Een ongekende toename van het aantal DDoS-aanvallen (Distributed Denial-of-Service) in de afgelopen jaren heeft geresulteerd in omzet- en productiviteitsverlies, hogere kosten voor ransomware en gevolgen voor serviceniveauovereenkomsten (SLA’s) voor netwerkexploitanten.

Volgens het jaarlijkse rapport van Zayo Group DDoS Insights-rapportHet aantal aanvallen neemt snel toe, met een toename van 314% in het totale aantal aanvallen tussen de eerste helft van 2022 en de eerste helft van 2023 – een toename van 1.300% in sommige sectoren. Het rapport merkt ook op dat “er wereldwijd elke dag ongeveer 23.000 DDoS-aanvallen plaatsvinden” en “DDoS-aanvallen kunnen kostbaar zijn voor elk bedrijf, maar onbeschermde bedrijven hebben te maken met gemiddelde kosten van $200.000 per aanval.” Tegelijkertijd hebben de toenemende bandbreedtevereisten en miljoenen nieuwe met web verbonden apparaten de noodzaak om DDoS-aanvallen efficiënter aan te pakken verder vergroot.

Om het groeiende probleem van DDoS-aanvallen aan te pakken, zullen we in 2022 gelanceerd de eerste echte on-box DDoS-oplossing in de branche, Cisco Safe DDoS Edge-bescherming, met IOS XR 7.7.1 op onze Cisco Community Convergence System 540 Collection-routers (NCS 540 Collection). De eerste fase van de oplossing richtte zich op bedreigingen van mobiele eindpunten zoals IoT-apparaten en mobiele telefoons, waardoor klanten DDoS-aanvallen op mobiele routers konden detecteren en beperken zonder de noodzaak van een gecentraliseerde DDoS-detectieagent of een scrubbing-centrum.

We breiden deze DDoS-oplossing nu uit naar alle typen IP-verkeer, te beginnen met IOS XR 7.11.1 op onze Cisco Community Convergence System 5500 (NCS 5500) en 5700 (NCS 5700) Collection-routers. Deze uitgebreide oplossing maakt aanvullende gebruiksscenario’s mogelijk voor peering edge-, breedband-, aggregatie- en kernnetwerkimplementaties.

Uitdagingen met traditionele DDoS-oplossingen

Een traditionele DDoS-oplossing omvat een gecentraliseerde DDoS-detectieagent (fysiek of virtueel) die buiten de router wordt ingezet. Het heeft ook een DDoS-beperkingsengine die doorgaans een Border Gateway Protocol (BGP) FlowSpec-regel pusht om het verkeer om te leiden naar een scrubbing-centrum, of om een ​​Remotely Triggered Black Gap (RTBH)-regel te pushen.

Bij dit kind architectuur zijn edge-routers betrokken die het aanvalsverkeer onder ogen zien om de NetFlow-gegevens of gespiegelde stromen (na bemonstering) buiten de routers te exporteren naar een gecentraliseerde locatie om de aanvallen te detecteren. De beperking houdt in dat netwerkexploitanten grootschalige scrubbing-centra op locatie inzetten, of door zich te abonneren op een cloud-scrubing-provider. Als gevolg hiervan kunnen klanten aanzienlijke operationele kosten oplopen, die toenemen naarmate de omvang en frequentie van DDoS-aanvallen toeneemt.

Met Cisco Safe DDoS Edge Safety is de externe detectieagent niet langer nodig (zie figuur 2). Omdat IOS XR een applicatiehostinginfrastructuur ondersteunt om dockercontainers op de routers uit te voeren, wordt de gecentraliseerde detectieagent nu naar de router verplaatst. Omdat de agent als een docker-container draait, elimineert de integratie de noodzaak om gegevens buiten de router te exporteren voor aanvalsdetectie.

Het bieden van de mitigatiefunctionaliteit binnen de container elimineert de noodzaak voor speciale scrubbing-centra en vermindert de scrubbing-capaciteit die nodig is in een netwerk. De beperking houdt niet in dat er een BGP FlowSpec-regel wordt gepusht; in plaats daarvan blokkeert een eenvoudige API-callback naar de edge-router het aanvalsverkeer efficiënt.

De oplossing vereenvoudigt het netwerk verder met een enkele off-box controller om:

1. Orchestreer de containers over duizenden routers.
2. Verzorg het volledige levenscyclusbeheer van de containers.
3. Bied operators een dashboard met verkeersstatistieken, actieve aanvallen, geschiedenis van aanvallen, enz.
4. Push de mitigatieregels automatisch of handmatig door de operators (alleen als de handmatige optie is geselecteerd) through de container naar de routers.

De controller kan op elk algemeen computerplatform draaien en de gehele oplossing kan ook worden ingezet in air-gapped netwerken. De oplossing wordt nu ondersteund op alle varianten van de NCS 5500- en NCS 5700-platforms, samen met uitbreiding van de ondersteuning van niet-mobiele gebruiksscenario’s op platforms uit de NCS 540-serie.

Verbetering van de bescherming naarmate de veiligheidsrisico’s toenemen

Naarmate het bedreigingslandschap groeit en evolueert, kunnen de geavanceerde mogelijkheden van Cisco Safe DDoS Edge Safety een reeks positieve resultaten voor onze klanten mogelijk maken, waaronder:

• Verlaging van de TCO—Omdat er minder of geen externe wascentra nodig zijn, kunnen netwerkbeheerders besparen op apparatuur en operationele kosten.
• Afstemming van duurzaamheidsdoelstellingen—De verminderde behoefte aan stroom en koeling van wascentra kan op zijn beurt het energieverbruik voor operators helpen verminderen.
• Klanttevredenheid-Omdat snellere aanvalsdetectie op de routers is geïntegreerd, wordt de algehele latentie met gecombineerde detectie en mitigatie drastisch verminderd. Dankzij de verbeterde responstijd kunnen netwerkexploitanten voldoen aan strengere SLA’s met hun klanten, zelfs onder actieve aanvalssituaties.
• Verdediging in de diepte—Omdat de edge-routers als de eerste verdedigingslinie fungeren, sluit de algehele architectuur good aan bij de diepgaande verdedigingsfilosofie op het gebied van beveiligingsarchitecturen. De oplossing resulteert in additional ROI van de bestaande routers die al in het netwerk zijn geïmplementeerd.
• Investeringsbescherming—De oplossing kan naast bestaande DDoS-implementaties bestaan, wat investeringsbescherming biedt voor bestaande implementaties. Klanten kunnen de traditionele oplossingen in de loop van de tijd geleidelijk afbouwen.
• Minder afhankelijkheden—Met de API-gebaseerde mitigatie om de aanvallen te blokkeren, is er niet langer een afhankelijkheid van BGP FlowSpec voor mitigatie.

Deel: