'En 2018 veremos el mayor ataque que jamás hemos visto en internet', John Summers (Akamai)

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

John Summers llegaba hace unas semanas a Madrid para hablar del actual panorama de amenazas de seguridad y el papel de los CISO, que tienen el desafío de detectar amenazas y mitigar los ataques maliciosos procedentes de botnets y atacantes sofisticados que buscan explotar vulnerabilidades web específicas. Su charla se tituló ¡Historias de guerra en la nube y el mayor ataque jamás visto!, donde además de lo anterior Summer habló de la plataforma inteligente desplegada globalmente de Akamai, de la enorme visibilidad que esta plataforma otorga a la compañía, de las últimas tendencias en ataques DDoS y capas de aplicaciones, del aumento de ataques en puntos finales API, de tendencias recientes en ransomware…

Este contenido es parte del número de junio de IT Digital Security. Descárgatela desde este enlace.

Y entre unas cosas y otras conseguimos mantener un breve encuentro en el que CTO de Akamai nos aseguró que las amenazas siguen creciendo y evolucionando y que en 2018 veremos el mayor ataque que jamás hemos visto en internet. “Desde la perspectiva de DDoS, continuamos viendo un incremento de los bots, que buscan en la infraestructura de los clientes la manera de robar los datos”. También asegura el CTO de Akamai que se observa “una tendencia continua de ataques hacia la capa de aplicaciones alejándose de la capa de red, lo que hace que sea más difícil para los clientes defenderse contra ellos”.

Hace tiempo que se habla del fin del perímetro, a pesar de lo cual los responsables de TI siguen defendiendo sus infraestructuras de una manera tradicional. Las aplicaciones web, los sites, viven fuera del centro de datos y eso hace que esas webs y las aplicaciones basadas en cloud estén en constante riesgo de unas amenazas que se hacen cada vez más sofisticadas. Habla John Summers de controles de seguridad multicapa, de “entender a tus enemigos y sus armas” y de dos categorías generales de ataques: DDoS y los que van contra la capa de aplicaciones para robar datos.

Predice Akamai que para 2020, el ataque DDoS promedio generará 1,5 Tbps de tráfico de red, pero que incluso los ataques de denegación de servicio grandes y sofisticados de hoy en día pueden fácilmente saturar los recursos de TI disponibles. “Cuanto más comprenda los matices de los diferentes tipos de ataques DDoS y amenazas web, mejor podrá determinar cómo afectarán a su red”.

John Summers asegura que el IoT es la fuente de los mayores ataques que hemos visto. “Desafortunadamente la mayoría de los dispositivos de consumo que se están vendiendo llegan al mercado con terribles fallos de seguridad”, dice el CTO de Akami, explicando que muchos de ellos son lanzados con contraseñas por defecto que son fáciles de adivinar; con fallos en el software y sin posibilidades de actualizar el firmware. “De forma que tenemos millones de dispositivos ahí fuera, en nuestras casas, en nuestros negocios, que los hackers conocen, saben cómo conectarse a ellos, cómo explotarlos… y que pueden aprovecharse para lanzar grandes ataques”.

Planteamos a John Summers si la expansión de 5G significará un cambio importante de cada al papel que los dispositivos conectados pueden tener en un ataque. Asegura el directivo de Akamai que el hecho de que 5G traiga consigo no sólo una mayor conectividad sino un mayor ancho de banda pude ser un diferenciador, “por eso es cada vez más importante conseguir que la seguridad de sea la correcta”.

Preguntamos a John Summers si la seguridad debe establecerse en las cosas o en la red. Para el directivo el primer paso está en el propio dispositivo conectado. Habla de establecer estándares que obliguen, por ejemplo, a que puedan cambiarse las contraseñas por defecto de los dispositivos que llegan al mercado. “Es algo muy simple de hacer y si hubiera reglas de fabricación que indicaran que deben ser lanzados con esa capacidad, con ese tipo de requisito… Este tipos de reglas ayudarían a que Internet sea mucho más seguro”, y añade que también debería exigirse que los dispositivos puedan actualizarse. Todo esto, dice el CTO de Akamai, “lleva tiempo”, lo que significa que las empresas tienen que suponer que los dispositivos de internet serán capaces de ataques significativos y peligrosos durante los próximos tres años como mínimo; “Y eso significa aumentar sus defensas y poner en su lugar las protecciones de la capa de aplicaciones frente a las aplicaciones de negocios de su empresa”.

Vuelve a comentar John Summers que deben establecerse las defensas en la capa de aplicaciones. Explica el directivo que son cada día más comunes; son ataques contra el Sistema de nombres de dominio (DNS) y ataques que roban datos. Los intentos de robo de datos suelen tomar la forma de ataques de inyección de comandos en los que un hacker inserta comandos en una aplicación vulnerable. El atacante puede ejecutar estos comandos para ver datos, eliminar datos o hacerse cargo de la máquina. El directivo tiene claro que “la capa de aplicación es el lugar correcto para establecer la defensa, y no en la capa de red”, y nos explica que en realidad los usuarios están en la nube, son trabajadores móviles y las aplicaciones se mueven desde y hacia la nube, y eso significa que hay un usuario en la nube tratando de acceder a una aplicación de negocios que también está en la nube… “y todo esto hace que tengamos que dejar de pensar en una protección de seguridad en la capa de red y tengamos que pensar en la capa de aplicación”.

John Summers aconseja practicar una buena higiene de aplicaciones web mediante el uso de un ciclo de vida de desarrollo de software seguro que incluye configuración segura, actualizaciones, parches y validación. Además, un firewall de aplicaciones web (WAF) con capacidades anti-DoS proporciona una sólida línea de defensa contra los ataques de la capa de aplicaciones, como la inyección SQL comúnmente utilizada para cubrir el robo de datos.

Por cierto, que el robo de datos a menudo se produce impunemente porque queda oculto en el tráfico cifrado. ¿Son las empresas conscientes del problema que genera el tráfico cifrado desde el punto de vista de la seguridad? “Todos saben que ven cada vez más tráfico en la red mundial va a HTTPS; ahora es más de la mitad y sigue creciendo”. Dice el directivo de Akamai que el tráfico cifrado es bueno para mantener las transacciones seguras, pero dificulta que las empresas sean capaces de hacer una inspección adecuada de dicho tráfico.

También hablamos con John Summers sobre DNS, en elemento que cada vez llama más la atención de los ciberdelincuentes, preguntándole si las empresas son conscientes de ello. Asegurando que DNS es el primer paso para acceder a internet, que antes de que el navegador se conecte a un sitio web va al DNS a obtener una IP, asegura el directivo que la forma más eficiente de bloquear la conexión a sitios maliciosos está en el DNS.

En realidad, si el sistema de nombre de dominio, o DNS (Domain name System) no está adecuadamente protegido puede abusarse de él. Según un reciente estudio de Efficient IP, el coste medio de un ataque DNS en Estados Unidos ha crecido un 57%, respecto a datos del año pasado, hasta los 715.000 dólares en 2018. En los doce meses anteriores a la publicación del estudio las empresas se enfrentaron a una media de siete ataques DNS. Algunas de las víctimas acabaron pagando más de cinco millones de dólares en costes asociados; y una de cada cinco organizaciones (22%) sufrió una pérdida de negocio debido a un ataque de DNS:

Dice Summer que históricamente la gente no ha pensado mucho en la seguridad del DNS, pero que eso está cambiando porque también es el lugar más rápido donde poder detectar que se ha sido infectado con malware, “por eso cada vez más empresas están buscado la seguridad en la capa DNS y esa es la razón por la que verá a cada vez más proveedores de servicios ofrecer servicios de seguridad basados ​​en DNS. Akamai tiene Enterprise Threat Protector, que permite a los equipos de seguridad identificar, bloquear y mitigar de forma proactiva amenazas como el malware, el ransomware, el phishing y la exfiltración de datos que explotan la capa DND o de nombre de dominio (DNS) y que este verano explotarán las capas HTTP y HTTPS “con el fin de ayudar a mantener a los clientes a salvo”.

 

Otro de los ataques que se está volviendo más habitual tiene que ver con el llamado crytojacking, el robo de recursos de computación para la minería de criptomonedas. Existen varios programas para hacer minería de criptodivisas, incluida Coinhive, Authedmine o Crypto-Loot; no son herramientas ilegales, pepero la falta de consentimiento por parte del usuario están haciendo que firmas de seguridad como malwarebytes las estén bloqueando.

El crypotojacking superó al ransomware como la principal amenaza de seguridad en el primer trimestre de este año. El cryptojacking es una amenaza que puede echar abajo una máquina por uso intensivo, sobrecalentando las baterías y acabar con la misma. Una de las razones por las que se ha convertido en algo muy popular, además de por su rentabilidad, es que el ciberdelincuente sólo necesita unas pocas líneas de código para hacerlo funcionar. Según los expertos, los mineros de criptodivisas pueden poner las redes corporativas en riesgo de caída, además explotar el uso de CPU

Dice el CTO de AKamai que se está viendo un crecimiento importante de esta actividad en los últimos seis meses, pero que es fácilmente detectable poniendo controles tanto a nivel de DNS como de navegador.

El ransomware, por cierto, pierde popularidad por una serie de razones diferentes, una de ellas que el mercado empieza a estar sobrecargado de esta amenaza. Al menos es lo que dicen los expertos.