Proteja sus aplicaciones de ataques DoS de capa 7 con NGINX App Protect Denial of Service

La experiencia del usuario lo es todo. No tiene sentido tener aplicaciones y sitios web si los consumidores y clientes no los utilizan. Por lo tanto, es importante garantizar una experiencia de usuario positiva y consistente, especialmente cuando los usuarios se vuelven menos tolerantes a la latencia, el tiempo de inactividad y los errores.

Cuando los usuarios tienen una experiencia negativa con su aplicación o sitio web, podría perderlos como clientes para siempre. En una encuesta de Salesforce , el 61% de los consumidores informaron que después de una sola mala experiencia se cambiaron a un competidor. Si se repite la mala experiencia, la deserción será inevitable. La lealtad a la marca solo cuenta hasta cierto punto cuando hay tantas opciones en línea.

Una de las principales causas de la insatisfacción del consumidor es el tiempo de inactividad, y los ataques de denegación de servicio (DoS) son uno de los principales culpables del tiempo de inactividad prolongado. Debido a los cambios en el diseño de aplicação , han surgido nuevos vectores de amenaza y los atacantes han adaptado los ataques DoS (en uso durante más de dos décadas) para explotar arquitecturas modernas. Entre enero de 2020 y marzo de 2021, los ataques DoS en la capa de aplicação (capa 7) aumentaron drásticamente y representaron el 16 % de todos los incidentes DDoS. De hecho, la mitad de las solicitudes al Equipo de Respuesta a Incidentes de Seguridad de F5 son para obtener ayuda con ataques DoS en la capa de aplicação.

La mitigación de seguridad centralizada puede ser eficaz para ataques DoS volumétricos en la capa de red (capa 4), pero los ataques DoS en la capa de aplicação son más específicos y, por lo tanto, requieren defensas especializadas para proteger las aplicações modernas que están cada vez más distribuidas, compuestas de API y microservicios, y viven en infraestructuras más flexibles, como la nube.

Más allá de la protección tradicional

Incluso si la fuente de un ataque DoS está distribuida (lo que lo convierte en un ataque DDoS ), los ataques volumétricos básicos en la capa de red generalmente están dirigidos a un solo dispositivo o servicio, y las herramientas de protección tradicionales son igualmente monolíticas y centralizadas. Y aunque estas herramientas todavía tienen su lugar en el panorama de la seguridad de las aplicação , no son suficientes. Hoy en día, los servicios de protección DDoS basados en la nube son el estándar de la industria. Sin embargo, todavía no abordan el hecho de que las aplicações ya no son servicios individuales monolíticos sino que tienen muchos puntos de integración que necesitan protección.

Antes de la transformación digital y el cambio de arquitectura a gran escala hacia API, microservicios e integraciones basadas en la nube que la acompañaron, un firewall de aplicação web (WAF) básico podía mitigar en gran medida las vulnerabilidades y los ataques DoS. En un ataque volumétrico, que se manifiesta como una inundación en el lado del cliente, por ejemplo, un WAF básico y las herramientas DoS tradicionales son efectivas porque el tráfico está centralizado: un servicio de limpieza en la nube puede mitigar los ataques antes de que el tráfico ingrese a las tuberías de entrada, o se puede colocar protección frente a la pila de aplicação . Y los WAF básicos aún protegen contra ataques tradicionales, en gran medida a través de limitaciones de velocidad, listas de denegación y firmas de bots, pero el panorama de amenazas ha ido más allá de esto.

En resumen, el juego ha cambiado y los WAF básicos y la protección DoS tradicional no son efectivos con las arquitecturas de aplicação modernas.

Los ataques DoS modernos ocurren en la capa 7 y, como están ocultos en canales cifrados y en la lógica de las aplicação , son mucho más difíciles de detectar. Por lo tanto, necesita una capa adicional de protección para medir el comportamiento del cliente y el estrés del servidor: los dos indicadores más grandes de un ataque DoS.

Para ayudar a solucionar este problema, recientemente lanzamos el módulo NGINX App Protect Denial of Service . Quizás te preguntes si necesitas un módulo DoS si ya tienes un WAF y una protección DoS tradicional. En efecto, sigue leyendo para saber por qué.

Las arquitecturas modernas necesitan protección moderna

El cifrado está en todas partes y la protección DoS tradicional no fue diseñada para el descifrado a gran escala. En la era de las aplicações monolíticas, la mitigación centralizada de DoS tenía sentido porque el cifrado no era tan generalizado y los ataques podían detectarse en gran medida observando solo el lado del cliente. Hoy en día, casi todo el tráfico está cifrado, por lo que la mitigación de DoS sin estado que se centra únicamente en el tráfico de ingreso es en gran medida ineficaz, especialmente cuando un ataque utiliza una única solicitud dirigida para infligir estrés a la aplicação .

Ahora las aplicações están diseñadas y optimizadas para arquitecturas distribuidas como los microservicios, y el cifrado de extremo a extremo se está volviendo algo común gracias al mayor énfasis (y la legislación posterior) en la privacidad del usuario y los avances en criptografía. Las arquitecturas modernas dependen en gran medida de las API, y la comunicación de API a API (también llamada tráfico este-oeste ) podría ni siquiera pasar por los controles de seguridad centralizados.

Una protección DoS eficaz a nivel de aplicação requiere visibilidad y contexto de extremo a extremo , incluida la capacidad de detectar anomalías del lado del cliente y estrés del lado del servidor. Los ataques DoS de capa 7 avanzados a menudo se disfrazan de tráfico legítimo, por lo que las mitigaciones básicas como la limitación de velocidad, las listas de denegación, las firmas y la conformidad con el protocolo ya no son suficientes.

Los sofisticados ataques de capa 7 parecen tráfico legítimo a primera vista, y los WAF básicos carecen del análisis de comportamiento necesario para detectarlos. NGINX App Protect DoS está diseñado específicamente para analizar tanto las anomalías del cliente como el estrés del servidor, y puede identificar y mitigar dinámicamente los ataques y medir la efectividad de la mitigación, sin requerir la atención de equipos de seguridad que ya están sobrecargados.

Si confía únicamente en las defensas básicas de WAF y la mitigación de DDoS tradicional, no tendrá la visibilidad y el contexto adecuados en un ataque de capa 7, y las posibles consecuencias son enormes: latencia, tiempo de inactividad, ingresos abandonados y daño a la marca. Con el análisis del comportamiento, se pueden analizar constantemente las anomalías del cliente y el estado del servicio para detectar un ataque DoS de día cero. Observar de cerca el comportamiento del sitio nos permite responder preguntas como: ¿Hay algo anormal en comparación con los patrones de tráfico de referencia? ¿La solicitud carece de información que esperamos que incluya el navegador, aunque parezca provenir de un navegador? ¿La solicitud incluye una consulta de base de datos compleja que genera un alto uso de la CPU?

Al crear una imagen del rendimiento y comportamiento normales, NGINX App Protect DoS puede centrarse en ataques de capa 7 que evaden las defensas tradicionales y provocan estrés en las aplicação .

Mitigar con múltiples módulos

Los resultados de los ataques DoS no han cambiado: rendimiento lento, usuarios frustrados e ingresos abandonados. Pero la forma en que ocurren los ataques DoS puede ser muy diferente: los piratas informáticos utilizan herramientas de cifrado y seguridad para disfrazar su amenaza como tráfico legítimo.

Si bien es posible que sus usuarios no puedan notar la diferencia entre arquitecturas, sí pueden notar la diferencia entre un buen y un mal rendimiento del sitio. Las descargas de tráfico de ataque provocan una latencia que hace que la experiencia del usuario parezca lenta. Es bastante lento, e incluso los usuarios más pacientes (¡y no son muchos!) abandonan la transacción y se cambian a otro sitio. Una única solicitud dirigida puede provocar latencia y estrés en el servidor, por lo que la protección contra denegaciones de servicio (DoS) de aplicação especializadas es fundamental.

Las soluciones de seguridad de aplicação web continúan evolucionando para mantenerse al día con los nuevos ataques, como los que se describen en OWASP Automated Threats to Web Aplicações . Pero necesita una protección que se integre de forma nativa en el tiempo de ejecución de su aplicação . Algo dinámico. Algo adaptable. Si bien otras soluciones DoS pueden estar diseñadas para ataques DDoS de red como inundaciones SYN , la solución DoS NGINX App Protect está especializada para ataques de capa 7 que estresan los recursos de la aplicação . La combinación de soluciones WAF y Layer 7 DoS garantiza que las aplicações estén protegidas tanto contra vulnerabilidades como contra el abuso de la lógica empresarial, lo que previene riesgos, así como latencia, degradación y tiempo de inactividad.

Hoy en día el comercio se realiza en gran medida en línea. Hoy en día la gente está mayoritariamente en línea. Necesitas convertirlo en un lugar seguro y protegido. Al combinar los módulos NGINX App Protect WAF y NGINX App Protect DoS , puede tener una protección sólida que tenga sentido para su entorno, aplicações y su negocio.

Pruebe NGINX App Protect usted mismo: comience hoy mismo su prueba gratuita de 30 días o contáctenos para analizar sus casos de uso .