"Mantenerse alejado de los ataques DDoS”. Artículo de opinión del Director General de Fortinet Iberia. - Seguridad Mania.com - España y América Latina

Por Acacio Martín, Director General de Fortinet Iberia Comenzaron como simples ataques de denegación de servicio lanzados desde un único ordenador pero los ataques DDoS han ido evolucionando – con la proliferación de botnets – hasta convertirse en una de las mayores amenazas del panorama de seguridad. De acuerdo con el Data Breach Investigations Report de Verizon en 2012 estos ataques son “más peligrosos que otras amenazas, ya sean reales o imaginarias.”

Un reciente estudio de la consultora Stratecast indica que el incremento anual de los ataques DDoS es de un 20%-45%, registrándose crecimientos de triple dígito de ataques DDoS basados en aplicación. Asimismo Stratecast señaló que los ataques tipo DDoS son unas de las herramientas más importantes utilizadas por la comunidad hacker, normalmente como parte de un ataque combinado.

Más recientemente, los investigadores han determinado que los ataques DDoS están creciendo, no solo en términos de frecuencia, sino también en consumo de ancho de banda y duración. Hace una década, por ejemplo, los ataques de 50 Gbps solo se producían una o dos veces al año. Actualmente, tales ataques se registran casi semanalmente.

Además, los ataques son cada vez más sofisticados ya que están más controlados. En vez de lanzar una avalancha de datos, los atacantes empiezan una operación y se adaptan al tipo de ataque u objetivo dependiendo del resultado.

Los ataques DDoS continuarán proliferando impulsados, entre otros, por el mayor acceso de los dispositivos móviles de los usuarios a las redes corporativas. El grupo de amenazas de Fortinet, FortiGuard Labs, ha descubierto más botnets móviles como Zitmo que operan como las redes zombies de los PCs. FortiGuard Labs predice que en 2013 nos tendremos que enfrentar a nuevas formas de ataque de denegación de servicio que afectarán tanto a los PCs como a los móviles.

Los costes serán tremendos. A la pérdida por el tiempo de caída del sistema, habrá que sumarle los costes correspondientes por el análisis y la recuperación, pérdidas en el rendimiento de los trabajadores, multas por no cumplir con los niveles de servicio establecidos y daño a la reputación de la marca.

La evolución de los ataques DDoS subraya la urgencia con la que muchas empresas deben adoptar una estrategia de seguridad para defenderse. Hay medidas proactivas que estas pueden poner en marcha para reforzar sus defensas y reducir el riesgo de ataque. En lugar de eliminar por completo todo el tráfico DDoS, la estrategia debe tratar de mantener estos servicios – especialmente los críticos – con la mínima interrupción. Para lograrlo, la empresa puede evaluar el entorno de red y definir un plan de respuesta. Entre otros, el plan debe contemplar un servicio de backup y recuperación, vigilancia adicional y concebir maneras de restaurar el servicio lo más rápido y efectivamente posible. 

Para una protección proactiva los tres pasos fundamentales son la implementación de una estrategia de defensa multicapa, protección de los servidores DNS y otras infraestructuras críticas y mantenimiento de la visibilidad y control de la infraestructura TI.

Defensa multicapa

Una estrategia multicapa es crucial en la protección frente a DDoS y esto implica soluciones on-premise diseñadas para defender y mitigar las amenazas desde todos los puntos de la red. Estas herramientas ofrecen técnicas contra spoofing, autenticación del host, nivel del paquete y umbrales específicos de la aplicación, verificación del estado y protocolo, ejecución de la línea base, descubrimiento del tiempo de reposo, listas negras/listas blancas y listas de control de acceso basadas en geolocalización.

Al considerar las soluciones DDoS dedicadas, las organizaciones deben asegurarse de que les permitirá no sólo detectar los ataques DDoS en la capa de aplicación y bloquear eficazmente las técnicas y patrones comunes o personalizadas, sino que tendrán la capacidad de "aprender" a reconocer tanto los patrones de comportamiento del tráfico aceptables y anómalos basados en el flujo de tráfico. Este perfil de tráfico es clave, ya que ayuda a detectar y restringir más rápidamente las amenazas reduciendo los falsos positivos.

Para una mayor eficiencia operacional, las compañías deberían buscar soluciones DDoS con características de virtualización avanzada y geolocalización. 

Con virtualización, los administradores de política pueden establecer y supervisar los dominios de múltiples políticas independientes dentro de un único dispositivo, evitando que los ataques que afectan a un segmento de red lo hagan en otro. Este mecanismo es también efectivo en la escalada de la defensa – en vez de confiar en un único conjunto de políticas, los administradores de TI pueden definir previamente distintos grupos lo que permite aplicar políticas más restrictivas si las anteriores no fuera adecuadas.

Las tecnologías de geolocalización, por otro lado, permiten a las compañías bloquear el tráfico malicioso procedente de fuentes no conocidas o sospechosas. Esto reduce la carga y el consumo de energía de los servidores backend eliminando el tráfico de otras áreas de fuera del mercado geográfico de la organización. 

Salvaguardar los servidores DNS

Como parte de una estrategia defensiva global, las organizaciones deben proteger sus activos e infraestructura crítica. Muchas firmas mantienen sus propios servidores DNS para la disponibilidad de la web, que son normalmente el primer sistema al que se dirigen los ataques DDoS. Una vez que los servidores DNS son dañados, los atacantes pueden tumbar las operaciones web de una organización, creando una situación de denegación de servicio. Las soluciones disponibles en el mercado para la protección del DNS ofrecen seguridad frente a transacciones ID, intrusiones en el mecanismo de asignación del puerto UDP.

Visibilidad y control de la infraestructura

Las organizaciones necesitan mantener la vigilancia y el control de sus sistemas antes, durante y después del ataque. Está claro que contar con un panorama integral del entorno TI permite a los administradores detectar ataques y problemas en el tráfico de red a la vez que les dota de capacidad de inteligencia y de análisis para implementar medidas de mitigación y técnicas de prevención apropiadas. Las mejores defensas incorporarán un control continuo y automatizado, con sistemas de alerta con alarmas y que desencadena un plan de respuesta que debería detectar tráfico DDoS.

Es importante tener visibilidad y control granular de toda la red. La visibilidad del comportamiento de la red ayuda a los administradores a descubrir la causa del ataque y bloquear el tráfico a la vez que permite que el tráfico legítimo fluya libremente. Al mismo tiempo capacita a los administradores para realizar análisis históricos en profundidad de ataques en tiempo real. Además, las funciones avanzadas de rastreo de la fuente pueden ayudar a la localización de la dirección de un ataque, e incluso comunicarse con el administrador del dominio criminal.

Con el foco en el negocio

Los ataques DDoS – como otras amenazas de seguridad – continuarán creciendo. La naturaleza cambiante de las tecnologías DDoS requerirán que las compañías cambien de paradigma lo que implica una mayor previsión y defensas más proactivas.

Por lo tanto, las organizaciones necesitan para reforzar sus planes de respuesta y los activos de su infraestructura vis-à-vis ante las amenazas DDoS actuales. El primer paso es empezar a apuntalar las defensas de los servidores y datos críticos. También es necesario que implementen capacidades de gestión y monitorización que les permita tener una visión global de toda la red. Por último, los administradores de TI deberían poner en marcha medidas de seguridad que permitan identificar rápidamente la fuente de la amenaza, minimizar el impacto del ataque y restaurar los servicios tan pronto sea posible.

Sólo aplicando estas medidas las compañías podrán dejar de preocuparse por los ataques DDoS y centrarse en el desarrollo de su negocio.