Aplicaciones en la línea de fuego: El poder perdurable de los ataques DDoS
Las aplicações son la cara de su empresa. Hoy en día, la buena voluntad del cliente se gana o se pierde en un instante, por lo que el tiempo de inactividad de cualquier tipo no es una opción. Cada segundo que estás fuera de servicio es un preludio potencial de una pérdida financiera y/o de reputación.
Si bien existen numerosos ciberataques nuevos y sofisticados que pueden causar disrupción y daño, es una amenaza claramente tradicional la que sigue siendo una de las más prominentes (y disruptivas).
Los ataques de denegación de servicio distribuido (DDoS) no son nuevos. De hecho, el primer incidente conocido parecido a un ataque de denegación de servicio habría ocurrido en 1974, cuando un joven de 13 años de la Universidad de Illinois derribó una sala llena de terminales conectadas a un sistema de gestión de aprendizaje.
Los tiempos han cambiado desde entonces, pero los ataques DDoS siguen evolucionando, ganando fuerza y causando estragos. Esto es particularmente cierto a raíz de la COVID-19, con varios informes de la industria de los últimos dos trimestres que destacan picos significativos en todo el mundo.
Sin embargo, incluso antes de la pandemia, la amenaza DDoS ya estaba en trayectoria ascendente. Por ejemplo, un análisis de datos del Equipo de Respuesta a Incidentes de Seguridad de F5 señaló recientemente que el 77% de todos los ataques contra proveedores de servicios en 2019 estaban relacionados con DDoS. En 2017, era de alrededor del 30%.
¿Cuáles son los riesgos?
Los ataques DDoS generalmente se presentan en tres formas. Los ataques de gran ancho de banda, también conocidos como inundaciones volumétricas, son los más comunes. Se envía una cantidad masiva de tráfico a la red de la víctima con el objetivo de consumir tanto ancho de banda que se les niega el acceso a los usuarios.
Luego están los ataques de protocolo (a veces llamados ataques “computacionales” o “de red”), que niegan el servicio explotando las debilidades o el comportamiento normal de los protocolos. Por lo general, se trata de protocolos de capa 3 y capa 4 de OSI, como ICMP (Protocolo de mensajes de control de Internet), TCP (Protocolo de control de transporte), UDP (Protocolo de datagramas de usuario) y otros. El objetivo es agotar las capacidades computacionales de la red o los recursos intermedios (como los firewalls) y lograr la denegación de servicio.
Por último, y posiblemente los más difíciles de todos, están los ataques de capa de aplicação (también conocidos como ataques de capa 7 de OSI), que tienen como objetivo servidores web, plataformas de aplicação web y aplicações web específicas en lugar de la red en sí. Esto ocurre cuando los atacantes intentan bloquear el servidor y hacer que un sitio web o una aplicação sean inaccesibles. Estos ataques pueden apuntar a vulnerabilidades en las aplicaciones, su lógica comercial subyacente o abusar de protocolos de capa superior como HTTP/HTTPS (Protocolo de transferencia de hipertexto/seguro) y SNMP (Protocolo simple de administración de red). Los ataques de esta naturaleza a menudo utilizan menos ancho de banda y no siempre indican un aumento repentino del tráfico, lo que los hace mucho más difíciles de detectar y mitigar sin falsos positivos. Los ataques a la capa de aplicação se miden en solicitudes por segundo.
Uno de los mayores desafíos que enfrentan los equipos de seguridad es la facilidad con que se puede lanzar un ataque DDoS; una amplia gama de recursos en línea significa que casi cualquier persona puede convertirse en un ciberdelincuente con solo hacer clic en un botón. También hay servicios que puedes pagar para atacar el objetivo que elijas. Todos participan en ello, ya sean hacktivistas, ex empleados descontentos, “script-kiddies” que utilizan código ya preparado o actores de estados nacionales.
Lamentablemente, no hay forma de evitar por completo ser un objetivo, pero hay varias medidas que puede tomar para proteger mejor su organización.
Mantenerse a salvo
En primer lugar, es fundamental contar con un plan de respuesta DDoS. Este debe ser un manual que describa cada paso para la respuesta a incidentes (personas, procesos, roles, procedimientos, etc.).
Para mitigar eficazmente los ataques DDoS basados en aplicaciones, todas las organizaciones necesitan:
- Conozca el comportamiento típico del tráfico y utilice la información para eliminar anomalías.
- Sea preciso. Poder separar los aumentos legítimos de actividad de los ataques significa que puede mantener la experiencia de usuario deseada sin agregar riesgos. La visibilidad del rendimiento del sistema comprometido es muy importante.
- Localizar al mal actor. Los ataques de capa de aplicação implican el establecimiento de una conexión. Esto significa que existe la oportunidad de encontrar la fuente del ataque.
- Generar una firma de ataque. Bloquear la fuente del ataque podría cortar el acceso a usuarios legítimos si hay involucrados servidores proxy grandes. Con una firma única para un ataque, puedes bloquear a un nivel granular. Puedes encontrar los puntos débiles del ataque y usarlos contra los actores de la amenaza.
A la hora de implementar soluciones específicas de protección DDoS, siempre hay que tener en cuenta la frecuencia con la que se ataca a la organización (o la probabilidad de que esto ocurra), las habilidades internas para defenderse de un ataque, los presupuestos disponibles y la capacidad y las limitaciones de la red. Las opciones de implementación incluyen:
- En las instalaciones. Una solución DDoS local puede funcionar si la capacidad de su red puede soportar ataques moderados (en el rango de 10 a 50 Gbps), es atacada de manera rutinaria y cuenta con personal capacitado en mitigación de DDoS interno.
- Una solución externalizada. Si sus circuitos de red no pueden manejar un ataque mayor a 10 Gbps, el riesgo de ataque es bajo y usted no cuenta con la experiencia interna para administrar una solución local, se recomienda un centro de depuración de DDoS (servicio subcontratado).
- DDoS híbrido. Si es propenso a ataques DDoS frecuentes o a gran escala que exceden la capacidad de su red, y la experiencia de mitigación interna es limitada, puede optar por un modelo híbrido y utilizar un servicio administrado en combinación con una solución DDoS local.
Además de estas recomendaciones, también debe asegurarse de que su infraestructura de red esté protegida con firewalls y sistemas de detección de intrusiones que monitoreen y analicen el tráfico de la red. Además, es aconsejable utilizar soluciones antivirus para frenar las infecciones de malware, así como equilibrio de carga y redundancia para ayudar a mantener la disponibilidad.
Al mismo tiempo, es importante no pasar por alto los controles técnicos y administrativos, como limitar la administración remota a una red de gestión (en lugar de a todo Internet) y escanear frecuentemente los puertos y servicios de red que dan a Internet.
Todos deberían tomar en serio los ataques DDoS, esperar ser atacados en algún momento y tener planes y medidas de mitigación establecidos que estén íntimamente alineados con los objetivos comerciales.