La mayor dependencia de las empresas en el trabajo remoto y la conectividad a Internet durante la pandemia Covid-19, a su vez, aumentó el potencial disruptivo de los ataques distribuidos de denegación de servicio (DDoS), que amenazan con abrumar los servidores comerciales y la infraestructura de red a menos que se aplique la mitigación adecuada. en su lugar.
Si bien los ataques DDoS tienden a ser bastante poco sofisticados y de pequeña escala, son muy baratos y fáciles de organizar, ya que solo requieren que el atacante envíe más tráfico de Internet del que la infraestructura de red puede manejar. Si tiene éxito, un ataque DDoS puede desconectar a empresas enteras en cuestión de minutos y detener por completo su capacidad para hacer negocios.
Sin embargo, muchas empresas aún no perciben los DDoS como una amenaza importante, en gran parte debido a que son menos frecuentes que otros ciberataques, así como a la percepción de que son costosos de mitigar y los llevan a cabo casi exclusivamente atacantes con motivaciones políticas.
A pesar de su menor frecuencia, la directora de seguridad de la información (CISO) de Nominet, Cath Goulding, señala que ha habido un aumento significativo en los ataques DDoS en los últimos años, y que la escala de los ataques «ha aumentado exponencialmente», es decir, organizaciones. ya no puede permitirse el lujo de dejar de poner en práctica medidas de mitigación.
Percepción de riesgos y costos
Al comparar DDoS con los ataques a la capa de aplicaciones web, el director de tecnología y estrategia de seguridad de Akamai, Richard Meeus, dice a Computer Weekly que su frecuencia es “un orden de magnitud menor”.
«[Web application layer attacks] están en curso todos los días, hay millones y millones ”, dice, y agrega que Akamai registró un aumento de tres veces en este tipo de ataques durante los nueve meses desde el 1 de enero de 2020.
“Donde veríamos millones de WAF [web application firewall] ataques, veríamos decenas o cientos de ataques DDoS … por lo que una organización puede pasar mucho tiempo y nunca ver un ataque DDoS «.
Meeus agrega que, debido a la prevalencia de ataques a la capa de aplicaciones web, es más fácil para las organizaciones ver el beneficio de invertir en medidas de mitigación, mientras que se percibe como más fácil para las organizaciones aceptar los riesgos de los ataques DDoS.
“Es ese balance de riesgos lo que tienes que hacer, y la percepción no es necesariamente que no hay nada que podamos hacer al respecto, sino ‘¿voy a ser yo?’”, Dice.
Corroborando este sentimiento, el CTO de Cloudflare, John Graham-Cumming, agrega que las organizaciones pueden abstenerse de adoptar medidas de mitigación de DDoS en el sentido de que no necesariamente les sucederá.
“Muchos de los ataques DDoS de alto perfil a menudo han tenido un ángulo activista o político, por lo que es bastante fácil para las organizaciones decir: ‘No estoy involucrado en algo que va a molestar a Anonymous, no estoy haciendo algo político, por lo que es poco probable que me suceda ‘”, dice. «La desafortunada realidad es que mucho de lo que sucede con los ataques DDoS es en realidad simplemente económico».
Estas motivaciones económicas se reflejan en la creciente prevalencia de los ataques DDoS basados en rescates durante 2020, según los cuales los perpetradores piden dinero para no lanzar el ataque en primer lugar o para detener uno que ya está en curso.
“Las personas que lo hacen están muy bien organizadas, por lo que las empresas deben pensar en DDoS como uno de los riesgos del negocio, especialmente cuando hemos entrado en este entorno en el que la gente trabaja desde casa y con conexiones a Internet y cómo usamos son muy importantes para el funcionamiento del negocio ”, dice Graham-Cumming.
Agrega que si bien la mitigación de DDoS ha sido tradicionalmente muy costosa, la creciente prevalencia de la computación en la nube ha reducido el costo para hacerla mucho más asequible.
“El modelo anterior de mitigación de DDoS se basaba principalmente en hardware súper especializado en un número limitado de ubicaciones, por lo que era muy costoso implementarlo, la nube lo ha hecho mucho más asequible”, dice.
Estrategias de mitigación
Según Graham-Cumming, las empresas deberían iniciar el proceso de implementación de medidas de mitigación mediante la realización de una diligencia debida exhaustiva de todo su patrimonio digital y su infraestructura asociada, porque eso es lo que están haciendo los atacantes.
“La realidad es que, especialmente para la gente del ransomware, estas personas están averiguando qué es lo que vale la pena atacar en su organización”, dice.
“Puede que no sea la puerta de entrada, puede que no sea el sitio web de la empresa, ya que puede que no valga la pena; podría ser un enlace crítico a un centro de datos donde tiene una aplicación crítica en ejecución, por lo que vemos a la gente haciendo reconocimiento para averiguar qué es lo mejor para atacar.
“Haga una encuesta de lo que ha expuesto a Internet, y eso le dará una idea de hacia dónde pueden ir los atacantes. Luego, observe lo que realmente necesita exponerse a Internet y, si lo hace, existen servicios que pueden ayudar «.
Esto está respaldado por Goulding en Nominet, quien dice que si bien la mayoría de las empresas razonablemente maduras ya habrán considerado la mitigación de DDoS, las que no lo han hecho pueden comenzar identificando qué activos necesitan para mantener la disponibilidad y dónde se encuentran.
Una vez que las empresas han identificado sus puntos débiles, Gould agrega que deben practicar regularmente sus respuestas a incidentes para que comprendan cómo afectaría a la organización y sus activos.
Estas sesiones de práctica pueden ayudar a las organizaciones a recuperarse de un ataque real y garantizar que la denegación de servicio no se utilice como una cortina de humo para otros ciberataques.
“Lo que sucede después de un ataque DDoS es que las personas intentan recuperar sus servicios. Los enrutadores y los firewalls, por ejemplo, necesitan diferentes períodos de tiempo para iniciarse y, a menos que los siga en el orden prescrito, puede terminar con un agujero durante unos minutos ”, dice Meeus. “Es ahí donde comúnmente se colocan troyanos en la red para intentar explotarlos”.
Elegir proveedores y el papel de la nube
Con esta comprensión de sus activos y cómo volver a ponerlos en línea, las empresas deben investigar y acercarse a los proveedores potenciales para determinar cuál sería el mejor para sus necesidades.
Este proceso, de acuerdo con Graham-Cumming, debe comenzar con los proveedores preexistentes de la organización para ver lo que ya está implementado o pagado, antes de pasar a firmas más especializadas si es necesario.
«Otra cosa que busco si va a buscar un proveedor es qué tan rápido mitigan realmente un ataque», dice Graham-Cumming.
«Mucho de lo que sucederá con los ataques es que llegarán por un período corto de tiempo, y eso puede ser muy perturbador, pero es necesario detenerlos muy rápido … Buscaría a alguien que pueda detener esto en segundos».
Hay dos tipos de proveedores para la mitigación de DDoS: los que realizan la mitigación de DDoS ‘siempre activa’, por lo que todo el tráfico pasa a través de su red todo el tiempo para detectar problemas, y los que lo hacen ‘a pedido’, por lo que una empresa bajo El ataque debe contactarlos para iniciar la mitigación.
“On-demand era muy común, pero ‘siempre encendido’ se ha vuelto más común porque es mucho más fácil para el usuario final, ya que no tiene que hacer nada. La mitigación ocurre de inmediato, lo que reduce el tiempo de inactividad ”, dice.
Para Meeus, la mitigación efectiva de DDoS comienza en la nube, lo que puede realizarse a través de una red de entrega de contenido (CDN) o mediante la creación de un centro de depuración de tráfico.
“La CDN es eficaz cuando solo protege un sitio web, por lo que para muchas organizaciones más nuevas que dependen del alojamiento en la nube o solo tienen una dirección IP porque son como un sitio web de comercio electrónico y todo se ejecuta a través de ellas, entonces la CDN es una gran plataforma porque hay muchas capas de seguridad que podemos poner en eso para mitigar los DDoS ”, dice.
Sin embargo, para las empresas heredadas más antiguas, incluidas las empresas que tienen muchos centros de datos dispares o una configuración híbrida con servicios y alojamiento en diferentes ubicaciones, los centros de limpieza son la mejor opción.
Estos centros pueden proteger todo el espacio de propiedad intelectual de una empresa y funcionan analizando todo el tráfico para determinar qué es «limpio» y qué se puede dejar pasar.
«Se trata de sentarse frente al cliente en la nube, en el borde de Internet, y deshacerse de todas las cosas malas antes de que lleguen al espacio del cliente», dice Meeus.
«Si el conducto de la conexión que tienes a Internet es de un gigabit por segundo [Gbps], un ataque DDoS de 1.1 Gbps lo dejará sin conexión, así de simple. Siendo realistas, tienes que alejar la protección DDoS y moverla al borde «.
Gould agrega que es importante configurar la empresa para que pueda registrar el tráfico de la red, de modo que cuando ocurra un ataque DDoS, la información pueda ser entregada a la policía y utilizada para analizar forense el evento para entender cómo sucedió y poner en colocar más mitigación.