Asegure el SIGUIENTE: Mitigación de ataques DDoS

Hay más de 3.400 millones de usuarios de Internet en todo el mundo y se estima que hay 6.400 millones de dispositivos IoT conectados a él, lo que convierte al ecosistema en un intercambio floreciente en el que la información y las transacciones fluyen segundo por medio. Gartner estima que para 2020 habrá 20 mil millones de dispositivos. La IoT será parte integral de nuestras vidas, desde los servicios públicos hasta el transporte y los servicios ciudadanos. Si bien todo esto ofrece un nivel de conveniencia sin precedentes, también atrae la atención no deseada de los ciberdelincuentes que han desarrollado sus capacidades con el tiempo. Los dispositivos en el mundo conectado del IoT aportan todo tipo de nuevas funciones convenientes, pero la gente a menudo olvida que estos dispositivos también están conectados a la red. Desde los gusanos primitivos y el spyware del pasado, hoy las personas y las empresas se enfrentan a amenazas complejas como el espionaje cibernético, el ransomware, el malware sofisticado y los omnipresentes ataques DDoS.

La denegación de servicio distribuida (DDoS) es una forma de ciberataque de múltiples fuentes que tiene como objetivo interrumpir el acceso de los recursos/servicios de la red a sus usuarios previstos. Ha evolucionado en sofisticación hasta volverse capaz de causar todo tipo de daños, como fraudes y extorsiones. Los ataques DDoS generalmente saturan los recursos de la red utilizando un gran volumen de tráfico proveniente de múltiples sistemas o dispositivos comprometidos que se hacen pasar por bots. Los ataques DDoS se pueden clasificar en los siguientes tipos:

• Volumétrico : niega el acceso al tráfico de usuarios legítimos al inundar los recursos de la red, especialmente paralizando la capacidad de manejar conexiones por segundo (CPS).
• Asimétrico : una pequeña cantidad de datos maliciosos diseñados para consumir memoria y reducir la velocidad de la red al mínimo.
• Computacional : diseñado para consumir recursos de CPU y memoria.
• Vulnerabilidad : explota vulnerabilidades
• Híbrido : una combinación de uno o más tipos diferentes de ataques DDoS

Una amenaza mayor que nunca

Si bien los ataques DDoS han sido comunes desde fines de la década de 2000, los tamaños de los ataques han aumentado significativamente en los últimos años. Las nuevas vulnerabilidades de protocolo y los ataques de amplificación se han vuelto demasiado grandes para que la mayoría de las organizaciones puedan combatirlos sin el apoyo de un servicio de limpieza de DDoS basado en la nube. En 2013, se informó que los servicios de SpamHaus se cayeron como resultado de un ataque de 300 Gbps, mientras que en 2014, se registró un ataque que alcanzó un máximo de 400 Gbps. Sin embargo, el ataque DDoS más grande de la historia del mundo se produjo en 2015, con un pico de 500 Gbps. Y como los costos del ancho de banda son cada vez más baratos, se ha vuelto más asequible lanzar ataques a escala, y podemos esperar ver pronto ataques del tamaño de un terabyte en el futuro. 

Los modernos ataques de denegación de servicio no sólo interrumpen o derriban servicios, sino que distraen a los equipos de operaciones de seguridad con una combinación de amenazas que tienen distintos efectos sobre la infraestructura. Este tipo de ataques están aumentando en frecuencia, volumen y sofisticación. Los atacantes combinan ataques volumétricos, de saturación parcial, basados ​​en autenticación y a nivel de aplicação hasta encontrar el eslabón más débil en la cadena de mando. Estas amenazas, que cada vez son más difíciles de combatir, suelen ser un precursor de amenazas persistentes avanzadas (APT). La rapidez con la que una organización puede descubrir y detener estas amenazas es clave para garantizar la continuidad del servicio. Además, la omnipresencia de DDoS volumétrico, junto con el posible aumento de BOT, requiere una estrategia DDoS híbrida que combine WAF local con servicios de depuración basados en la nube.

Mitigación de un ataque DDoS

Cuando una empresa detecta que está siendo atacada por DDoS desde su WAF local, cambia el tráfico entrante a un servicio de depuración de DDoS basado en la nube como el que ofrece F5 Silverline para detectar y depurar el tráfico. Una vez que el tráfico está limpio, se envía desde Silverline a la empresa. Mientras esto sucede, la empresa continúa operando con normalidad. El servicio de depuración mitiga eficazmente los ataques DDoS que buscan interrumpir los servicios, al tiempo que permite que la empresa siga operando.

Es pertinente que las empresas protejan su infraestructura de ataques a gran escala e incesantes, pero sin comprometer el rendimiento. Esto se puede lograr con reglas y políticas DDoS granulares combinadas con conocimiento contextual de la identidad y el acceso de los usuarios a las aplicações y los datos, todo ello posible mediante la recopilación y el análisis automáticos de datos en los entornos de implementación (datos que incluyen inspección SSL, análisis de comportamiento, uso de ancho de banda, monitoreo de la salud y otras estadísticas).

Esto garantiza que los ataques, por ejemplo HTTP/S, SMTP, FTP, DNS y SIP se puedan detectar antes y que la mitigación se pueda activar con rapidez y precisión a través del hardware, en sentido ascendente o en servicios basados en la nube. De esta forma, las empresas pueden tener la seguridad de una transición fluida e inmediata al nuevo servicio una vez que el tráfico de ataques haya disminuido a niveles manejables.

Presentamos F5 DDoS Hybrid Defender

F5® DDoS Hybrid Defender™ proporciona protección DDoS integral en un único dispositivo con el objetivo de ofrecer una defensa DDoS que combina protección de capa 3 a 7 con análisis de comportamiento para identificar y mitigar ataques, y aprendizaje automático para detectar amenazas evasivas o anomalías de tráfico. El dispositivo también permite la limpieza basada en la nube a pedido (F5 Silverline) en un modelo híbrido, redirigiendo el tráfico de ataque volumétrico sin problemas para reducir la sobrecarga y mejorar en gran medida el uso del ancho de banda de la red. La infraestructura está protegida mediante la combinación de una defensa DDoS de múltiples capas en las capas de red, sesión y aplicação para integrar de forma inteligente la limpieza de la nube externa en un formato conveniente todo en uno.

A nivel de aplicação , las empresas se beneficiarán de la inspección de aplicação para detectar ataques de capa 7, con un descubrimiento profundo de amenazas a las aplicação basado en la lógica del flujo de datos, señales agregadas de HTTP y las características de las solicitudes TCP, las transacciones y el estado general del servidor. Una solución de proxy completo ofrece protección DDoS en todas las capas, protegiendo protocolos (incluidos los que emplean encriptación SSL y TLS) y deteniendo ráfagas de DDoS, inundaciones HTTP aleatorias, omisión de caché y otros ataques que pueden alterar el comportamiento de las aplicação .

CONCLUSIÓN

Los ataques DDoS seguirán aumentando en sofisticación y capacidad, posiblemente favorecidos por los numerosos dispositivos IoT que se estarán conectando a Internet. Ahora más que nunca se necesita un enfoque de mitigación híbrido.  La capacidad de amplificarse enormemente y escalar rápidamente hace que sea fácil que un ataque paralice fácilmente las operaciones de una organización, inutilice sus aplicações y obtenga acceso a datos críticos. Es por eso que las soluciones de seguridad deben ser lo suficientemente integrales para abordar el problema de la capacidad, así como los entornos híbridos, al tiempo que mitigan las amenazas DDoS incluso cuando afectan la red.