Cómo defenderse de los ataques diseñados para eludir las defensas existentes.
Los ataques distribuidos de denegación de servicio (DDoS) están de nuevo en aumento, y se están volviendo muy buenos para evadir incluso las estrategias de defensa mejor pensadas, poniendo a su organización en un riesgo aún mayor.
Desde la inteligencia artificial (IA) hasta el K-Pop, muchas cosas, con el tiempo, se hacen más grandes y mejores. Esto es cierto, en sentido negativo, para el ámbito de los ataques DDoS. Los atacantes ahora monitorizan las redes y realizan reconocimientos durante un ataque para saber qué funciona y qué no, y cambian de táctica para evitar ser detectados o distraer a las defensas de su objetivo.
La importancia de la defensa adaptativa
Este comportamiento me recuerda a la forma en que los atacantes se acercaban y adaptaban a los cambios en las murallas defensivas empleadas para proteger una región de las hordas invasoras. Un gran ejemplo es la Gran Muralla China.
Al igual que proteger una red, proteger una región tan grande como China era complejo. Al final, la Gran Muralla estaba formada por muros defensivos, pasos y torres de vigilancia, cada uno con una finalidad específica. Las murallas defensivas bloqueaban el acceso de los enemigos a las regiones agrícolas y a las ciudades que las sustentaban, al tiempo que proporcionaban un transporte seguro para los soldados y los suministros durante las batallas. Los pasos se empleaban para estacionar tropas y proteger puntos militares importantes a lo largo de las murallas defensivas. Las torres se utilizaban para enviar mensajes militares y vigilar a los enemigos desde puntos elevados, a la vez que proporcionaban refugio y almacenamiento para las necesidades diarias de los soldados de guardia.
Sin embargo, no siempre fue así. Muchas de estas medidas se pusieron en marcha porque los atacantes fueron cambiando sus métodos de ataque con el paso del tiempo. Al principio, sólo había murallas defensivas y un número limitado de guardias. Los atacantes se limitaban a construir escaleras para atravesar las murallas donde no había patrullas. Debido a esto, China ajustó su estrategia e instaló más guardias para patrullar las murallas y añadió pasos para alojarlos de modo que no tuvieran que volver a casa. Los atacantes se adaptaron vigilando y cronometrando las patrullas para poder abrir una brecha cuando una parte de la muralla defensiva no estaba patrullada.
Otra versión de este tipo de ataque consistía en distraer a los guardias hacia un punto de la muralla y luego atacar la zona desde la que se había atraído a los guardias, que ahora estaba desprotegida. Así que China añadió 25.000 torres de vigilancia, separadas por un par de kilómetros. Estas torres de vigilancia proporcionaban a los guardias un punto de vista más elevado desde el que observar a los enemigos y sus movimientos, así como un espacio para enviar señales de torre a torre, con humo durante el día y fuego por la noche, para garantizar la cobertura de los guardias allí donde se viera actividad enemiga -distracción o no-.
Repetir la historia con DDoS
Esto es precisamente lo que está ocurriendo en el ámbito actual de los ataques DDoS. Los atacantes están sondeando las redes mientras las atacan para conocer las brechas en la seguridad. Una vez identificadas, atacarán esas vulnerabilidades con distintos ataques y vectores, algunos como distracciones y otros como ataques reales, para acabar accediendo a su objetivo deseado.
La defensa contra este tipo de ataques requiere tres cosas: Una solución de defensa de borde resistente que vea todo el tráfico entrante y saliente que está atravesando actualmente su circuito de Internet; una comprensión de los vectores de ataque reconocidos, comportamientos y patrones de botnets y ciberdelincuentes conocidos; y un conocimiento preciso de cuál de ellos está participando actualmente en un ataque en algún lugar del mundo. Con esta información, una organización puede comprender un ataque y las contramedidas necesarias para mitigarlo y, al mismo tiempo, ser capaz de cambiar las defensas automáticamente cuando cambia el ataque.
El futuro: Protección DDoS adaptable
La nueva versión de Arbor Edge Defense (AED) y Arbor Enterprise Manager (AEM) de NETSCOUT es la solución impenetrable que se sitúa en el borde de su red entre el router y el cortafuegos y ve todo el tráfico entrante y saliente. AED se suministra con la mejor inteligencia de amenazas a través de NETSCOUT ATLAS Intelligence Feed (AIF), obtenida tras dos décadas de experiencia mitigando ataques en algunas de las redes más complejas del mundo. Esta inteligencia contiene listas completas de botnets actualmente activos, ciberdelincuentes, comportamientos de ataque y patrones para comparar con el tráfico actual que atraviesa su red y proporcionar contramedidas automatizadas para derribar los ataques. A medida que estos ataques cambian de vectores y comportamientos, AED vuelve a analizar el tráfico y proporciona medidas adicionales para proteger su red. Esto es protección DDoS adaptativa
Como indica el refrán «Los que no aprenden de la historia están condenados a repetirla», necesitamos echar la vista atrás para entender cómo defender nuestros perímetros. Podemos aprender mucho de cómo los soldados detrás de la Gran Muralla se preparaban para los ataques, se aseguraban de tener los recursos necesarios, cambiaban las defensas a medida que cambiaban los ataques y protegían sus murallas. Así es como tenemos que proteger nuestras redes en el entorno DDoS actual con protección DDoS adaptativa.
Artículo original: Direct-Path and Dynamic Adaptive Attacks Give DDoS a New Destructive Face
Autor: Netscout
Adaptación: Ayscom
