Behavioral DDoS Engine da Akamai: um avanço na mitigação de DDoS moderna
O cenário em evolução de ameaças contra DDoS
À medida que a infraestrutura digital cresce, aumentam também as ameaças impostas por ataques de negação de serviço distribuída (DDoS) . O que antes eram simples ataques volumétricos evoluíram para campanhas multivetoriais altamente sofisticadas que visam os aspectos mais vulneráveis da camada de aplicativos. Os mecanismos de defesa tradicionais que dependem de taxa de transferência de tráfego, limites estáticos e assinaturas não são tão eficazes contra ameaças complexas, que requerem uma abordagem mais adaptável e inteligente.
Principais tendências de ataques de DDoS
- Ataques multivetoriais: os invasores cada vez mais utilizam combinações de vários vetores, o que torna desafiador para as defesas estáticas identificar e mitigar ataques. Nos últimos 18 meses, mais de 11 trilhões de ataques de DDoS da camada 7 foram registrados em setores de alta tecnologia, comércio e mídia social.
- Exploração de APIs: à medida que as empresas dependem cada vez mais de APIs, os invasores exploram esses pontos de entrada. Somente em 2024, foram observados 108 bilhões de ataques a APIs , com muitos deles sendo baseados em DDoS.
- Complexidade crescente das ameaças: o setor de serviços financeiros observou um aumento nos ataques DDoS de camada 7 devido às tensões geopolíticas. Esses ataques estão se tornando mais sofisticados, usando botnets e IA, com um aumento notável de ataques direcionados a bancos europeus.
Apresentação do Behavioral DDoS Engine*
Para combater essas ameaças em evolução, a Akamai desenvolveu o Behavioral DDoS Engine, um recurso de ponta adicionado à solução Akamai App & API Protector , que se adapta aos padrões de ataque em tempo real. Esse mecanismo inovador oferece às empresas a proteção necessária contra ameaças de DDoS sofisticadas e persistentes.
Compreensão do Behavioral DDoS Engine
A maioria das defesas tradicionais contra DDoS depende da taxa e das detecções baseadas em volume, frequentemente configuradas com limites estáticos e suscetíveis a falsos positivos. Por outro lado, o Behavioral DDoS Engine da Akamai aprende continuamente os padrões de tráfego, o que permite a identificação e a mitigação em tempo real de ataques, minimizando qualquer interrupção no tráfego legítimo.
Ao usar machine learning para monitorar anomalias, ele pode diferenciar picos normais (como eventos virais) e ataques de DDoS sofisticados, garantindo proteção proativa e precisa sem intervenção manual. Essa abordagem adaptável oferece uma defesa mais eficaz contra ameaças complexas.
A análise comportamental inclui:
Monitoramento de tráfego em tempo real: o mecanismo monitora constantemente o tráfego e analisa solicitações para estabelecer uma linha de base de atividade normal.
Modelos de machine learning: algoritmos avançados analisam os desvios dos padrões normais de tráfego, identificando ameaças em tempo real. Isso permite que o mecanismo classifique rapidamente o comportamento anômalo e tome as medidas necessárias, mitigando até mesmo ameaças sutis sem intervenção humana.
Diferenciação do tráfego legítimo: o mecanismo pode diferenciar entre picos de tráfego legítimos, como aqueles causados por um evento viral, e ataques de DDoS da camada 7 reais, que geralmente são altamente distribuídos e imitam o comportamento legítimo.
Uma poderosa adição à sua estratégia de defesa em profundidade
O Behavioral DDoS Engine da Akamai é uma poderosa adição à sua estratégia de defesa em profundidade, complementando as abordagens tradicionais de detecção com base em taxas. Embora a limitação de taxa continue sendo valiosa para gerenciar o tráfego, ela geralmente requer ajuste manual.
O Behavioral DDoS Engine automatiza a detecção de ameaças por meio de machine learning avançado e insights da plataforma global da Akamai, particularmente 946 TB de dados de eventos de segurança diários. Juntas, essas ferramentas fornecem uma abordagem equilibrada, combinando a precisão da limitação de taxa com a adaptabilidade da análise comportamental, garantindo uma proteção robusta contra ameaças de DDoS complexas.
Proteções personalizadas contra DDoS com base nas necessidades do seu website ou API
O Behavioral DDoS Engine oferece rastreamento avançado e análise preditiva, monitorando tendências de tráfego em dimensões de tráfego dinâmicas, como origem do tráfego do país, padrões TLS de clientes e impressões digitais de rede. Ao analisar o tráfego para cada nome de host e método HTTP, o novo recurso adapta as estratégias de proteção às necessidades exclusivas de cada website ou API.
Essa adaptabilidade garante que o mecanismo permaneça atualizado com ameaças emergentes e pesquisas de segurança, sem a necessidade de esforços adicionais dos clientes. O mecanismo também pode ajustar automaticamente as dimensões de tráfego a serem usadas à medida que as ameaças evoluem. O resultado é uma defesa sólida que aumenta a segurança e mantém uma experiência de usuário tranquila.
A Figura 1 ilustra os novos relatórios de tráfego de linha de base que ajudam a melhorar a confiança do usuário ao mostrar o status de linha de base do tráfego e os principais insights de proteção.
Fig. 1: status de tráfego de linha de base e principais insights de proteção em um relatório do Behavioral DDoS Engine
A solução detecta qualquer pico anormal no tráfego e o filtra do tráfego de linha de base para garantir exatidão e precisão (Figura 2). Isso resulta em tráfego limpo que é usado para gerar visualizações multidimensionais, cada uma adaptada a diferentes métodos de solicitação HTTP, como GET, POST e OUTROS (inclusive métodos menos comuns, como PUT, PATCH, DELETE etc.).
Fig. 2: relatório do Behavioral DDoS Engine destacando a atividade de normalização da linha de base
Abordagem prática adaptada à sua disposição para enfrentar riscos
O Behavioral DDoS Engine oferece três níveis de proteção, o que permite que você escolha a opção que melhor se alinhe à sua tolerância a riscos de negócios e necessidades de segurança (Figura 3).
Fig. 3: relatório do Behavioral DDoS Engine destacando os níveis de sensibilidade em relação à linha de base
Restrito: oferece resposta rápida até mesmo a pequenas anomalias; recomendado para ambientes de alta segurança, em que pequenos desvios no tráfego podem sinalizar um possível ataque de DDoS
Moderado: (Recomendado pela Akamai) Oferece uma abordagem equilibrada, oferecendo proteção sólida enquanto otimiza o nível de falsos positivos; ideal para a maioria dos ambientes operacionais, em que algumas flutuações de tráfego são esperadas
Conservador: fornece tolerância para desvios de tráfego mais significativos e grandes flutuações de tráfego que, de outra forma, poderiam acionar proteções contra DDoS sem necessidade
Nos bastidores: como tudo se reúne
A solução é criada a partir de vários ingredientes principais, e cada componente é vital na receita geral (Figura 4).
- O mecanismo de detecção identifica ataques de DDoS usando uma visão multidimensional do tráfego e aproveitando a inteligência do gerador de linha de base.
O mecanismo de mitigação identifica e combate invasores de DDoS usando combinações de dimensões e aproveitando a inteligência tanto do gerador de linha de base quanto dos sinais de ameaça.
Os sinais de ameaça, incluindo a heurística da Plataforma de inteligência contra DDoS, oferecem insights sobre os invasores de DDoS com base em dados históricos de ataques, aproveitando os dados abrangentes da Akamai e a experiência da Equipe de Pesquisa de ameaças da Akamai.
preenchimento
O validador de linha de base, com ajuda do ajuste baseado em IA, é um componente essencial que avalia centenas de ataques de DDoS por mês para ajustar a solução.
A redução de ruído/FP é uma estrutura de modelo de machine learning que transforma dados brutos em insights valiosos tanto para o gerador quanto para o validador de linha de base.
O gerador de linha de base é o componente primário que processa os dados limpos em um período de duas semanas. Além disso, ele usa as descobertas mais recentes de pesquisa de ameaças para criar vários perfis de tráfego e configurações para os mecanismos de detecção e mitigação.
Líder do setor em eficácia e precisão
O Behavioral DDoS Engine aumenta a segurança melhorando a precisão da detecção e minimizando o impacto do usuário legítimo. Ele oferece mitigação proativa, antecipando e neutralizando ameaças antes que elas afetem as operações.
Vejamos dois estudos de caso que descrevem como o Behavioral DDoS Engine pode ajudar as equipes de segurança com maior eficiência operacional, menor intervenção manual e integração perfeita com fluxos de trabalho existentes, o que proporciona um gerenciamento de segurança mais simplificado sem comprometer a proteção. [Observação: os resultados podem variar com base nas configurações de sensibilidade escolhidas pelos clientes e respectivas linhas de base de tráfego. A taxa de precisão nos estudos de caso abaixo foi observada em relação a rigorosas configurações de sensibilidade.]
Estudo de caso 1: detectar um DDoS de camada 7 altamente distribuído durante os Jogos Olímpicos de Paris
O alvo era um website de emissão de bilhetes. Esse foi um ataque altamente distribuído que enviou uma onda de 1,4 bilhão de solicitações HTTP GET com o uso da randomização TLS de mais de 7.000 endereços IP em 839 redes. O Behavioral DDoS Engine mostrou precisão superior com 99,95% de taxa de mitigação e detecção.
Estudo de caso 2: proteger uma página inicial de comércio eletrônico APJ contra um ataque de DDoS altamente distribuído
Esse foi um ataque de DDoS que gerou, em seu pico, 185 milhões de solicitações HTTP GET com o uso da randomização TLS de mais de 5.000 endereços IP em 643 redes. O Behavioral DDoS Engine mostrou novamente uma precisão superior com 99,50% de precisão de detecção e mitigação.
Uma nova era de defesa contra DDoS com o Akamai App & API Protector
O novo Behavioral DDoS Engine da Akamai marca um salto significativo na defesa moderna contra ameaças, oferecendo proteção proativa e inteligente para atender às demandas do complexo cenário de ameaças atual. Essa inovação aumenta a precisão da detecção, reduz a intervenção manual e integra-se perfeitamente aos fluxos de trabalho existentes.
Saiba mais
Pronto para ver o Behavioral DDoS Engine em ação? Entre em contato conosco para assistir a uma demonstração, ter acesso antecipado ou acessar uma exploração técnica de como a Akamai pode reforçar sua estratégia de mitigação de DDoS.
Bônus! Alcance a receita para defesa avançada contra ataques DDoS de camada 7
Baixe o Chef da cibersegurança: criação do melhor manual para resiliência a ataques de DDoS da camada 7 hoje e capacite sua equipe com o conhecimento e as ferramentas para sair na frente das mais recentes ameaças de cibersegurança.
A proteção contra DDoS de camada 7 moderna não se trata apenas de evitar o tempo de inatividade, mas também de proteger sua marca, seus clientes e seus resultados. Recursos como a limitação de taxa e a proteção comportamental contra DDoS a partir de ataques de DDoS na camada dos aplicativos são essenciais para garantir que as solicitações HTTP sejam gerenciadas corretamente e que o tráfego mal-intencionado seja mitigado.
*O Behavioral DDoS Engine está atualmente disponível para um conjunto seleto de clientes. O acesso a toda a plataforma estará disponível em 2025.