ما الذي يمكن للمطورين تعلمه من أكبر هجوم DDoS في التاريخ؟

التصنيفات: 

- القرصنة والأمن:

في أكتوبر الماضي، كشفت Google Cloud أنها نجحت في تخفيف أكبر هجوم لرفض الخدمة الموزعة (DDoS) في التاريخ - وأن هجوم DDoS هذا كان يضرب الشركات منذ أغسطس.

ما الذي جعله أسوأ DDoS حتى الآن؟ لقد كان الحجم. في ذروته، أحصى الهجوم أكثر من 398 مليون طلب في الثانية (RPS). وللمقارنة، فإن أسوأ هجوم DDoS تم تسجيله حتى تلك اللحظة، والذي تم اكتشافه في عام 2022، وصل إلى 46 مليون دورة.

كان هجوم خريف 2023 أكبر بثماني مرات من سابقه، حيث حطم الأرقام القياسية. على الرغم من أن الحجم كان مذهلاً، إلا أنه كان أيضًا مواكبًا للاتجاه مع كيفية تطور هجمات DDoS في السنوات الأخيرة.

في هذه الحالة، تمكن مجرمو الإنترنت من إطلاق DDoS بعد أن اكتشفوا ثغرة أمنية يوم صفر في بروتوكول HTTP/2. في أسوأ السيناريوهات، يمكن أن يؤدي هذا النوع من الاستغلال إلى إغراق حركة المرور وتعطيل الخدمات. على الرغم من أن ذلك لن يؤدي إلى اختراق البيانات، إلا أنه يمكن أن يؤدي إلى إيقاف اتصال موقع الويب أو التطبيق الضعيف بالإنترنت.

إذا نظرنا إلى الأمر بعد مرور نصف عام، ما الذي يعلمه أكبر هجوم DDoS حتى الآن لمطوري البرامج حول كيفية منع DDoS ؟

تصحيح نقاط الضعف بانتظام

جعلت ثغرة يوم الصفر الهجوم في متناول اليد فعالاً كما كان. يُعرف الآن باسم HTTP/2 Rapid Reset، أو CVE-2023-44487، ويمكنه إرباك الخوادم التي تعتمد على بروتوكولات HTTP/2.

يعد تصحيح العيوب مبكرًا أحد أفضل أشكال الدفاع ضد هجمات DDoS والهجمات الأخرى. خلال هذه العملية، يجب إيلاء اهتمام خاص لنقاط الضعف عالية المخاطر. 

تعد الثغرات الأمنية غير المصححة من بين الأسباب الرئيسية للهجمات السيبرانية، ومع ذلك فإن العديد من الفرق تتجاهل التصحيحات لسنوات متتالية. ومع وجود العيوب المعروفة، يمكن للشركات أتمتة هذه العملية لإصلاحها داخل النظام مبكرًا. ولكن كيف يمكنك تصحيح نقاط الضعف في يوم الصفر على الفور ؟ هذه هي التهديدات التي لا تزال مجهولة. لا تستطيع الأدوات اكتشافها لأنها لا تعلم بوجود نقاط الضعف هذه. 

بالإضافة إلى ذلك، قد يستغرق الأمر بعض الوقت حتى يتم إصدار التصحيح لأحدث عمليات استغلال يوم الصفر. أثناء انتظار تصحيح إعادة التعيين السريع لـ HTTP/2، تقترح Microsoft ما يلي: 

حماية موقعك باستخدام WAF

تنفيذ الدفاعات لهجمات DDoS من الطبقة السابعة

إعداد قواعد تحديد المعدل لمنع حركة المرور غير المرغوب فيها

حظر عناوين IP الضارة

تعطيل بروتوكول HTTP/2

التعامل مع الأمن السيبراني بشكل استباقي

إن Google في وضع يسمح لها باكتشاف الهجمات والتخفيف من حدتها قبل أن تخرج عن نطاق السيطرة، وذلك ببساطة لأنها تراقب أمانها باستمرار. يستمرون في تطوير آليات دفاعية أفضل. أي أنهم يستخدمون إجراءات استباقية لتحسين أمنهم بشكل مستمر.

إذا كان فريق التطوير لديك يطبق التصحيحات بشكل منتظم، ويلتزم بأفضل ممارسات تخفيف هجمات DDoS ويحافظ على خطة محدثة للاستجابة للحوادث، فأنت في حالة جيدة عندما يتعلق الأمر بالتدابير التفاعلية. ومع ذلك، قد لا يكون هذا كافيًا لحماية بيئتك من العيوب عالية الخطورة.

لمنع DDoS من تعطيل نظامك على هذا المستوى، تحتاج إلى المزيد.

ابدأ هنا لتنفيذ نهج أكثر استباقية للأمان:

مراقبة حركة مرور الشبكة لمراقبة أي زيادات في حركة المرور

استخدام حلول التحليل السلوكي للكشف عن أنماط حركة المرور غير الطبيعية

قم بتعيين قواعد تصفية حركة المرور لإيقاف حركة المرور الضارة

ونتيجة لذلك، يساعدك الأمن السيبراني الاستباقي على اكتشاف نقاط الضعف مبكرًا - قبل أن تتصاعد إلى هجمات ضارة ومكلفة.

قم بإعداد دفاعات متعددة الطبقات داخل البنية الأساسية الخاصة بك

في تلخيصه لأكبر هجوم، يشير Emil Kiner من Cloud Armor إلى أنه بفضل إجراءات موازنة التحميل والبنية التحتية لتخفيف DDoS، تمكنت Google من الحفاظ على تشغيل كل شيء، دون أي توقف.

وفي مثال متناقض، عندما تعرضت OpenAI لهجوم DDoS في نوفمبر 2023، اشتكى المستخدمون من انقطاع الخدمة بشكل متكرر طوال اليوم.

إن وجود بنية تحتية شاملة للتخفيف وطبقات من الأمان يحدث فرقًا هنا. إن وجود WAF فقط لا يكفي للتخفيف من هجمات DDoS مبكرًا. على سبيل المثال، إليك بعض المقاييس التي يقول فريق Google إنه يعتمد عليها:

سياسات أمنية مخصصة

وسائل الحماية التكيفية لتحليل أنماط حركة المرور

تحديد المعدل لتقييد حجم الطلبات

موازنة التحميل العالمية لتوزيع حركة المرور

إلى جانب البنية التحتية المناسبة، من المهم أن يكون لديك برنامج متعدد الأوجه للأمن السيبراني يجمع بين التدابير الاستباقية والتفاعلية المتنوعة.

التعاون مع أقرانهم في مجال عملك

ما تعلمنا إياه هذه الحالة هو أنه من المهم التعاون مع لاعبين آخرين في مجال عملك. 

وللتخفيف من حدة الهجوم، شاركت Google المعلومات والاستخبارات حول الهجمات مع أصحاب المصلحة في الصناعة. وهذا يشمل مشرفي البرامج ومقدمي الخدمات السحابية.

هنا، عملت Google وCloudflare وAWS معًا للتحقيق في الهجوم وإيقافه قبل أن يتسبب في فترات توقف طويلة للعملاء المعرضين للخطر. وقاموا بتنسيق جهودهم وتبادلوا المعلومات الاستخبارية والإستراتيجية والخبرة لوقف الهجوم مبكرًا.

وهذا أمر مهم للتخفيف من حدة الهجمات واسعة النطاق مثل هذا الهجوم. يمكنهم التعامل مع التهديد مبكرًا واستخدام التدابير الأكثر فعالية للقيام بذلك.

كيف يمكن للشركات الأخرى أن تكون متعاونة بهذه الطريقة أيضًا؟ قم ببناء مجتمع لتعزيز بيئة داعمة في مجال عملك. تبادل المعرفة والممارسات مع الشركات الأخرى.

التعاون مع شركاء الصناعة للتخفيف من الهجمات في الوقت الحقيقي.

تكييف وتطوير الدفاعات لمنع هجمات DDoS

عندما تتعرض إحدى الشركات الكبرى لهجوم DDoS، قد يكون من الصعب فهم سبب عدم قيام WAF والدفاعات الأخرى بإيقاف الهجوم على الفور.

كما ترون هنا، من الصعب إعداد الشركة ضد الهجمات الأكثر تعقيدًا. إذا استغلوا ثغرات يوم الصفر، فنحن نتحدث عن خلل لم يكن من الممكن أن يتوقعه نظام الأمان الخاص بك.

خلاصة القول لأسوأ هجوم DDoS؟ مثلما تزداد هجمات DDoS تقدمًا كل عام، تحتاج دفاعاتك أيضًا إلى الاستمرار في التطور.

إلى جانب تطبيق معايير النظافة السيبرانية مثل التصحيح المنتظم، تعامل مع الأمان من خلال تدابير استباقية. لديك بنية تحتية أمنية متعددة الأوجه. تعاون مع الآخرين إذا استطعت.