10 Formas de protegerse contra ataques DDoS

Los ataques distribuidos de denegación de servicio (DDoS) continúan creciendo en tamaño, frecuencia y complejidad, lo que amenaza a empresas y proveedores de servicios en todo el mundo. Recientemente se anunció un importante crecimiento de estas amenazas DDoS exigiendo rescate en bitcoin con miles de organizaciones de todos los sectores y en todo el mundo como objetivo. En junio, AWS reveló un ataque DDoS de 2,3 Tbps que estableció un récord, rompiendo el récord anterior, un ataque de 1,3 Tbps mitigado por Akamai en 2018.

Los ataques de denegación de servicio (DoS) no son nada nuevo: han existido desde los primeros días de la web. En 1996, un ISP de la ciudad de Nueva York experimentó el primer ataque DoS ampliamente publicitado, que dejó fuera de servicio el correo y los servidores web del proveedor durante una semana. El primer ataque DDoS documentado ocurrió en 1999 cuando un pirata informático desactivó sistemas en la Universidad de Minnesota durante más de dos días utilizando una herramienta llamada Trin00. Primitivo para los estándares actuales, Trin00 secuestró 114 computadoras diferentes para abrumar a un objetivo con el tráfico del Protocolo de datagramas de usuario (UDP).

A lo largo de los años, los malos actores se han vuelto cada vez más inteligentes, lanzando ataques DDoS cada vez más sofisticados para bloquear negocios, ocultar otros tipos de ataques o extorsionar el pago de rescates. Nosotros siempre hemos recomendado pagar ningún rescate, ya que no hay indicios de que cambie el resultado. No es sorprendente que los ciberdelincuentes a menudo dirijan ataques DDoS a empresas ricas. Nuestro informe sobre el estado de Internet de 2019 reveló que más del 40% de todos los ataques DDoS frustrados por nuestros profesionales estaban dirigidos a clientes de servicios financieros.

Si bien los ataques DDoS pueden tomar muchas formas, la premisa básica detrás de la mayoría es la misma: bombardear un objetivo con tráfico generado por múltiples dispositivos comprometidos. Los autores suelen utilizar redes de bots para montar ataques DDoS, infectando a un gran número de dispositivos conectados a Internet - como PCs, servidores y IoT - con ataques de software malicioso a gran escala.

Un terrible ataque en 2016 contra el proveedor de servicios DNS Dyn usó más de 50.000 puntos finales de IoT comprometidos para interrumpir sitios importantes como Amazon, Netflix, Twitter y Visa. Se decía que los "atacados" eran neveras inteligentes, televisores, cámaras web y otros dispositivos de IoT que a menudo están mal protegidos. En estos días, los delincuentes pueden incluso alquilar servicios de botnet en la web oscura (Darknet) para llevar a cabo ataques masivos.

Los ataques DDoS generalmente se miden en bits por segundo. Si bien los ataques más grandes superan un terabit por segundo, nuestras investigaciones muestran que la mayoría de los ataques DDoS tienen un promedio de 50 Gbps , suficiente para afectar a un pequeño ISP.

Los ataques DDoS son variados, incluyen ancho de banda volumétrico, agotamiento de recursos y ataques a la capa de aplicación.

Los ataques volumétricos de ancho de banda son el tipo más antiguo y simple de ataque DDoS. Obstruye una red, impidiendo que el tráfico legítimo llegue a su destino de manera oportuna. Estos ataques pueden ser difíciles de aislar y mitigar porque el tráfico malicioso parece provenir de fuentes legítimas).

Los ataques de agotamiento de recursos se dirigen a servidores, enrutadores, firewalls, equilibradores de carga, dispositivos del sistema de detección / prevención de intrusiones (IDS / IPS) u otra infraestructura de TI. Estos inundan servidores y elementos de red con solicitudes para consumir memoria, tablas de estado u otros recursos.

Los ataques a la capa de aplicación tienen como objetivo la capa 7 del modelo de interconexión de sistemas abiertos (OSI), explotando mensajes comunes como las solicitudes HTTP GET y HTTP POST. A diferencia de los ataques de inundación, los ataques a la capa de aplicación generalmente emplean tácticas "bajas y lentas", utilizando un flujo de tráfico pequeño y lento para atar gradualmente todos los subprocesos del servidor y evitar solicitudes legítimas. Los ataques a la capa de aplicación son difíciles de detectar porque generan tráfico de apariencia legítima. Además, los mecanismos de defensa DDoS diseñados para identificar oleadas de tráfico sospechosas a menudo no detectarán estos ataques más sigilosos.

Peor aún, a diferencia de otros tipos de ataques DDoS, los ataques lentos no requieren muchos recursos y pueden montarse fácilmente desde un solo equipo utilizando herramientas de código abierto.

Identificar y mitigar los ataques DDoS puede ser un verdadero desafío en el mundo actual. Los ciberdelincuentes perfeccionan continuamente sus habilidades y mejoran sus técnicas. Muchos utilizan una combinación de diferentes ataques para frustrar a los equipos de seguridad, evadir la detección y maximizar los resultados. Independientemente de que las aplicaciones se implementen en la nube o en su propio centro de datos, los ataques DDoS pueden interrumpir su negocio online y poner en peligro la reputación de una empresa. Aquí hay 10 acciones concretas que pueden ayudar a mantener segura una empresa  y proteger un negocio contra ataques DDoS:

Conozca su tráfico. Utilice herramientas de seguimiento de redes y aplicaciones para identificar tendencias del tráfico. Al comprender los patrones y características de tráfico típicos de su empresa, puede establecer una línea de base para identificar más fácilmente la actividad inusual sintomática de un ataque DDoS.

Desarrolle su postura defensiva en “tiempos de paz", guiado por las pautas de evaluación de riesgos de su equipo ejecutivo. Asegúrese de analizar el riesgo y priorizar la mitigación de DDoS y los esfuerzos de recuperación del servicio en términos comerciales significativos, como la pérdida de ingresos de acuerdo con los modelos estratégicos de gestión de riesgos de la información de su empresa.

Tenga una postura defensiva restrictiva del Plan B lista para ejecutarse. Estar en posición de restaurar rápidamente geografías centrales y servicios críticos para el negocio frente a un ataque DDoS.

Elimine los obstáculos políticos y las barreras organizativas que puedan afectar la agilidad de SecOps. El tiempo es fundamental a la hora de responder a un ataque DDoS. Capacite a su equipo de seguridad para implementar defensas rápidamente sin demasiada burocracia.

Incluya la ciberseguridad en la continuidad del negocio, la recuperación ante desastres y la planificación de respuesta a emergencias. Los ataques DDoS pueden ser tan devastadores para la empresa como un desastre natural y deben ser una parte integral de los planes de preparación para incidentes de su empresa. Sea proactivo.

Practica una buena higiene cibernética. Fomente una cultura corporativa orientada a la seguridad y asegúrese de que los desarrolladores y administradores de sistemas sigan las mejores prácticas del sector para la ciberseguridad.

Utilice una combinación de mitigación automatizada y humana. Los atacantes evolucionan continuamente sus tácticas para evitar la detección y flanquear las soluciones de seguridad. Necesitará la combinación adecuada de personas, automatización y procesos para mantenerse un paso por delante de los malos y defenderse de ataques cada vez más sofisticados y en continua evolución.

Considere implementar un modelo de seguridad Zero Trust. Un marco de confianza cero puede ayudar a proteger contra los ataques DDoS al imponer el acceso con privilegios mínimos y garantizar que solo los usuarios autorizados obtengan acceso a las aplicaciones y servicios críticos.

Involucre a sus proveedores para que se preparen y aborden los riesgos. Trabaje de manera proactiva con sus proveedores de servicios para evaluar los riesgos de DDoS y desarrollar planes de preparación y recuperación.

Pruebe, vuelva a probar, documente y mida. Incorpore ataques DDoS en las pruebas de penetración para simular ataques complejos, identificar vulnerabilidades y reforzar las defensas.

Ser proactivo

Los ataques DDoS pueden interrumpir su presencia online, afectar la productividad y afectar los resultados finales. Al adoptar un enfoque proactivo, alineando personas, procesos y automatización, puede defenderse de los ataques DDoS y minimizar las interrupciones del servicio. Seguir estas 10 recomendaciones fortalecerá la postura de seguridad de su empresa y reducirá los riesgos.

Federico Dios, Pre-Sales Senior Manager en Akamai Technologies