Lo que necesita saber acerca de los ataques DDoS

1 Ago 2013 en Las Agencias Informan

Por Avi Rembaum y Daniel Wiley – Check Point Software Technologies

Las instituciones financieras han estado combatiendo grandes olas de ataques de denegación distribuida de servicio (DDoS por sus siglas en inglés) desde comienzos del año pasado. Muchos de estos ataques han sido la labor de un grupo denominado los Soldados Cibernéticos Qassam (QCF), quienes recientemente publicaron actualizaciones semanales en Pastebin recordando a los lectores las razones de sus esfuerzos y resumiendo la operación “Abadil”, su campaña DDoS.

Otros grupos hacktivistas han lanzado sus propios ataques DDoS contra instituciones de servicios financieros con ataques focalizados en formatos y contenidos web. También ha habido reportes de asaltos cibernéticos organizados por países hacia bancos y agencias gubernamentales, junto con complejos esfuerzos multi-vector que han combinado ataques DDoS con falsificación de cuentas online e incluso fraude. 

El último año y medio indica un estado de actividad de hackeo que aumenta en intensidad y evoluciona regularmente. Los incidentes recientes contra los bancos de todos los tamaños han mostrado que existen muchos tipos de ataques DDoS. Estos han incluido inundaciones SYN y DNS tradicionales, así como amplificación DNS, capa de aplicación y métodos de ataques a contenidos. Las actividades de denegación (DoS) del servicio dirigidas hacia recursos de página web SSL encriptados y a contenidos representan un reto adicional. En algunas instancias los adversarios han cambiado a una forma de ataque combinada que incorpora capas de aplicaciones más difíciles de detener, junto con ataques “baratos” de alto volumen que se pueden filtrar y bloquear a través de medios más sencillos. 

Para lidiar con este nivel de actividad maliciosa CIOs, CISOs y sus equipos necesitan tener un plan y considerar un conjunto amplio de herramientas defensivas que combinan tecnologías on site y servicios de depuración basados en la nube. También deben comenzar a explorar e implementar inteligencia y metodologías de distribución que lleven a una estrategia de mitigación DoS completa.  

  1. Tenga un servicio de depuración o proveedor de limpieza similar para manejar grandes ataques volumétricos

Los volúmenes asociados con la actividad DDoS han alcanzado un nivel donde 80 Gbps de tráfico DDoS es un evento normal. Incluso existen reportes de ataques en el rango de 300 Gbps. Son pocas las  organizaciones que pueden mantener suficiente ancho de banda para lidiar con ataques de este tamaño. Y cuando enfrentan incidentes DDoS tan grandes lo primero que necesita considerar una organización es la opción de enrutar su tráfico de Internet a través de un proveedor de depuración dedicado basado en la nube que pueda remover los paquetes maliciosos de la corriente. Estos proveedores son la primera línea de defensa ante grandes ataques volumétricos, ya que tienen las herramientas necesarias y el ancho de banda para limpiar el tráfico de la red, así los paquetes DDoS se detienen en la nube y el tráfico de negocios regular se deja pasar.

  1. Tenga un dispositivo de mitigación DDoS dedicado para identificar, aislar y remediar ataques

La complejidad de los ataques DoS y la tendencia de combinar métodos volumétricos y de aplicación exige una combinación de métodos de mitigación. La forma más efectiva de lidiar con la aplicación y con los elementos “bajos y lentos” de estos ataques multi-vector es aprovechar los dispositivos dedicados ya instalados. Los firewalls y los sistemas de prevención de intrusiones son críticos para el esfuerzo de mitigación y los dispositivos de seguridad DDoS ofrecen una capa adicional de defensa mediante tecnologías especializadas que identifican y bloquean actividad DoS avanzada en tiempo real. Los administradores también pueden configurar sus soluciones instaladas para comunicarse con proveedores de servicio de depuración en la nube y así poder distanciar automáticamente la ruta durante el ataque.  

  1. Las organizaciones necesitan perfeccionar el firewall para manejar grandes tasas de conexión

El firewall también será una pieza importante de equipos de redes durante ataques DDoS. Los administradores deben ajustar sus configuraciones de firewall con el fin de reconocer y manejar ataques volumétricos y de capa de aplicación. Y dependiendo de las capacidades del firewall, las protecciones también se pueden activar para bloquear los paquetes DDoS y mejorar el rendimiento mientras se está bajo ataque.

  1. Desarrolle una metodología o una estrategia para proteger las aplicaciones de ataques DDoS

Las tecnologías seguras pueden proporcionar protecciones robustas a las actividades DDoS. Pero los administradores deben pensar en afinar sus servidores web, modificar su balance de carga y estrategias de entrega de contenido para asegurar el mejor tiempo de actividad posible. También es relevante para tales esfuerzos la incorporación de salvaguardias contra varios intentos de ingreso. Otro enfoque interesante es bloquear actividades automáticas lideradas por máquinas al incluir páginas web con detalles de ofertas tales como oportunidades de reducción de tasas de interés o datos de productos nuevos para que los usuarios puedan oprimir botones “aceptar” o “no gracias” con el fin de continuar más a fondo en el contenido del sitio web. 

Además el análisis de contenido es importante. Tales esfuerzos pueden ser tan simples como garantizar que no existen grandes archivos PDF hospedados en servidores de alto valor.

Los métodos mencionados son cruciales para cualquier estrategia de mitigación DDoS. Las organizaciones también deben contactar a los proveedores de servicio y a los ISPs y trabajar con ellos para identificar nuevas técnicas de mitigación. Los ISPs también deben estar involucrados. Los ataques DDoS utilizan la misma Internet que los clientes bancarios y los ISPs cargan ambas formas de tráfico.

La necesidad de investigar y desplegar inteligencia y estrategias de distribución es de gran relevancia. Estos esfuerzos deben investigar los datos dentro de la red de la compañía y expandirse para incluir otras empresas que operan en la industria de servicios financieros. 

Obtener más datos sobre quien es el actor, sus motivos para el ataque y los métodos que utilizan ayuda a los administradores a anticipar y a diseñar proactivamente alrededor de esos ataques. El perfil de datos del ataque puede variar desde los protocolos utilizados en el ataque (SYN, DNS, HTTP), las fuentes de los paquetes de ataque, las redes de comando y control y las horas del día en que los ataques empezaron y terminaron. Aunque es valioso en la mitigación de los ataques no existe una forma fácil de comunicar estos datos y los obstáculos regulatorios hacen más difícil compartir datos de ataque.

Ahora el compartir datos consiste en amigos hablando con amigos. El compartir información necesita evolucionar en un sistema automatizado donde las organizaciones pueden ingresar a una solución y ver registros de datos correlacionados y en bruto que proporcionan pistas de ataques que han terminado y que están en proceso. Estos sistemas también se pueden utilizar para compartir inteligencia de ataques y distribuir protecciones. Una capacidad de compartir datos ayudaría a elevar las habilidades de las empresas de servicios financieros para luchar con la actividad DDoS y traer la industria como un todo a otro nivel de preparación.

AviRembaum es director de 3D consulting y Daniel Wiley es consultor de seguridad senior de Check Point Software Technologies.