Gorodenkoff - stock.adobe.com

Cómo el scrubbing de tráfico puede proteger contra los ataques DDoS

Aunque la mayoría de los servicios de scrubbing pueden ayudar a defenderse de los ataques distribuidos de denegación de servicio, se requiere una estrategia de mitigación más completa para permanecer sin daños.

Lo que posiblemente fue el mayor ataque distribuido de denegación de servicio (DDoS) en febrero de 2018 se detuvo en seco después de 20 minutos porque existía un servicio de protección contra DDoS.

El ataque a GitHub, un popular servicio de administración de código en línea utilizado por millones de desarrolladores, experimentó un tráfico entrante de 1.3Tbps, bombardeado por paquetes a una tasa de 126.9 millones por segundo. A los 10 minutos del ataque, GitHub hizo sonar la alarma y dirigió su tráfico a su servicio de mitigación DDoS Akamai Prolexic, el cual solucionó y bloqueó el tráfico malicioso.

GitHub no está solo, ya que los ataques DDoS han crecido en intensidad y se han vuelto más sofisticados. Desde 2017, las empresas en la región de Asia-Pacífico (APAC) comenzaron a experimentar ataques DDoS casi a la misma velocidad que las empresas norteamericanas, que tradicionalmente han sido las más atacadas, dijo Shahnawaz Backer, especialista en seguridad de F5 Networks para la región APAC, basado en datos de F5.

Y las organizaciones de la Ascociación de Naciones del Sudeste Asiático (ASEAN) no se quedan quietas. El mercado DDoS en la ASEAN ha experimentado un crecimiento significativo, representando el 20% del mercado APAC, según Frost & Sullivan.

Un número creciente de empresas está invirtiendo en soluciones DDoS, especialmente en servicios de mitigación DDoS basados ​​en la nube, con un alejamiento de un mercado centrado en el proveedor de servicios.

Un ataque DDoS es una de las amenazas más complejas que las empresas pueden enfrentar. El objetivo del hacker individual, los delincuentes organizados o los actores estatales es abrumar la red, el sitio web o el componente de la red de una empresa, como un enrutador. Para empezar, las organizaciones deben determinar si un aumento en el tráfico es legítimo o si es un ataque.

"Sin una comprensión sólida de las líneas de base y las tendencias históricas del tráfico, es poco probable que las organizaciones detecten un ataque hasta que sea demasiado tarde", dijo Sherrel Roche, analista principal del grupo de investigación de servicios de TI y negocios de IDC para Asia-Pacífico.

Landbank, el mayor banco gubernamental de Filipinas, dio el paso de implementar el administrador de tráfico local BIG-IP de F5 para comprender mejor el rendimiento y el tráfico de sus aplicaciones, así como para obtener una visibilidad completa de los datos del cliente cuando ingresa y deja una solicitud. Esto permite que el equipo de seguridad inspeccione, administre y reporte transacciones fraudulentas tan pronto como sean detectadas.

Como complemento, hay un servicio de mitigación DDoS de nivel 7 de aplicación en las instalaciones para garantizar que las aplicaciones de misión crítica estén protegidas contra ataques específicos de la aplicación.

Puede ser relativamente sencillo lanzar un ataque DDoS contratando servicios DDoS disponibles, e incluso personas con poca o ninguna habilidad técnica pueden lanzar un ataque dañino.

Uno de estos ataques, que generó más de 170Gbps de tráfico, se organizó en salas de chat en la plataforma de distribución de juegos Steam e IRC (chat de relevo de internet), con muchos miembros participantes utilizando herramientas descargadas. Estos incluyeron un tutorial de YouTube realizado por un desarrollador de 12 años, dijo Fernando Serto, jefe de tecnología y estrategia de seguridad de Akamai Technologies APAC.

Parte del desafío de DDoS es la complejidad de estos ataques. No solo hay varias categorías de métodos de ataque, sino que cada categoría tiene una gran cantidad de ataques diferentes. El mismo objetivo también puede ser atacado usando varios vectores de ataque diferentes.

Además de eso, algunos ataques pueden ser difíciles de detectar. Un ataque notable involucró abrumar al servidor DNS (sistema de nombres de dominio) del objetivo a través de una serie de ráfagas que duraron varios minutos, en lugar de un ataque sostenido.

"Esto condujo a la fatiga del defensor ya que estas ráfagas de tráfico llegaron durante un largo período de tiempo, y tanto la detección como la mitigación de este tipo de ataques se vuelven muy difíciles", dijo Serto.

Los ataques DDoS son diferentes a otros ataques cibernéticos, donde los parches y los dispositivos de seguridad instalados localmente pueden bloquear un ataque por completo. El cálculo de defensa para la denegación de servicio es diferente porque ninguna organización puede evitar o bloquear todos los ataques DDoS por sí misma, dijo el analista senior de Gartner, Rajpreet Kaur.

Así que la decisión de invertir en la protección DDoS tampoco es fácil. La mitigación de DDoS es una inversión costosa, que las organizaciones no eligen fácilmente a menos que ellos o sus competidores hayan sufrido un ataque.

"Si bien las empresas multinacionales y mundiales invertirán, el costo puede disuadir a las empresas locales más pequeñas", dijo Kaur.

Además, la infraestructura de TI se está volviendo más compleja a medida que las empresas mueven sus aplicaciones e infraestructura a la nube, lo que requiere soluciones DDoS para atender diferentes entornos, dijo el analista de la industria de seguridad de redes de Frost & Sullivan, Vu Anh Tien.

Limpiar todo a fondo

En lo que GitHub se basó para contrarrestar el ataque masivo en febrero de 2018 fueron los servicios de limpieza o scrubbing, una técnica de mitigación DDoS común. Usando este método, el tráfico destinado a un rango de direcciones IP en particular se redirige a los centros de datos, donde el tráfico de ataque se "borra" o se limpia. Solo el tráfico limpio se reenvía al destino objetivo.

La mayoría de los proveedores de depuración de DDoS tienen de tres a siete centros de depuración, generalmente distribuidos globalmente, dijo Kaur de Gartner. Cada centro consta de equipos de mitigación DDoS y grandes cantidades de ancho de banda, que pueden ser más de 350 Gbps, que llevan el tráfico al centro. Cuando los clientes están bajo ataque, "presionan el botón" para redirigir todo el tráfico al centro de scrubbing más cercano para ser limpiado.

Los clientes empresariales utilizan los centros de depuración y limpieza de dos maneras: una es enrutar el tráfico a través de los centros de scrubbing las 24 horas del día, mientras que otros prefieren enrutar el tráfico sobre pedido cuando ocurre un ataque.

Dada la complejidad de los ataques de seguridad y las infraestructuras de TI, las organizaciones están adoptando cada vez más modelos híbridos de protección, para protegerse contra el conjunto más amplio de posibles vectores de ataque. A menudo recurren a un sistema en las instalaciones, que es la primera línea de defensa, y el centro de limpieza interviene cuando la tecnología en las instalaciones se ve superada, dijo Backer.

Roche de IDC agregó: "Para que el mal tráfico se desvíe hacia un centro de scrubbing en una acción sin interrupciones para reducir el tiempo de inactividad, las organizaciones deben tener una integración perfecta entre la nube y las soluciones locales, implementadas frente a la red de una infraestructura para ayudar a mitigar un ataque antes de que alcance los datos y activos de la red central".

Si bien los centros de limpieza se utilizan principalmente para proteger la infraestructura que se encuentra en el entorno del cliente, como servidores DNS, retransmisiones de correo y otras aplicaciones basadas en IP, las organizaciones también están recurriendo a los servicios de mitigación DDoS basados ​​en la red de distribución de contenido (CDN) para proteger las aplicaciones de web y de dispositivos móviles, así como el tráfico de la interfaz de programación de aplicaciones (API) de muchas aplicaciones de internet de las cosas (IoT).

"Un enfoque basado en CDN también protegerá las aplicaciones contra ataques de capa de aplicación como la inyección de SQL, secuencias de comandos entre sitios e inclusión de archivos remotos, así como ataques de abuso de credenciales que utilizan bots para la automatización", dijo Serto de Akamai.

Kaur, de Gartner, dijo que aunque la mayoría de los proveedores de servicios de depuración ofrecen sólidas capacidades de mitigación de DDoS, las empresas deben evaluarlos en función de la capacidad de infraestructura, los niveles de servicio, la experiencia y los precios del proveedor.

"Implementar múltiples medidas de defensa de denegación de servicio en diferentes capas iría más allá de comprar un solo producto de seguridad o registrarse con un solo proveedor de servicios", dijo Kaur. "Una solución integral deberá tener en cuenta los centros de depuración en la nube, CDN, protección DNS, dispositivos DDoS de borde y aplicaciones".

Este artículo se actualizó por última vez en enero 2019

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close