Defense By Design: How To Dampen DDoS Attacks With A Resilient Network

Defensa a conciencia: cómo reducir los ataques DDoS gracias a una red resistente

Por Scott Bowen

La historia de los ataques distribuidos de denegación de servicio (DDoS) está repleta de innovación y creatividad diabólica. Estos continúan cambiando de forma y de método y sigue atormentado la forma de prevenirlos.

Nadie puede crear una protección 100 % efectiva contra los ataques DDoS. Pero los directores de tecnologías de la información (CIO), directores de seguridad de la información (CISO) y especialistas en sus equipos cuentan con métodos eficaces para prepararse ante ataques DDoS, reaccionar de forma adecuada y recuperarse de estos mediante la evaluación del riesgo y la creación de una red resistente que se adapte a otra que combine arquitectura y procedimientos que permitan limitar la posibilidad y efectos de un fallo sistemáticos.

Defense By Design: How To Dampen DDoS Attacks With A Resilient Network
Incluso una breve interrupción o ralentización puede perjudicar los ingresos, el servicio al cliente y la reputación.

Un ataque DDoS se puede definir por su objetivo: ralentizar o detener la actividad empresarial al impedir la capacidad de respuesta digital. Los atacantes utilizan múltiples sistemas pirateados para apuntar a un solo sistema e inundarlo con tráfico de diferentes direcciones.

Dichos ataques pueden afectar a las capas de la aplicación, acumular solicitudes de datos falsas o saturar un sistema con datos no deseados. También pueden engañar a una parte de un sistema para saturar a la otra parte con solicitudes de datos.

"Un ataque DDoS también puede actuar como una cortina de humo para otros ataques que ocurren simultáneamente, incluidos los ataques de aplicaciones web que roban datos confidenciales", indica John Summers, vicepresidente empresarial y director general de Akamai Technologies.

El próximo ataque

El enorme ataque de la botnet Mirai de octubre de 2016 fue diferente a todo lo que se conocía: aproximadamente medio millón de dispositivos, incluidos DVR y cámaras web, se convirtieron en un ejército atacante de "bots", como se explica en el informe sobre el estado de Internet en materia de seguridad de Akamai.

Un ataque de estas dimensiones no es algo que ocurra todos los días, según Eugene Spafford, director ejecutivo emérito del Centro de educación e investigación en seguridad de la información de la Universidad de Purdue. "Pero habrá más ataques a gran escala, tal vez no sean comunes ni habituales, pero ocurrirán".

La expansión de la "superficie de ataque" del Internet de las cosas (IoT) desempeñará un papel fundamental en esas futuras acciones. "Debido a que cada vez hay más usuarios y elementos online, y los atacantes tienen la capacidad de subvertir grandes cantidades de ellos y convertirlos en elementos como botnet, los ataques DDoS solo van a crecer", comenta Spafford.

Señaló que, hasta la fecha y por distintas razones, la mayoría de los ataques DDoS conocidos habían tenido una duración relativamente corta, por lo que no todos los ataques requieren una gran capacidad de resiliencia, pero se pueden afrontar con paciencia. "En el futuro, no estoy seguro de cuánto tiempo seguirá siendo así", señaló.

Incluso una breve interrupción o ralentización puede perjudicar los ingresos, el servicio al cliente y la reputación. Y un ataque a una empresa puede dañar todo el flujo de negocios. Por ejemplo, un ataque DDoS a un transportista significa que los paquetes se acumulen en los puertos. Los productos no llegan a los puntos de venta o distribución. Los clientes intermedios buscan en otra parte, y los comerciantes pierden dinero por un problema que no es suyo directamente.

Evaluación de los riesgos

La investigadora de ciberseguridad Wendy Nather, estratega principal de la seguridad de Duo Security, explicó que no todas las empresas deben prepararse para un ataque del tamaño o sofisticación de un ataque de botnet gigante. Más bien, cada negocio debe evaluar su riesgo particular y "profundizar en la inteligencia ante amenazas para descubrir quién podría estar motivado para atacarlos y qué tipos de ataques podrían usarse", explica.

Una operación más pequeña, como un negocio minorista independiente, no necesita protegerse como lo hace un banco, según Nather, que anteriormente dirigía la seguridad regional en un banco importante en Europa.

Para estar preparado, un director de seguridad de la información (CISO) debería, en primer lugar, evaluar el tamaño y la naturaleza del perfil de riesgo de la empresa en su mercado principal y, a continuación, crear un plan para contrarrestar los tipos más esperados de ataques DDoS.

Los riesgos a menudo son específicos para los sectores y sus normativas, que difieren según el país o la región. Spafford señaló numerosos ejemplos del impacto normativo en la solidez empresarial. Las operaciones de plantas de energía nuclear están obligadas a tener la capacidad informática necesaria para resistir los cambios no autorizados en el código. El sector médico debe tener redes capaces de garantizar la confidencialidad de los registros. El sector financiero debe mantener y almacenar sus datos de manera segura para que se pueda auditar de forma correcta.

No hay ningún enfoque modelo para las normativas, según Spafford. "Necesita conocer el contexto de su negocio en el marco normativo", señaló.

Arquitectura para la resiliencia

La arquitectura de red proporciona la base para la resiliencia. Lo que una organización desea evitar es operar con una red completamente plana, es decir, una red que comparta ancho de banda en su arquitectura, haciendo que cada parte del sistema esté disponible. El ataque a una parte puede abrir acceso a todo. "La buena práctica de seguridad indica particionar la red", señala Spafford.

En otras palabras, una organización debería poder aislar las diferentes secciones de su red para evitar la propagación de cualquier tipo de ataque. La parte complicada es tener en cuenta esto a medida que se crea o se expande una red, cuando es preferible o necesario establecer conectividad entre diferentes secciones, pero supone un riesgo.

Desde un punto de vista arquitectónico, una red resistente también debería tener redundancia en un gran número de sus componentes y la capacidad de redireccionar el tráfico de un conjunto de equipos a otro si es necesario, según Nather.

Si una red depende del tráfico de gran volumen entre diferentes niveles de aplicaciones, por ejemplo, varios sitios web complejos, no debería haber una sola base de datos en el back-end, explica.

Nather destacó dos tácticas clave: Una red resistente debe tener varios puntos de control en los que los administradores puedan iniciar sesión y realizar cambios. Y no se debe confiar en un único proveedor de servicios de Internet, sino que se deben tener varios puntos de acceso potencial a través de diferentes proveedores.

Preparación para el ataque

La creación de un conjunto de procedimientos para abordar un ataque no puede cubrir todas las variables imaginables, sobre todo si tenemos en cuenta cómo lo creativos que son los ataques DDoS. Pero tener un protocolo establecido, documentado en un "runbook", puede ayudar mucho a aclarar quién hace qué en caso de un ataque.

Según Nather, al crear un procedimiento para el ataque, una organización debe designar quién tiene el trabajo supervisar el tráfico de entrada para detectar posibles patrones de ataque y asegurar que esos miembros del personal tengan la capacidad de informar de sus hallazgos a las personas correctas en la jerarquía de la organización.

En el caso de un ataque real, "Debe saber cómo incluir a la gerencia y personas principales de los Departamentos Legales y de Relaciones Públicas, y a los empresarios," indica Nather. "Podría querer implicar a las autoridades".

Según Spafford, los operadores de sistemas deben saber de antemano cómo bloquear o desconectar las principales conexiones entrantes de un sistema y, a continuación, pasar al proceso de restablecer las conexiones de servicio requeridas.

En cuanto a los ensayos de ataque, "las empresas con éxito practican esto regularmente", dijo Nather. Según el escenario de ataque determinado, los representantes de las unidades de negocios y tecnología de la empresa deben reunirse, en una teleconferencia o en una reunión, para trabajar sobre el papel y la reacción de todos ante un ataque DDoS.

"El hecho de practicar es como construir un músculo", comenta Nather.

Resiliencia en acción

Cuando ocurre un ataque, y una empresa está lo suficientemente preparada para que no le pille totalmente por sorpresa, la reacción esencial es responder con mayor ancho de banda y más potencia de máquina en cualquier momento. "Si tuviera más ancho de banda y máquinas que con las que estoy siendo atacado, sería la solución", dijo Spafford.

Puede ser que la infraestructura esté en la nube. "Incluso las organizaciones más grandes no tienen la capacidad de repeler los ataques mayores", indica Summers. "La única forma de garantizar la resistencia es con una capa en la nube de capacidad de ampliación y bajo demanda".

Una organización también debe tener la agilidad de cambiar las direcciones IP, los nombres de dominio y el enrutamiento para que, dependiendo de la naturaleza del ataque, el sistema objetivo pueda moverse a diferentes direcciones y hardware, explica Spafford.

Y no ignorar la calidad del sistema de nombres de dominio (DNS) que utiliza. Es posible que el DNS predeterminado de su proveedor de servicios no presente la capacidad necesaria cuando se produzca un ataque. Cuando sea posible, use proveedores de DNS de backup para que pueda cambiar si el principal sufre un ataque DDoS que afecte a su negocio.

A veces una organización puede "perforar" un ataque. Es decir, canalice el tráfico de ataque de manera que el atacante piense que el tráfico va hacia el objetivo previsto, pero en realidad se envía a un espacio controlado donde se puede analizar.

Entonces, si tiene a los tecnólogos en el equipo de su empresa o puede acceder a ellos a través de un aliado externo, podría hacer un análisis forense en tiempo real para encontrar y aprovechar una debilidad en la aplicación de ataque, según Nather, y dañar o cancelar su funcionalidad.

Revisión posterior a la acción

Una vez que ya está protegido del ataque, Spafford recomienda una revisión de acción posterior que pregunta:

  • ¿Detectamos el ataque lo suficientemente pronto?
  • ¿Tomamos las medidas adecuadas para continuar con los servicios que nuestra empresa considera críticos?
  • ¿Nuestra respuesta funcionó?
  • ¿Hay aspectos del ataque que nos hemos perdido?
  • ¿Hay algún tipo de efecto secundario que hemos perdido?

Comparta la información de la revisión posterior a la acción con aquellos socios y aliados que deberían verla, como su servicio de protección DDoS o una consultora de seguridad. Y si un aliado "le proporcionó información antes o durante el ataque, ¿la utilizó adecuadamente?" indica Spafford.

Ventajas de resiliencia

La resiliencia afecta el balance final del negocio, según Summers. "La resiliencia efectiva a un ataque DDoS significa menos tiempo de inactividad, y eso se traduce en un servicio al cliente y operaciones comerciales ininterrumpidas, y menos riesgo de pérdida de ingresos", afirma.

La resiliencia le permite cumplir su promesa de una experiencia de calidad para el cliente. Sus clientes pueden encontrar lo que desean rápidamente, comprarlo y dedicarse a sus cosas. En una era de clientes nativos digitales que esperan un rendimiento óptimo del comercio electrónico, incluso una ralentización menor puede perjudicar a las empresas.

Por último, una red resistente puede evitar que el nombre de su empresa aparezca en la lista de las últimas víctimas de DDoS. Si su reputación depende de su capacidad para continuar con las operaciones y las comunicaciones, indica Spafford, entonces necesita una red que pueda derrotar o neutralizar los efectos de un ataque.

Scott Bowen es escritor y editor independiente con publicaciones en True/Slant.com, ForbesTraveler.com y Fortune Small Business. Su ficción ha sido antologizada en Tight Lines: Diez años en el periódico Yale Anglers'.

Related CIO Content