Las técnicas DDoS modernas requieren visibilidad y mitigación en el borde de la red.
Los operadores de redes de todo el mundo se han apresurado a actualizar la infraestructura de red para satisfacer la creciente demanda de ancho de banda y rendimiento impulsado por el trabajo y la educación a distancia. En muchos casos, esto ha llevado a los proveedores de servicios a acelerar los plazos para la 5G y otras tecnologías de acceso de gran ancho de banda.
La constante evolución de Internet y de la topología de la red mundial ha obligado a adversarios y defensores a adaptarse. Los cambios en los vectores de ataque y la metodología permiten a los atacantes de denegación de servicio distribuida (DDoS) eludir las defensas y las contramedidas. Mientras tanto, los profesionales de la seguridad se enfrentan a una batalla constante de adaptación de su postura defensiva para mitigar esta amenaza en evolución.
Defensas DDoS
Tradicionalmente, las defensas DDoS se han centrado en la protección de propiedades y redes de internet mediante la implementación de tecnologías de detección, clasificación, rastreo y mitigación de ataques en puntos de convergencia para el tráfico de red entrante. Esto normalmente se lograba desplegando medidas defensivas hacia el norte de los activos protegidos en redes conectadas directamente. La validación de la dirección de origen (SAV), por ejemplo, ha tenido un impacto muy positivo en la reducción de vectores prominentes como la amplificación de DNS a medida que se vuelven ineficaces.
Este enfoque funcionó bien para defender a las organizaciones y redes objetivo de los ataques DDoS entrantes; sin embargo, los ataques DDoS salientes y transfronterizos pueden ser tan devastadores y perturbadores como los entrantes. Estaciones de trabajo comprometidas, dispositivos de Internet de las Cosas (IoT) y servidores de alta capacidad han sido subsumidos en redes de bots y utilizados para lanzar ataques DDoS. El tráfico generado por estos sistemas ha afectado significativamente a los servicios de producción de las redes de empresas y proveedores de servicios. Debido a la innovación y adaptación de los adversarios, los defensores deben cambiar su forma de pensar y, a su vez, adaptarse al panorama actual de amenazas.
DDoS adaptativo
En un ataque DDoS adaptativo, los adversarios llevan a cabo un amplio reconocimiento previo al ataque para identificar los elementos específicos de la cadena de prestación de servicios a los que dirigirse. Cada vez utilizan más nodos de redes de bots y reflectores o amplificadores que están más cerca del objetivo, un fenómeno observado recientemente con las redes de bots que atacan Ucrania. Esto minimiza el número de fronteras que debe atravesar el tráfico de ataques DDoS, lo que a menudo se traduce en menos oportunidades para detectar y mitigar el ataque.
La combinación de un mayor ancho de banda y rendimiento disponibles, el aumento de la población de dispositivos susceptibles de abuso y las técnicas de ataque DDoS adaptables magnifican la amenaza para los operadores de redes. Por ello, los operadores de redes deben pasar de una postura predeterminada de mitigación de DDoS a una nueva postura de supresión de DDoS.
Supresión de DDoS
Al implementar defensas DDoS adaptables en todos los bordes de sus redes, incluso directamente en los puntos de presencia (PoP) de peering y agregación de clientes, los operadores de redes pueden suprimir el tráfico de ataques DDoS a medida que ingresa en múltiples puntos a través de todo el borde de la red, o antes de que converja en un ataque a gran escala. Al implementar la detección de ataques basada en el borde, la mitigación DDoS inteligente y las técnicas de mitigación basadas en la infraestructura de red en todos los puntos de entrada de la red, los operadores pueden implementar sistemas de supresión DDoS adaptables que se escalan para contrarrestar la capacidad de ataque DDoS y la innovación de los adversarios.
Un método de supresión de DDoS que NETSCOUT utiliza para asegurar los bordes de la red es una fuente de inteligencia de amenazas ATLAS (AIF) que puede predefinir qué direcciones IP o bloques de enrutamiento entre dominios sin clase (CIDR) podría utilizar un adversario para lanzar un ataque. Cuando comienza un ataque que utiliza la infraestructura identificada, las contramedidas AIF pueden comenzar a bloquear inmediatamente y con rapidez antes de que se requiera cualquier decisión de enrutamiento adicional, contramedidas o análisis manual, anulando el ataque antes de que alcance una masa crítica.
Conclusión
La comunidad operativa ha suprimido con éxito el tráfico iniciador de ataques de suplantación de identidad, lo que se ha traducido en una disminución demostrable de los ataques DDoS de reflexión o amplificación en comparación con los ataques de ruta directa. El siguiente paso lógico es extender este paradigma a la supresión adaptativa de ataques DDoS en el borde de la red para seguir construyendo una red de internet más segura y resistente para todos.
Artículo original: Outbound and Cross-bound DDoS Attacks on the Rise
Autor: Netscout
Adaptación: Ayscom