En este documento se presentan algunos casos prácticos habituales de Google Cloud Armor Adaptive Protection.
Detección y protección frente a ataques DDoS de capa 7
El caso de uso más habitual de Adaptive Protection es la detección y la respuesta a ataques DDoS de capa 7, como inundaciones de solicitudes HTTP GET o POST, u otras actividades HTTP de alta frecuencia. Los ataques DDoS de nivel 7 suelen empezar de forma relativamente lenta y aumentar de intensidad con el tiempo. Cuando los humanos o los mecanismos automatizados de detección de picos detectan un ataque, es probable que sea de alta intensidad y que ya esté teniendo un impacto negativo importante en la aplicación. Aunque es posible observar el aumento del tráfico de forma agregada, es mucho más difícil diferenciar en tiempo real las solicitudes individuales como maliciosas o no, ya que parecen solicitudes normales y completas. Del mismo modo, como las fuentes de ataque se distribuyen entre botnets u otros grupos de clientes maliciosos que varían en tamaño de miles a millones, resulta cada vez más difícil mitigar un ataque en curso identificando y bloqueando sistemáticamente a los clientes maliciosos basándose únicamente en la IP. En el caso de los ataques DDoS, el resultado es que el ataque consigue que el servicio objetivo no esté disponible para algunos o todos los usuarios habituales.
Para detectar y responder rápidamente a los ataques DDoS de capa 7, el propietario del proyecto o de la política de seguridad puede habilitar la protección de Adaptive Protection en cada política de seguridad de su proyecto. Después de al menos una hora de entrenamiento y de observar los patrones de tráfico normales, Adaptive Protection estará lista para detectar de forma rápida y precisa un ataque en las primeras fases de su ciclo de vida, así como para sugerir reglas de WAF que bloqueen el ataque en curso sin que afecte a los usuarios normales.
Las notificaciones de posibles ataques y la firma identificada del tráfico sospechoso se envían a Logging, donde el mensaje de registro puede activar una política de alertas personalizada, analizarse y almacenarse, o enviarse a una solución de gestión de información y eventos de seguridad (SIEM) o de gestión de registros. Consulta la documentación de registro para obtener más información sobre cómo integrar un SIEM o una gestión de registros de nivel inferior.
Detección y respuesta ante firmas de ataques
Es fundamental no solo detectar y alertar sobre posibles ataques de forma temprana, sino también poder actuar ante esa alerta y responder a tiempo para mitigar los ataques. Los encargados de responder a incidentes de una empresa tienen que dedicar minutos y horas cruciales a investigar, analizar registros y monitorizar sistemas con frecuencia para reunir suficiente información y desarrollar una respuesta a un ataque en curso. A continuación, antes de implementar la mitigación, se debe validar el plan para asegurarse de que no tenga un impacto negativo o no deseado en las cargas de trabajo de producción.
Con Adaptive Protection, los encargados de responder a incidentes tienen todo lo que necesitan para analizar rápidamente un ataque de DDoS de capa 7 en curso y responder a él en el momento en que reciben la alerta. La alerta de Adaptive Protection incluye la firma del tráfico que se ha determinado que participa en el posible ataque. El contenido de la firma incluirá metadatos sobre el tráfico entrante, como el conjunto de encabezados de solicitudes HTTP maliciosas, las zonas geográficas de origen, etc. La alerta también incluye una regla que coincide con la firma del ataque y que se puede aplicar en Cloud Armor para bloquear inmediatamente el tráfico malicioso.
El evento Adaptive Protection proporciona una puntuación de confianza y una tasa de referencia afectada proyectada asociada a la regla sugerida para ayudar en la validación. Cada componente de la firma también tiene medidas de probabilidad de ataque y proporción de ataque para permitir que los responsables de responder a incidentes ajusten y reduzcan o amplíen el alcance de la respuesta.
Personalizar el modelo e informar de errores de eventos
Los modelos de detección de ataques de Adaptive Protection se entrenan con un conjunto de datos generado artificialmente para mostrar las características del tráfico correcto y del malicioso. Por lo tanto, es posible que Protección Adaptativa identifique un posible ataque que, tras una investigación adicional, el responsable de responder al incidente o el propietario de la aplicación determine que no era un ataque. Adaptive Protection puede aprender del contexto y los patrones de tráfico únicos de cada aplicación protegida.
Puedes informar de alertas concretas como falsos positivos para ayudar a la Protección Adaptativa a entrenar y personalizar los modelos de detección. Con los informes de falsos positivos, los modelos de Protección Adaptativa tendrán menos probabilidades de alertar sobre el tráfico con características y atributos similares en el futuro. Con el tiempo, los modelos de detección de Adaptive Protection se adaptarán mejor a las características específicas del tráfico de cada política de seguridad protegida. Los pasos para informar de eventos falsos positivos se describen en Monitorización, comentarios e informes de errores de eventos.