Los proveedores de soluciones para la protección de denegación de servicio distribuido (DDoS) solo en la nube han estado disponibles durante algún tiempo, pero a medida que los servicios se han vuelto más críticos con menos tolerancia al tiempo de inactividad y los ataques DDoS de la capa de aplicación han evolucionado para volverse más complejos, las soluciones solo en la nube ya no son suficientes.
La investigación y la experiencia han demostrado que una estrategia de defensa DDoS de múltiples capas es el único enfoque holístico para protegerse contra las amenazas DDoS modernas.
La comunidad de analistas ha expresado durante algunos años un fuerte apoyo a una estrategia de defensa DDoS de múltiples capas respaldada por inteligencia de amenazas continua. Algunos aspectos de los ataques complejos dirigidos de hoy en día requieren componentes locales. De hecho, debido a la esquiva de algunos tipos de ataque con respecto a las soluciones en la nube, los dispositivos de protección DDoS especialmente diseñados en las instalaciones deben considerarse la base de una postura de protección DDoS de red.
Lucha contra ataques DDoS complejos
Los ataques DDoS de hoy en día son cada vez más complejos y están dirigidos concienzudamente. Los atacantes reaccionan a las políticas de mitigación mediante el uso de múltiples vectores de ataque, desde los volumétricos como la reflexión/amplificación hasta las inundaciones «inteligentes» específicas de la aplicación o las técnicas de agotamiento de estado, los ataques incrustados en el tráfico cifrado y los bots colocados en dispositivos no seguros (indicadores de compromiso o IoC) en su red para infligir daños más adelante.
Los ataques de capa de aplicación generalmente se ajustan a los protocolos que utilizan las aplicaciones, que a menudo implican apretones de manos de protocolo y cumplimiento de protocolos / aplicaciones. Un ejemplo de este tipo de ataque sería un ataque Slow Post, en el que el atacante envía encabezados HTTP Post legítimos que son compatibles, pero el cuerpo del mensaje se envía a una velocidad dolorosamente baja, lo que ralentiza el servidor a un rastreo. Debido a que el tráfico dentro del ataque parece ser legítimo, estos ataques no son detectados por las estrategias tradicionales de mitigación basadas en la nube.
Algunos otros objetivos típicos, son los dispositivos con estado, como los firewalls y los dispositivos VPN. De hecho, el 83% de las empresas que respondieron a la encuesta del Informe Mundial de Seguridad de Infraestructura (WISR) 2021 de NETSCOUT informaron ataques DDoS en los que los firewalls sobrecargados y/o dispositivos VPN contribuyeron a una interrupción, un 21% más que en 2019.
Debido a que NESCOUT Arbor Edge Defense (AED) está diseñado para ubicarse en el borde de la red entre Internet y los dispositivos con estado de su red, protege esos dispositivos con estado de los ataques de inundación diseñados para derribarlos. Además, debido a que el DEA es apátrida y siempre está en activo, no es susceptible a los retrasos en el inicio de la mitigación que son típicos con una solución en la nube bajo demanda.
La importancia de los IoCs
Los atacantes son implacables en sus ataques contra objetivos cifrados de alto valor. Por lo tanto, un componente clave de un arsenal de seguridad es la capacidad de descifrar e inspeccionar el tráfico cifrado de forma segura y dar fe de su autenticidad sin ralentizar, interrumpir o comprometer el tráfico legítimo.
Otra área de preocupación con respecto al descifrado y escaneo de paquetes es dónde se ejecuta el cifrado. Muchas organizaciones no quieren que su tráfico sea descifrado fuera del sitio o por un servicio en la nube porque eso puede requerir compartir certificados privados con el proveedor de la nube, un riesgo de seguridad que muchas empresas no están dispuestas a asumir. En algunas situaciones, los propios proveedores de la nube no quieren ser responsables de administrar las claves privadas y los riesgos de responsabilidad asociados si las claves se filtran o se exponen desde sus sistemas.
Los IoC desempeñan un papel integral en el análisis de ciberseguridad y la protección contra ataques. No solo revelan y confirman que se ha producido un ataque de seguridad, sino que también revelan las herramientas que se utilizaron para llevar a cabo el ataque.
La amenaza reside en la renuencia o incapacidad de recopilar y correlacionar IoCs en tiempo real con un recurso integral para la inteligencia de amenazas actual. Al no monitorear o analizar más a fondo los IoC, las organizaciones pierden la capacidad de identificar incidentes de seguridad que pueden haber pasado desapercibidos o incidentes de seguridad que actualmente no son detectados por otras herramientas en la pila de seguridad. AED proporciona protección avanzada basada en paquetes contra amenazas a escala de Internet, neutralizando las familias de malware que componen la amenaza global de botnet.
Armado con millones de IoC basados en la reputación, el motor de procesamiento de paquetes de NETSCOUT puede detectar y bloquear las amenazas entrantes y la comunicación saliente de hosts internos comprometidos que han sido perdidos por otros dispositivos en la pila de seguridad, lo que ayuda a detener una mayor proliferación de malware y otras tácticas utilizadas en el crimeware y las campañas de amenazas avanzadas.
Artículo original: On-Premises Defense Is Required in Comprehensive DDoS Strategy
Autor: Netscout
Adaptación: Ayscom
