe geschnellt, zum Teil aufgrund von Angriffen oder Indikatoren für eine Kompromittierung. Wir berichten über die wichtigsten CVEs, nicht in Bezug auf alle bestehenden CVEs, sondern in Bezug auf diejenigen, die wir als relevanter und DDoS-zentriert ansehen.
Gehen Sie weiter durch die obere Navigationsleiste.
Die Registerkarte "Angriffsforschung" enthält Details zu einer langen Liste von Angriffen, die wir mit Threat Control sehen konnten. Wenn man die Details ausklappt, sieht man die /24 des Opfers, das angegriffen wird, sowie das Land, aus dem das Opfer stammt, die ASN des Opfers und andere Details.
Außerdem gibt es unter der oberen Leiste "Angriffsforschung" einen weiteren Abschnitt mit dem Titel "Suche nach IP/Netzwerken", in dem Sie überprüfen können, ob ein bestimmter /24-IPv4-Bereich angegriffen wurde oder ob er in einem bestimmten Zeitraum für einen Angriff verwendet wurde.
Die beste Nutzung von Threat Control ist immer noch über die Einblicke, aber wir verstehen, dass es eine Überlastung gibt, wenn es um Benachrichtigungen geht, und dass moderne Sicherheitsteams oft überfordert sind, so dass die IP-Blockierlisten eher als eine Art "Hands-on"-Ansatz gedacht sind, der Ihre bestehende Verteidigung unterstützt. Diese Blocklisten können von SIEMs oder jedem anderen Sicherheitsgerät, das Sie derzeit einsetzen, aufgenommen werden.
Wenn Sie auf die Seite klicken, sehen Sie verschiedene verfügbare Blockierlisten mit einer Beschreibung der einzelnen Listen und deren Umfang. Einige dieser Listen sind Standardlisten, die Sie in Bedrohungsdaten-Feeds finden können, während die Bot-, C2- und Reflektor-Listen proprietäre Listen sind, die von A10 Research erstellt wurden.
Darüber hinaus besteht die Möglichkeit, eine benutzerdefinierte Blockierliste für Ihre Bedürfnisse zu erstellen, die nach geografischem Standort, relevanten Angriffsprotokollen, die von größerer Bedeutung sind, usw. gefiltert werden kann. Sie können die benutzerdefinierte URL kopieren, um die Liste automatisch zu aktualisieren und herunterzuladen, wenn sie ständig aktualisiert wird.
Dies ist ein kurzer Überblick über die Benutzeroberfläche von Defend Threat Control .
Wenden Sie sich an uns, um mehr darüber zu erfahren, wie Threat Control Ihre DDoS-Abwehr gegen moderne DDoS-Angriffe unterstützt.
