La evolución de DDoS no requiere una evolución de la seguridad


Es posible que hayan aumentado en sofisticación, con consecuencias más generalizadas, sin embargo, los ataques de denegación de servicio distribuidos de hoy en día todavía se pueden combatir con herramientas convencionales.

(Imagen: Alexey Novikov a través de Adobe Stock)

(Imagen: Alexey Novikov a través de Adobe Inventory)

Los ataques distribuidos de denegación de servicio (DDoS) que destruyen los sistemas en línea son casi tan antiguos como la Internet pública. Pero a lo largo de los años, se han transformado y evolucionado hacia formas más grandes y destructivas, cada vez más centradas en la monetización. Hoy en día, a medida que las organizaciones amplían sus asociaciones y cadenas de suministro, y con empleados que trabajan desde casa debido a la pandemia, lo que está en juego es mayor que nunca.

«Los ataques DDoS han aumentado en sofisticación, así como en ancho de banda y rendimiento», dice Roland Dobbins, ingeniero principal de la empresa de rendimiento de redes NetScout. «Vemos nuevos vectores DDoS descubiertos o desarrollados por atacantes más hábiles, armados más rápidamente, incorporados a los servicios DDoS contratados y accesibles a cualquiera que pueda hacer clic con el mouse y tenga la intención de causar estragos».

Sin embargo, las técnicas fundamentales utilizadas para lanzar un ataque DDoS no han cambiado mucho, agrega Carlos Morales, CTO de la firma de análisis de redes y ciberseguridad Neustar.

«Pero la forma en que se utilizan y lo bien que se pueden personalizar para la víctima sin duda sí», dice.

Por ejemplo, docenas de variantes de Mirai han provocado que millones de dispositivos de Online de las cosas (IoT) se vean comprometidos y se utilicen para generar redes de bots, junto con servicios maduros de arranque y estrés, señala.

Sin embargo, contrariamente a la creencia well known, los ataques DDoS de hoy no son ni particularmente quirúrgicos ni precisos. En muchos casos, el impacto colateral es mayor que el daño al objetivo previsto.

«La infraestructura de World wide web compartida, los recursos en la nube, la infraestructura auxiliar de apoyo como los servidores DNS y el tráfico de espectadores son ejemplos de recursos que pueden verse interrumpidos por ataques DDoS, lo que magnifica enormemente su impacto», explica Dobbins.

Cómo han cambiado los métodos de ataque
La idea de monetizar los ataques DDoS se remonta a la década de 1990. Pero el auge de los servicios DDoS de alquiler y las criptomonedas ha cambiado radicalmente las cosas.

«Nunca ha sido más fácil para los no especialistas convertirse en extorsionadores DDoS», explica Dobbins.

Esto ha llevado a un fuerte repunte de campañas de extorsión DDoS bien organizadas, prolíficas y de alto perfil. Hoy en día, los grupos de delitos informáticos entregan solicitudes de rescate en correos electrónicos que amenazan a los objetivos con ataques DDoS. La mayoría de estos son ataques grandes por encima de 500 gigabytes por segundo, y algunos superan los 2 terabytes por segundo. Las demandas de rescate pueden llegar a 20 Bitcoin (aproximadamente $ 1 millón).

Los ataques que giran en torno a conflictos ideológicos, disputas geopolíticas, venganzas personales y otros factores no han desaparecido. Pero el enfoque en la monetización ha llevado a los atacantes a apuntar cada vez más a proveedores de servicios de Web, empresas de program como servicio y proveedores de infraestructura / servidores privados virtuales / de alojamiento. Esto incluye empresas inalámbricas y de banda ancha.

«Hemos visto que la foundation de atacantes DDoS se amplía y cambia hacia un grupo demográfico aún más joven», dice Dobbins.

Según Morales de Neustar, los ataques de reflexión y amplificación continúan siendo los más destacados debido a su anonimato inherente y su capacidad para alcanzar un ancho de banda muy alto sin requerir muchos hosts atacantes. Las aplicaciones susceptibles a un ataque de reflexión se descubren de forma rutinaria.

«Así que ahora hay docenas de entre las que pueden elegir los atacantes, aunque la reflexión de DNS y TCP SYN sigue siendo la más impactante porque no se pueden filtrar fácilmente», señala Morales.

En julio de 2020, el FBI emitió una alerta que los atacantes están utilizando protocolos de pink comunes como ARMS (Servicios de administración remota de Apple), WS-DD (Descubrimiento dinámico de servicios web) y CoAP (Protocolo de aplicación restringida) para iniciar ataques de amplificación y reflexión DDoS. Sin embargo, la agencia advirtió que la desactivación de estos servicios podría causar una pérdida de productividad y conectividad empresarial.

Los atacantes están realizando más reconocimientos mientras aumentan el número de ataques.

«Hemos visto un fuerte aumento en la cantidad de vectores de ataque por ataque y la orientación de los ataques al entorno específico de un cliente», dice Morales.

En septiembre de 2020, Neustar informó que 4.83 millones de ataques DDoS tuvo lugar en el primer semestre de 2020. Esto representó un aumento del 151% con respecto al mismo período de 2019. Increíblemente, un ataque duró cinco días y 18 horas.

Mitigar un ataque es complicado
Las herramientas convencionales para combatir los ataques DDoS son particularmente efectivas en el entorno true. La naturaleza compleja y altamente distribuida de los ataques de botnet de hoy, combinada con enormes volúmenes de tráfico y datos falsificados, dificulta, si no imposible, rastrear la fuente. Por ejemplo, las botnets conectadas a un sistema de comando y control (C&C) pueden ubicarse en cualquier lugar, y muchos propietarios de dispositivos ni siquiera son conscientes de que su dispositivo se ha visto comprometido.

Los servidores conectados a Web que responden inadvertidamente a solicitudes falsificadas complican aún más las cosas.

«Los atacantes reales pueden conectarse a la capa C&C, pero pueden hacerlo a través de redes proxy anónimas como TOR», explica Morales.

Como resultado, las organizaciones deben trabajar con un proveedor de mitigación de DDoS que tenga una visibilidad profunda de la infraestructura de TI e World-wide-web, y que pueda colaborar con pares, clientes y proveedores de tránsito para rastrear aún más el tráfico de ataques DDoS falsificados.

Fluir monitoreo y análisis basados ​​en telemetría se utiliza normalmente para detectar, clasificar y rastrear el tráfico de ataques DDoS hasta su punto de origen. Puede identificar el comportamiento del bot en los límites de intercambio de tráfico, agregación de clientes y / o tránsito, señala Dobbins. Es basic determinar si se está produciendo un ataque en función de patrones conocidos o si simplemente hay un gran aumento en el tráfico legítimo. Una vez que se comprende el patrón de ataque, el proveedor puede usar herramientas para filtrar y eliminar el tráfico de bots maliciosos, enrutar el tráfico de manera inteligente y adaptar la red para analizar mejor el tráfico buscando pistas específicas, como bloques de IP amenazantes o el punto de origen. .

La preparación es clave, dice Dobbins. Esto incluye tener un plan integral de defensa DDoS, mantenerlo actualizado y probar el marco al menos una vez por trimestre. Un proveedor de servicios debe tener las herramientas, la experiencia y la escala para detectar y analizar un ataque y automatizar la respuesta, incluida la gestión de servicios auxiliares como DNS. Sin un marco de defensa, «puede llevar horas contratar un servicio externo en caso de emergencia», advierte Dobbins. Además, ese es solo el punto de partida. Es posible que se requieran horas adicionales o incluso días para recuperar el management de la infraestructura «, dice.

Después de un ataque, es aconsejable realizar una autopsia y comprender qué salió bien y qué se podría mejorar. También es importante informar un incidente al FBI u otra agencia de aplicación de la ley relevante, incluso si no es un requisito authorized.

Morales dice: «Se trata de ser un buen ciudadano. Es una buena higiene».

Samuel Greengard escribe sobre negocios, tecnología y ciberseguridad para numerosas revistas y sitios world wide web. Es autor de los libros «Web de las cosas» y «Realidad virtual» (MIT Press). Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic