Los ataques DDoS están aumentando: así es como contraatacar
El ataque distribuido de denegación de servicio (DDoS) se ha convertido en uno de los métodos más populares y efectivos implementados por los delincuentes para interrumpir las actividades de una empresa objetivo.
La técnica, que puede ser utilizada por todos, desde los llamados ‘script kiddies’ y codificadores aficionados hasta piratas informáticos profesionales, implica bombardear un sitio web o servidor objetivo con tráfico artificial hasta el punto de ceder bajo la tensión.
Cada vez que una computadora visita un sitio web, solicita acceso al contenido de ese sitio. Un ataque DDoS aprovecha esto al enviar más solicitudes de las que un servidor puede hacer frente en un momento dado. Esto puede resultar en retrasos prolongados para otros usuarios que solicitan contenido o en un servidor completamente fallado.
Dada la naturaleza relativamente cruda del ataque y el hecho de que es increíblemente difícil de prevenir o detener una vez descubierto, los ataques DDoS siguen siendo una herramienta eficaz para derribar sitios web.
Un delincuente tampoco necesita hacer mucho del trabajo pesado, ya que hay varios grupos de DDoS contratados que operan en la web oscura. Estos servicios han pasado tiempo difundiendo malware a dispositivos en todo el mundo, que luego pueden movilizarse como visitantes a un sitio web en particular o usarse para emitir una solicitud de servidor.
Si bien este tipo de ataques se realizaban normalmente de forma aislada y, a menudo, en un intento de empañar la reputación de una empresa en particular o causarle daños económicos, a menudo se utilizan hoy en día como una cortina de humo para desviar la atención de un hackeo mucho más serio.
El ataque DDoS más grande jamás registrado se lanzó contra GitHub en febrero de 2018 , aunque solo logró desconectar el repositorio de código durante 10 minutos. Se produjo una interrupción mucho mayor durante un ataque más pequeño al servidor DNS Dyn en 2016 , que derribó algunos de los sitios más populares del mundo, incluidos Netflix, Spotify y Amazon.
Ambos ejemplos también demuestran la forma en que los delincuentes están utilizando nuevas tecnologías y exploits para llevar a cabo ataques DDoS.Se cree que el ataque Dyn utilizó una botnet impulsada por IoT, mientras que el ataque GitHub hizo uso de una autenticación deficiente en servidores Memcached.
Es más, no solo los jugadores de renombre en Internet están en riesgo de ataques DDoS, todos están en riesgo. Según una investigación de marzo de 2018 de Kaspersky Lab, el 27% de las empresas atrapadas en un incidente de este tipo piensan que fueron daños colaterales, en lugar de ser el objetivo previsto. Esto reitera la necesidad de que todas las organizaciones sepan cómo protegerse de un ataque DDoS.
Volver a lo básico
En lugar de aprovisionar en exceso, cosas simples como el almacenamiento en búfer de ancho de banda pueden permitir picos de tráfico, incluidos los asociados con el ataque DDoS, y darle tiempo para reconocer el ataque y reaccionar ante él.
Probablemente también valga la pena poner en práctica otras medidas de seguridad básicas que pueden hacerle ganar unos minutos preciosos: limitar la velocidad de su enrutador, agregar filtros para eliminar paquetes obvios falsos o mal formados y establecer umbrales de caída más bajos para las inundaciones ICMP, SYN y UDP. Todo esto le dará tiempo para intentar encontrar ayuda.
Planificación de respuesta DDoS
Lo primero que debe hacer toda organización cuando sospecha de un ataque DDoS es confirmar que realmente sucedió. Una vez que haya descontado los errores de DNS o los problemas de enrutamiento ascendente, su plan de respuesta DDoS puede comenzar.
¿Qué debería haber en ese plan de respuesta? Póngase en contacto con los miembros relevantes de su equipo de respuesta a incidentes, incluidos los clientes potenciales de los equipos de aplicaciones y operaciones, ya que es probable que ambos se vean afectados.
Luego, comuníquese con su ISP, pero no se sorprenda si obstruye su tráfico. Un ataque DDoS cuesta dinero, por lo que el enrutamiento nulo de paquetes antes de que lleguen a sus servidores suele ser la opción predeterminada. En su lugar, puede ofrecer desviar su tráfico a través de una red depuradora de terceros; Estos filtran los paquetes de ataque y solo permiten que le llegue tráfico limpio.
Tenga cuidado, es probable que esta sea una opción de emergencia más costosa que si hubiera contratado una red de distribución de contenido (CDN) para monitorear los patrones de tráfico y eliminar el tráfico de ataque por suscripción.
Prioriza, sacrifica y sobrevive
Asegúrese de que los recursos de red limitados disponibles para usted tengan prioridad; haga que este sea un ejercicio impulsado por las finanzas, ya que ayuda a concentrarse. Sacrifique el tráfico de bajo valor para mantener activos los servicios y aplicaciones de alto valor. ¿Recuerda el plan de respuesta DDoS que mencionamos?
Este es el tipo de cosas que deberían incluirse, entonces estas decisiones no se toman sobre la marcha y bajo presión de tiempo. No tiene sentido permitir el mismo acceso a aplicaciones de alto valor, incluya en la lista blanca a sus socios más confiables y empleados remotos que usan VPN para asegurarse de que tengan prioridad.
Ataques multivectoriales
Los ataques multivectoriales, como cuando se utiliza un ataque DDoS para ocultar un intento de exfiltración de datos, son muy difíciles de defender. Es muy fácil decir que debe priorizar la protección de datos, pero la cortina de humo DDoS sigue siendo un ataque muy real a su negocio.
La motivación detrás de un DDoS es irrelevante, todos deben tratarse con defensas DDoS en capas. Estos deberían incluir el uso de una CDN para hacer frente a los ataques volumétricos, con firewalls de aplicaciones web y dispositivos de puerta de enlace que se ocupan del resto. Un especialista en defensa DDoS dedicado podrá asesorarlo sobre la mejor combinación para usted.
Servicios de mitigación de DDoS
Vale la pena considerar invertir en servicios de mitigación de DDoS si es particularmente probable que sea un objetivo de un ataque DDoS (por ejemplo, si es una organización grande) o al menos saber qué hay ahí fuera, por si acaso.
Uno de los más grandes y conocidos es Cloudflare, que ha aparecido en los titulares ofreciendo servicios de mitigación de DDoS a empresas como Wikileaks, además de trabajar para mitigar ataques más amplios como la botnet WireX y el ataque Spamhaus de 2013.
Sin embargo, Cloudflare no es el único juego en la ciudad, y muchas empresas de optimización de entrega de redes y aplicaciones ofrecen servicios de mitigación de DDoS.
Otras marcas conocidas incluyen Akamai, F5 Networks, Imperva, NETSCOUT Arbor y Verisign. Las opciones menos conocidas que también vale la pena considerar incluyen ThousandEyes, Neustar y DOSarrest.
Algunos de estos proveedores ofrecen la llamada cobertura de emergencia, que puede comprar cuando se produce un ataque para mitigar lo peor, mientras que otros requieren un contrato a más largo plazo.
Si ya está utilizando otros productos de cualquiera de estas compañías, es posible que desee considerar agregar protección DDoS a su paquete. Alternativamente, si utiliza otra empresa de optimización de red no mencionada aquí, vale la pena ver si ofrece protección DDoS y cuánto costaría. Como se mencionó anteriormente, su ISP también puede ofrecer algún tipo de protección DDoS, particularmente en una emergencia, pero vale la pena ver de antemano qué tan completo sería, así como los procesos involucrados y cuánto costará.
