Companies Under Threat Of DNS Attacks Must Measure Risk Appetite

Las empresas bajo la amenaza de ataques DNS deben valorar el apetito por el riesgo

Por Mark Stone

Los catastróficos ciberataques contra Dyn que tuvieron lugar el año pasado han hecho que muchas empresas reconozcan la vulnerabilidad de los sistemas de nombres de dominio (DNS).

No se pudo acceder de forma temporal a enormes corporaciones como Twitter, Netflix y Amazon porque dependían de Dyn como un servicio DNS para conectar a sus clientes a sus sitios web.

Dyn en octubre sufrió un ataque distribuido de denegación de servicio (DDoS), que implica una red de equipos infectados que trabajan en sincronía para bombardear un servidor con tráfico hasta que se colapsa bajo la presión.

La botnet Mirai utilizada en el ataque Dyn fue significativa por su conscripción de dispositivos conectados a Internet, como cámaras digitales y reproductores de DVD, mostrando lo que puede suceder cuando se explota una deficiencia en el Internet de las cosas.

iStock
La medida en que necesita protegerse de un ataque similar a DNS depende de la naturaleza de su empresa.

Al igual que otras formas de ataques de DDoS, los ataques DNS puede causarle daños, y pueden ser costosos. Por cada minuto de inactividad, se pueden perder ingresos de miles de dólares.

Una encuesta reciente de Neustar, proveedor de servicios de información global, desveló que en el 63 % de los ataques DDoS, las empresas perdieron al menos 100 000 USD por hora durante los periodos de uso máximo.

Ataque Water Torture

Existen muchas variaciones de los ataques DNS, y una de ellas, DNS Water Torture, destaca por su sigilo.

Martin McKeay, experto principal en seguridad de Akamai Technologies, explica que este ataque puede sobrecargar un servidor DNS con una ola de solicitudes de cadenas aleatorias creadas por sistemas en una botnet.

Su funcionamiento consiste en engañar a los servidores DNS que utilizan los proveedores de servicios de Internet de todo el mundo mediante ataques contra servidores DNS autorizados que usan las empresas. Y cuando estos servidores DNS empresariales están inundados de solicitudes, dejan de responder y los clientes no pueden acceder a su sitio web.

"Las defensas tradicionales no van a proteger contra este ataque", explica McKeay. "Si su servidor DNS tiene demasiada carga, las solicitudes reales no pueden entrar, los recursos se bloquean y la empresa se desconecta".

La mayoría de las personas no están familiarizadas con este tipo de ataque, afirmó, pero necesitan prepararse para ello.

Mecanismos de defensa DNS

Mientras muchas empresas confían en un solo proveedor de servicios externo para el sistema de nombres de dominio (DNS), McKeay sugiere que una de las mejores medidas de prevención es implementar dos o más proveedores. Los ataques a Dyn demostraron lo que puede suceder cuando no existe una backup.

La medida en que necesita protegerse de un ataque similar a DNS depende de la naturaleza de su empresa. Si su empresa depende de su sitio web o servicio con acceso a Internet como recurso fundamental, es probable que sea necesario tomar precauciones adicionales. Sin embargo, según McKeay, las empresas deben responder ellas mismas cuál es su necesidad.

"Es fundamental que su empresa decida qué apetito por el riesgo tiene", afirma. "¿Podrá sobrevivir al 95 % de los ataques que existen? O ¿necesita protegerse de todo?"

El tiempo de inactividad sufrido debido a un ataque Water Torture puede tener un costo financiero enorme. Para algunas empresas, el coste de 15 minutos de inactividad puede justificar varios años de protección.

El estudio Neustar, que encuestó a 849 organizaciones de sectores retailer financieros y tecnológicos, reveló que se perdieron colectivamente unos 2200 mil millones de dólares debido a los ataques DDoS durante los últimos 12 meses, con un promedio de 2500 millones de dólares por organización.

Para el director jefe de seguridad o el responsable de información actual, centrarse en los pilares fundamentales de la seguridad es primordial, independientemente de si las medidas defensivas están destinadas a prevenir el ataque DNS Water Torture u otras amenazas.

"No se preocupe por el próximo gran acontecimiento o por comprar una caja brillante", aconseja McKeay. "Manténgase al día, sea consciente de lo que está sucediendo y tenga la motivación personal para mantenerse informado".

Mark Stone trabajó en tecnología de la información durante muchos años antes de dedicarse a escribir sobre ello. Vive en Canadá.

Related CIO Content