Seis componentes críticos que deben formar parte de todo plan de respuesta DDoS
Las organizaciones de cualquier sector, de cualquier mercado vertical y de cualquier parte del mundo dependen de Internet para funcionar. Deben ser capaces de operar a la velocidad y escala de Internet y estar preparadas para resistir también ataques a la velocidad de Internet. Los ataques distribuidos de denegación de servicio (DDoS) son una de las mayores amenazas a las que se enfrenta cualquier organización.
La incapacidad de una empresa para resistir un ataque DDoS y recuperarse de forma eficaz y rápida puede provocar pérdidas de ingresos, incumplimientos de la normativa, impactos en la reputación de la marca y la percepción pública, etc. Por lo tanto, es fundamental que su empresa tenga un plan de acción cuando se produce un ataque DDoS. Este plan, como cualquier plan de continuidad de negocio, será un documento vivo que se prueba y perfecciona durante años e incluso décadas.
Metodología de seis fases para gestionar incidentes DDoS
La metodología (o ciclo de vida) para hacer frente a un ataque DDoS se compone de seis fases: preparación, detección, clasificación, rastreo, reacción y postmortem. Estos componentes críticos deben formar parte de todo plan de respuesta DDoS. Cada fase informa a la siguiente, y el ciclo mejora con cada iteración.
Preparación
La preparación es la fase más importante. Aquí es donde se reúnen las herramientas de protección DDoS, las personas, los procesos, las mejores prácticas y el plan de comunicaciones para que esté listo para hacer frente a un ataque DDoS. Esto incluye la formación, la práctica y el ensayo de su plan. El plan también debe abarcar todo el alcance de todos los diferentes elementos, procesos y procedimientos necesarios para de ejecutar la misión frente a estos ataques
Detección
Las organizaciones que carecen de una buena visibilidad de su tráfico de Internet a menudo ni siquiera se dan cuenta de que están siendo atacadas. Se dan cuenta de que están siendo atacadas sólo después de sufrir interrupciones, que a veces duran días o incluso semanas. Contar con las herramientas necesarias para detectar un ataque y alertar de que se está produciendo algo anormal y potencialmente dañino es primordial. Cualquier otro paso en el ciclo depende de su capacidad para detectar de forma fiable un ataque.
Clasificación
Una vez detectado el ataque, hay que determinar de qué tipo de ataque se trata y cuál es el objetivo. Esto incluye determinar el tamaño y las características del ataque para poder clasificarlo. Tener una imagen incompleta te llevará a dar pasos menos eficaces a lo largo del ciclo y, potencialmente, podría empeorar las cosas haciéndote reaccionar de forma inadecuada.
Rastreo
Una vez clasificado el ataque, es necesario comprender por dónde entra y sale el tráfico de ataque de la red. Conviene utilizar la automatización para la detección, clasificación y rastreo en la medida de lo posible, debido a la velocidad y precisión con la que se pueden realizar las determinaciones frente a intentar llevarlas a cabo a mano.
Reacción
Ahora estás lo suficientemente informado sobre el ataque como para llevar a cabo la mitigación. La clave para una reacción exitosa es mitigar con éxito el ataque y mantener la disponibilidad durante el transcurso del mismo. Es fundamental identificar y clasificar un ataque para poder elegir la acción de mitigación DDoS más adecuada.
Postmortem
Después del ataque, haz una autopsia donde puedas revisar todo lo que se hizo. Analiza que se podría haber hecho mejor, aprende durante el proceso de trabajo para poder retroalimentar la fase de preparación y mejorar de esta manera el plan.
Creación del equipo de respuesta a incidentes
Decide si se trata de un equipo especializado o de un equipo contextual al que se asignan tareas individuales cuando es necesario. Incluye a las partes interesadas de cualquier grupo relevante, como administradores de infraestructuras y servicios, dirección, jurídico, comunicaciones/RRPP y, posiblemente, partes externas como vendedores/proveedores, socios y clientes clave.
Claves para el éxito en la gestión de incidentes: Desarrolla (y mejora) tu plan
Si no planificas, estás fracasando. El éxito en la gestión de un ataque DDoS depende totalmente de su preparación y de la disposición del plan. El plan de respuesta DDoS será la estructura de apoyo a las seis fases descritas anteriormente. Será un documento vivo, adaptado al entorno y perfeccionado a través de la práctica y el uso ocasional en el mundo real.
Sin embargo, la única manera de saber si el plan es preciso y completo es mediante ensayos periódicos. Estos deben incluir tanto ensayos internos como ensayos completos en los que participen todas las partes interesadas y externas.
Manejo exitoso de incidentes de ataques DDoS
La mitigación exitosa no ocurrirá por accidente. Ocurre teniendo un plan exhaustivo y probado y ejecutándolo según lo ensayado.
Recuerda: Trabaja el plan. Repite las seis fases. Pon a prueba el plan. Mantén la comunicación interna y externa durante todo el incidente. Y no olvides la autopsia
Artículo original: How to Prepare for and Mitigate DDoS Attacks
Autor: Netscout
Adaptación: Ayscom
