La otra noche alquilé una película llamada «La pequeña granja más grande». La película mostraba a una pareja que era nueva en la agricultura pero que intentaba regenerar una granja que se había deteriorado. En el proceso, se encontraban continuamente con desafíos sobre cómo proteger los cultivos y los animales de la granja. Al principio, trajeron cabras para que se comieran parte de la vegetación que crecía en exceso, lo que a su vez atrajo la amenaza inicial, que eran los coyotes, que estaban matando a las cabras y a algunos de sus pollos, por lo que pusieron una valla. Después, las aves de rapiña se convirtieron en una amenaza, por lo que los granjeros instalaron techos en las jaulas. Luego fueron los conejos y los topos los que se comieron las verduras, y así sucesivamente. Cada vez que se encontraban con un nuevo desafío, los agricultores tenían que adaptarse y construir una nueva defensa. En algunos casos, no sabían lo que iba a venir después ni cómo combatirlo, así que hablaban con los vecinos para saber cómo lo hacían. Empecé a pensar que, aunque esto tenía lugar en una granja, era el enfoque típico de la protección del perímetro, ya sea en una granja, un castillo, un fuerte o, en el mundo actual, la red.
Esta película me hizo reflexionar especialmente cuando empecé a leer el actual Informe de Inteligencia sobre Amenazas DDoS de NETSCOUT para preparar un proyecto sobre las redes actuales y cómo los clientes gestionan los ataques DDoS. El informe destaca el hecho de que los ataques de denegación de servicio distribuidos (DDoS) están evolucionando de nuevo. Este año, los ataques de reflexión/amplificación, que han sido el vector de ataque preferido en los últimos dos años, pasaron a un segundo plano frente a los ataques de agotamiento del estado TCP. Lo que esto indica es que los malos actores están intentando ejecutar ataques que son cada vez más difíciles de detectar porque imitan el tráfico legítimo y requieren que los defensores tengan cierto nivel de experiencia y tecnología para reconocerlos como ataques.
Aumentan los ataques DDoS adaptativos
El informe sobre amenazas también revela que una de las formas en que los atacantes son cada vez más eficaces en la destrucción de la disponibilidad de la red es mediante el uso de DDoS adaptativos. En un ataque DDoS adaptativo, los adversarios realizan un extenso reconocimiento previo al ataque para identificar elementos específicos de la cadena de prestación de servicios a los que dirigirse; por ejemplo, los ataques de agotamiento de estado, que constituyeron cuatro de los cinco principales vectores de ataque este año, se dirigen a dispositivos con estado que forman parte integral de la pila de seguridad, como cortafuegos y concentradores VPN. Estos objetivos son atractivos porque los ataques contra ellos pueden ser de menor tamaño y estar diseñados para evadir las defensas destinadas a otras amenazas. Piense en la valla diseñada para los coyotes que no detendrá a las comadrejas porque las aberturas son demasiado grandes. Este tipo de preparativos están calculados para minimizar el número de fronteras administrativas que debe atravesar el tráfico de ataques DDoS, lo que a menudo se traduce en menos oportunidades para detectar y mitigar el ataque. En la imagen se enumeras algunas de las características de los ataques DDoS adaptativos.
Debido a estos avances en los métodos de ataque, los operadores de redes deben adaptar sus defensas para hacer frente a los nuevos retos. Según nuestra experiencia, y debido principalmente a la naturaleza de los ataques en constante cambio, la defensa requerida debe ser capaz no sólo de gestionar los ataques volumétricos, sino también de identificar los numerosos ataques que actualmente están diseñados para eludir las medidas de defensa conocidas. Y en la mayoría de los casos, no se trata de una situación en la que exista una solución única para todos. Al igual que en «La pequeña granja más grande», el panorama de amenazas en constante cambio que estamos experimentando actualmente requiere un modelo de defensa ágil; en este caso, uno que funcione dentro y fuera de la red y que se adapte a los cambiantes vectores y métodos de ataque.
Por qué necesita una estrategia de defensa híbrida
La mejor práctica para proteger su red en el siempre cambiante panorama de los ataques DDoS es un enfoque híbrido. Las estrategias de protección del pasado serán suficientes en algunas situaciones, como en un ataque diseñado para saturar su circuito de Internet antes de que el tráfico llegue a su sitio. Sin embargo, los ataques diseñados específicamente para evadir esas protecciones, como el agotamiento del estado TCP y los ataques a la capa de aplicación, son la base del nuevo panorama de ataques. Además, la capacidad de responder rápidamente a los ataques que esquivan la solución en la nube y golpean el borde de la red o un servicio orientado a Internet es imperativa, y tener la agilidad de cambiar las defensas rápidamente para adaptarse a los cambios sutiles en el DDoS adaptativo in situ es crucial.
Mediante la implementación de defensas DDoS adaptativas como la Defensa Adaptativa de Borde (AED) de NETSCOUT en todos los bordes de sus redes, los operadores de red pueden dominar el tráfico de ataque DDoS cuando entra en el borde de la red, o antes de que se una en un ataque a gran escala. Con la detección de ataques basada en el borde, combinada con la capacidad de limpieza de la nube, la comunicación automatizada en dos capas, el análisis de los indicadores de compromiso (IoC), el bloqueo de la comunicación de mando y control (C2) y la inteligencia de amenazas actual y procesable (piense en los agricultores hablando con sus vecinos), los operadores pueden hacer frente a cualquier ataque DDoS antes de que pueda causar daños, como se observa en la imagen superior.
Al final de la película, los agricultores tenían controlada la gestión de las amenazas en constante evolución que la naturaleza podía lanzarles. La razón subyacente de ese control era que empezaban a entender las amenazas en desarrollo y eran proactivos en sus acciones para bloquearlas. Esto podría ser una valiosa lección en nuestro enfoque de los nuevos métodos detrás de los ataques DDoS.
Artículo original: Rethinking DDoS Defenses. Comprehensive, dynamic DDoS protection is critical for combating adaptive DDoS attacks.
Autor: Netscout
Adaptación: Ayscom