A contextualização de grandes volumes de informações, como em ataques DDoS, é um desafio para especialistas em cibersegurança. Para lidar com essa complexidade, a baseline dinâmica tem se mostrado um recurso eficaz, combinando Machine Learning, estatística e monitoramento contínuo para detectar anomalias de forma proativa.

Diferente de valores predefinidos, a baseline dinâmica é adaptável e baseada em modelos de aprendizado de máquina. Esses modelos analisam padrões históricos para compreender variações normais ao longo do tempo, permitindo identificar comportamentos anômalos com maior precisão e rapidez. Isso reduz falsos positivos e melhora a detecção de eventos suspeitos.

O Zerum Lynx e o Zerum Valk utilizam baselines dinâmicas para aprimorar a detecção, triagem e resposta a incidentes, especialmente em ambientes de alto volume de dados. Essa abordagem é fundamental para monitorar sistemas dinâmicos, onde o tráfego da rede varia conforme horários, dias da semana e eventos sazonais.

A detecção e resposta de ataques DDos através de Baselines

No caso específico de ataques DDoS, a baseline dinâmica desempenha um papel crucial. Ataques distribuídos de negação de serviço, devido à sua natureza dinâmica, são difíceis de detectar com abordagens estáticas. Utilizando uma baseline adaptativa, é possível identificar padrões normais de tráfego e reconhecer desvios incomuns que indicam o início de um ataque.

Com o aprendizado contínuo das variações normais da rede, o sistema pode detectar um aumento anômalo no número de requisições, padrões de conexão atípicos e picos de utilização que fogem da normalidade histórica. Dessa forma, uma solução baseada em análise do tráfego bruto de rede, com utilização de baseline dinâmica, pode gerar alertas automáticos e até acionar contramedidas, via SOAR, mitigando ataques antes que causem impactos significativos.

Ao correlacionar dados da Baseline com outros indicadores, como tentativas de autenticação suspeitas e consultas a bancos de dados, a solução se torna ainda mais precisa. Isso reduz o tempo de resposta e melhora a eficácia da equipe de segurança, permitindo uma reação ágil contra ataques DDoS sem comprometer a experiência dos usuários legítimos.

Como o Zerum Lynx e o Valk detectam ataques de DDoS utilizando a Baseline dinâmica?

A partir do aprendizado dinâmico da rede, feito pelo appliance da Zerum instalado nos ambientes das organizações, todo o comportamento padrão é aprendido e a partir da construção de uma baseline, onde desvios de comportamentos são alertados.

Fig. 1 – Aumento abrupto no número de transações por período

Como por exemplo, um aumento abrupto no número de transações HTTP em um determinado período pode ser um indicativo de um ataque DDoS (Distributed Denial of Service), especialmente se vier acompanhado de outros sinais, como:

1. Aumento no Número de Requisições: Um ataque DDoS baseado em HTTP (como HTTP Flood) gera um volume anormal de requisições GET ou POST para sobrecarregar o servidor.
   
2. Padrão de Requisições Anormal: Se as requisições vierem de muitos IPs diferentes (botnet) ou forem geradas por poucos IPs com alta taxa de requisições, pode indicar um ataque.

Além desses padrões, outras métricas também podem auxiliar a correlacionar os eventos com um ataque de negação de serviço, como por exemplo, as de tempo de transação em relação ao tempo, quantidade de erros HTTP, e Hosts/URLs que apresentam lentidão na rede, fornecida pelo Valk:

Fig. 2 – Tempo de transação em relação ao tempo

Fig. 3 – Hosts e URL que apresentam lentidão na rede

Fig. 4 – Erros por código retornados das aplicações

Essa visibilidade de aplicações é essencial para se ter ciência do que está acontecendo na rede. Ou seja, um tempo de resposta elevado do servidor pode ser ocasionado devido à sobrecarga de requisições do ataque. Além disso, o aumento de códigos de erro HTTP como 429 (Too Many Requests) ou 503 (Service Unavailable) podem surgir quando o servidor não consegue lidar com o tráfego.

Enriquecimento com Geolocalização e Threat Intelligence 

Além disso, para enriquecer a análise e trazer mais contexto para o analista se, de fato, se trata de um ataque DDoS e não apenas um aumento natural de tráfego, seria interessante correlacionar essas informações com outras métricas, como a reputação dos IPs acessando a aplicação ou o servidor e a localização geográfica.

Fig.5 – Distribuição geográfica das requisições e reputação dos IPs

Nossas soluções oferecem esse enriquecimento através de integração com um Data Lake robusto, com mais de 25 bilhões de URLs e IPs mal intencionados, trazendo informação de reputação dos hosts da rede em questão. Mais ainda, a Geolocalização dos hosts podem indicar, também, o ataque, devido ao repentino aumento do grande número de solicitações de hosts de localizações incomuns.

Estou ciente que o ataque ocorreu, mas o NDR é passivo. E agora? 

O NDR e o aaNPM (Lynx e Valk), como soluções que recebem como entrada de dados o tráfego bruto de rede espelhado, não tem atuação ativa para mitigar o ataque de forma individual. Para isso, o Zerum SOAR faz o meio de campo entre essas soluções e as soluções ativas da sua organização, como WAF, Firewalls e IPS. 

Através de Playbooks, é possível fazer a integração com essas ferramentas, de modo que, por meio de um script, um gatilho é disparado para indicar que alguma ação deve ser tomada pela ferramenta em questão, seja uma notificação, um isolamento de um host, ou o barramento de um tipo de tráfego específico, por exemplo. As possibilidades são muitas.  

Responda de forma eficaz aos ataques de DDoS na sua organização!

A Zerum possui um ecossistema robusto de segurança que auxilia a remediação e mitigação de ataques de DDoS. Através da composição formada pelas ferramentas de NDR, aaNPM e SOAR, sua organização consegue responder de forma eficaz a esse tipo de ataque. Conheça mais sobre os nossos produtos e enriqueça seu parque tecnológico com a inteligência da Zerum.

---

---

Sobre a Zerum

A Zerum é uma empresa de Data Science líder em inovação que fornece visibilidade e entendimento em tempo real sobre fluxos de dados complexos. Nossos produtos, serviços e tecnologias ajudam grandes organizações a reduzir gargalos operacionais, combater ameaças cibernéticas avançadas, detectar fraudes e manter comunidades seguras.

---

📝 Para saber mais, entre em contato através do formulário abaixo.