Tres pasos para evitar los ataques DDoS: DellSonicwall

"El auge de los ataques DDoS es una alarma para que todas las empresas refuercen sus componentes de seguridad en la red".

Este es un titular muy común en todo el mundo: Una página web destacada ha sido hackeada. El origen de esta creciente amenaza es el ataque distribuido de denegación de servicios a las empresas (DDoS). Es importante que las empresas sean conscientes de esto y lleven a cabo acciones proactivas para prevenir ser víctimas de este tipo de ataques DDoS.

El objetivo de este artículo es explicar en qué consisten los ataques DDoS y ofrecer algunas indicaciones sobre cómo minimizar este tipo de ataques o, idealmente, prevenirlos completamente:

El riesgo es real y cada vez es más peligroso

Si piensas que eres demasiado pequeño o demasiado irrelevante para ser una víctima interesante para un hacker, piénsalo de nuevo. Cualquier organización es una posible víctima y la mayoría de nosotros somos vulnerables a los ataques DDoS. Tanto si se trata de una empresa global dentro de las Fortune 500, una agencia gubernamental o una pyme, todas ellas están dentro de la lista de objetivos de los ciberdelincuentes actuales. Incluso las empresas más seguras, con una gran inversión de recursos y expertos en seguridad han sido víctimas de estas amenazas. Ejemplo de ello sería empresas como Amazon, Visa, Sony, Monsanto, PostFinance, Paypal o Bank of America. Recientemente, el número de incidentes por DDoS se ha incrementado significativamente. Los ataques además han aumentado en escala, incluso excediendo el volumen del tráfico de 100 Gbps.

El DDoS viene en sabores variados

En el nivel más básico, un ataque DDoS es un intento de hacer que una máquina o recurso de red quede inutilizada o no disponible para sus usuarios. Aunque las motivaciones para llevar a cabo un ataque DDoS son muy variadas, normalmente consiste en los esfuerzos de una o más personas que, de forma temporal o indefinida, interrumpen o suspenden los servicios de un host conectado a Internet.

Como es costumbre, esto se lleva a cabo mediante los esfuerzos coordinados de botnets distribuidos, que pueden emplear hasta cientos de miles de ordenadores zombies, máquinas que han sido infectadas previamente y son controladas de forma remota, simplemente esperando órdenes. Los ataques DDoS trabajan tanto desde lo flujos de inicio del tráfico hasta los recursos del servidor, interrumpidos por fuerza bruta, o explotando vulnerabilidades inherentes para echar abajo los servidores target.

Los ataques por flujo incluyen ICMP, SYN, y otros flujos por nivel de aplicación. Los ataques por flujo DDoS a menudo provocan energía asimétrica de grandes botnets distribuidos. Estos pueden crear múltiples formas para enviar cantidades gigantescas de peticiones a servidores web deseados.

Los ataques Crash attacks a menudo mandan paquetes deformados que se aprovechan de los errores de los sistemas operativos. Se trata de intentos de ataques DDoS por nivel de aplicación para hacer fallar el sistema mediante exploits en las aplicaciones del servidor. Los ataques DDoS nacidos como malware pueden comprometer potencialmente los sistemas botnet con troyanos, que a cambio hacen estallar la descarga de un agente zombie.

Aún más, los ataques son cada vez más sofisticados. Por ejemplo, los botnets no solo fluyen en paquetes de emisión en un servidor objetivo, sino que además establecen conexiones con servidores para iniciar volúmenes aplastantes de transacciones de aplicaciones falsas desde el interior.

¿Por qué DDoS?

Los criminales utilizan DDoS ya que es barato, difícil de detectar, y altamente efectivo. Los ataques por DDoS son baratos ya que pueden proporcionar redes distribuidas de cientos de ordenadores zombies infectados con gusanos u otro tipo de métodos automáticos. Por ejemplo, los ataques DDoS de MyDoom utilizaron un gusano para distribuir el lanzamiento de un ataque por flujos. Debido a que estos botnets se venden y están disponibles globalmente en el mercado negro, un atacante puede comprar el uso de un botnet por menos de $ 100 dólares para un flujo de ataques, o contratar ataques específicos por $ 5 dólares la hora.

Los ataques DDoS son difíciles de detectar ya que a menudo utilizan conexiones normales e imitan el tráfico autorizado normal. Como resultado es altamente efectivo ya que normalmente los servidores objetivos confían por error en el tráfico y, por tanto, facilitan los ataques ejecutando la solicitud que en última instancia los inunda.

Llevados a cabo por motivos económicos o por ideología

Los ataques DDoS por motivos económicos tienen su base normalmente tanto en la extorsión como en la competencia. El esquema de la extorsión normalmente se beneficia de la demanda de importantes rescates a las organizaciones víctimas con el objetivo de prevenir la denegación de servicio.

Por otro lado, los ataques sin escrúpulos de las empresas competidoras prevalecen más de lo esperado. Un informe de la industria encontró que más de la mitad de los ataques por DDoS del Reino Unido se llevaron a cabo por competidores que buscaban una ventaja desleal de su negocio.

Los ataques ideológicos se pueden lanzar por entidades gubernamentales o “hacktivistas”. Los hacktivistas tienden a buscar publicidad atacando organizaciones de alto nivel o sitios que simbolicen prácticas políticas conflictivas. Tal vez, uno de los ejemplos más notorios de hacktivistas, es el grupo Anonymous, que han reclamado la responsabilidad (y publicidad) de haber hackeado las páginas web de organizaciones de gran nivel como el FBI o la CIA, y han atacado páginas web en 25 países en 6 continentes.

¿Quién es el siguiente?

Desde que las agendas de los hacktivistas son volátiles y poco predecibles, cualquier empresa puede ser objetivo de sus acciones como símbolo del último “cause du jour”. Empresas de gran prestigio, como Facebook, o grandes eventos, como los Juegos Olímpicos, la Copa de Europa, o las Elecciones de Estados Unidos, son particularmente target de estas organizaciones.

En el caso de ataques DDoS por guerras cibernéticas lanzadas por el gobierno, no solo las .gov son vulnerables. Dichos ataques pueden además apuntar a fabricantes afiliados que proveen infraestructura clave, o servicios de comunicaciones y transporte, o incluso buscan dejar inutilizado negocios clave o servidores de transacciones financieras.

Los servicios basados en cloud pueden ser especialmente vulnerables a ataques. Debido a que los sitios que necesitan una gran cantidad de transacciones o cálculos, tienen una gran cantidad de recursos, también son los preferidos para ataques por denegación de servicio.

¿Qué pueden hacer los departamentos de TI?

Claramente los departamentos TI necesitan estar alerta y dar pasos preventivos contra los ataques DDoS. La firma analista Gartner afirma que la mitigación de los ataques DDoS debería ser “una parte estándar de la planificación en la recuperación de desastres y la continuidad de negocio y debe ser incluido en todos los servicios de Internet cuando el negocio depende de la disponibilidad de la conectividad a Internet”. Para hacer esto efectivo, un negocio debe ser preventivo, estar preparado y ser fuerte contra los ataques DDoS.

Los departamentos TI necesitan ser prevenidos

Hablando claro, los departamentos TI deberían saber su ISP. Deberían colaborar en proporcionar un plan de respuesta más efectivo con sus proveedores de servicios. En muchos casos, los ISP pueden ser la primera línea de defensa frente a los DDoS.

Los departamentos de TI deberían saber cuales son sus cuellos de botella. Una organización TI bien preparada debería identificar las partes de la red más propensas a ser atacadas por DDoS, como el ancho de banda a internet, firewalls, prevención de intrusiones (IPS), balanceador de cargas o servidores. Más aún, las TI necesitan monitorizar de cerca estos potenciales puntos de fallo, y evaluar si actualizar u optimizar su rendimiento y resistencia.

Finalmente, los responsables TI deberían conocer su tráfico. Las TI no pueden controlar lo que se puede y lo que no se puede ver. Por tanto las TI deberían escanear y monitorizar tanto el tráfico de entrada como el de salida para ganar visibilidad en volúmenes poco usuales o diseños que puedan identificar sitios target o revelar botnets dentro de la red. Para los más preparados, las TI necesitan además visibilidad en el tráfico de capa 7 con el objetivo de identificar y controlar ataques DDoS por capas de aplicación.

Los departamentos TI necesitan estar preparados

Las organizaciones TI deberían invertir en evaluar e implementar productos y servicios apropiados. Por ejemplo, algunos firewalls de próxima generación ponen de relieve las contramedidas de prevención y detección de intrusiones contra ataques DDoS conocidos, que pueden ser actualizados automáticamente con nuevas firmas.

De forma ideal, los departamentos de TI necesitarán un firewall para analizar en profundidad tanto el tráfico de entrada como el de salida – incluyendo visibilidad en las aplicaciones – y monitorizar y alertar en caso de diseños sospechosos. Las TI deberían asegurar que la solución de firewall remedie los ataques DDoS bloqueando, filtrando o redireccionando el tráfico basado en diseños, volúmenes o características identificadas.

Para una inteligencia de tráfico mejorada, los departamentos TI deben además considerar la implementación de un software que analice el flujo de tráfico que pueda examinar el uso de datos por aplicación o usuarios, mirar los datos sobre diferentes periodos de tiempo y los datos del tráfico correlativo desde múltiples fuentes como NetFlow e IPFIX.

Más aún, los departamentos de TI líderes deberían evaluar las tecnologías emergentes para añadir al arsenal, como geolocalización IP, que podría ayudar a identificar fuentes geográficas sospechosas.

Las TI necesitan ser fuertes

Como hemos descrito, los ataques por denegación de servicio normalmente se producen a través sistemas de desbordados y con cuellos de botella. Siempre que sea posible, las TI debería mejorar la fuerza y flexibilidad de la red con componentes de alto rendimiento y altamente redundantes, así como gestión de ancho de banda basado en políticas.

Por ejemplo, algunos firewalls de nueva generación pueden combinar un diseño muli- core escalable masivamente con tecnología de escáner de paquetes en profundidad para permitir el escaneo de aplicaciones y amenazas de forma simultánea así como el análisis de archivos de todos los tamaños y conexiones a velocidades gigabit. Este tipo de firewalls puede ser configurado para un rendimiento y flexibilidad óptima bajo ataques, con alta disponibilidad de failover activo/activo, control e inteligencia de aplicación, así como priorización de ancho de banda.

Conclusiones

Si una organización lleva a cabo su trabajo desde cualquier lugar a través de Internet, no es una cuestión de “si…” sino de “cuándo…” será objetivo de un ataque DDoS. Todavía hay muchas cosas que los departamentos de TI pueden hacer para minimizar su impacto. La organización de TI debería colaborar de cerca con empresas líderes para prevenir los puntos vulnerables, para estar preparados con las medidas apropiadas y  fortalecerse con alto rendimiento y componentes de seguridad de red altamente redundantes.

*Informacióin elaborada por DellSonicwall Colombia

Sin etiquetas

One thought on “Tres pasos para evitar los ataques DDoS: DellSonicwall

  1. Mu Online dice:

    ahora esta pasando mucho que algunos proveedores de servicio de server dedicados te dicen que alguien te ataca con supuestos ataques de 600mbps y 1gbps y te tumban el server poniéndote nulled router para que les pagues una supuesta protección, que es hasta mas cara que le servicio que estas pagando inicialmente me parece una mala forma de sacarte dinero y es un robo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *