A pesar de que las siglas pueden imponer respeto, los ataques DDoS son bastante sencillos de llevar a cabo y los delincuentes los utilizan mucho, la parte más laboriosa a la que se enfrentan quienes llevan a cabo los ataques es conseguir una gran cantidad de hosts y orquestarlos para llevar a cabo el ataque a un objetivo de forma simultánea.
En sus versiones más simples, el ataque puede desencadenarse con una solicitud maliciosa falsificada para que el servidor no pueda manejarla adecuadamente, ya sea por su tamaño excesivo, falta de parámetros, o simplemente porque el atacante se ha programado para no responder adecuadamente a la información solicitada por el servidor que está siendo atacado.
A lo largo de los años en el mercado de la seguridad la postura sobre este tipo de ataques ha cambiado significativamente. Antes, las empresas se preocupaban muy poco por pensar en soluciones que los eviten, pero actualmente la mayoría de los entornos están en alerta por este tipo de amenazas.
Este cambio de percepción puede haber sido provocado por varios factores, entre ellos los dos que considero principales son la evolución de la madurez de la seguridad, tanto de los entornos como de los profesionales que trabajan en el área, y el cambio en la forma en que este ataque es utilizado por los delincuentes.
Actualmente, los ataques DDoS se pueden utilizar de forma aislada, pero suelen utilizarse como complemento de otros ataques, por ejemplo para hacer más convincente la demanda de pago de un ransomware, afectando gravemente a los servicios de la empresa objetivo y causando un impacto directo en la percepción de los clientes que intentan comunicarse con este(s) servicio(s).
Otro punto que puede notar cambios se refiere a las protecciones, actualmente es posible adoptar protecciones para este fin con inversiones significativamente menores que hace unos años, algunas de estas protecciones pueden incluso estar disponibles en algunos entornos, y solo es necesario habilitarlas.
Cómo detectar y responder al ataque
La detección no siempre es una tarea trivial cuando el entorno no es motorizado mediante soluciones preconfiguradas para monitorizarlo. Generalmente, los ataques se notan cuando alguien intenta hacer uso del servicio y nota su lentitud o falta de disponibilidad.
Idealmente, la detección más adecuada se basa en dos pilares principales:
- un equipo técnico capaz de identificar periodos de estabilidad
- y la parametrización de las soluciones de seguridad en función del resultado de esta identificación.
Existen muchos tipos de soluciones que permiten afrontar el ataque con una tasa de éxito muy alta, entre las principales se encuentran:
Filtrado de tráfico
Un claro ejemplo de esta posibilidad de adaptar las soluciones existentes para frenar los ataques DDoS es el filtrado de tráfico, ya sea realizado por firewalls que las empresas comúnmente ya tienen en sus entornos o por equipos específicos destinados a este fin.
Por lo general, los filtros utilizan reglas predefinidas para evitar que se permitan ciertos tipos de tráfico, evitando así solicitudes excesivas de una o más fuentes, formatos de solicitud no convencionales para ciertos tipos de servicios, tamaños de paquetes excesivos y otros tipos de enfoques maliciosos.
Una ayuda valiosa en bloqueos de este tipo es apoyarse en soluciones basadas en el comportamiento para realizar los bloqueos, esto permitirá que los usuarios legítimos puedan acceder al servicio mientras bloquean a los atacantes.
Equilibrio de carga
Otro enfoque que puede resultar bastante eficiente, especialmente en ataques de menor escala, es el equilibrio de la carga distribuida a ese servicio o servidor. El equilibrio puede producirse de varias maneras, ya sea haciendo que más de un enlace de Internet esté disponible y alternando su acceso a través de la configuración de DNS, o mediante el uso de un clúster de alta disponibilidad que dirija el servicio a uno de los otros nodos si el nodo actual no responde correctamente.
Servicios expertos de protección DDoS
También conocidas como Content Delivery Networks (CDN), estos servicios reúnen una serie de características útiles a la hora de detener los ataques de denegación de servicio. Entre las más valiosas se encuentran la segregación de tipos de acceso—mencionada anteriormente en el filtrado de tráfico— permitiendo que solo se evite que los atacantes se comuniquen con el servicio, además de una estructura de red extremadamente robusta capaz de soportar ataques que pueden alcanzar más de 1 Terabit por segundo, algo difícil de lograr sin una estructura especializada.
Adopción de servicios en la nube
La transferencia de puntos críticos de la estructura interna a servidores o servicios en la nube ayuda a resistir los ataques DDoS, sin embargo, vale la pena señalar que no existe una solución mágica, como lamentablemente todavía piensan algunas personas responsables de entornos.
El punto beneficioso de la estructura en la nube es que suele ser más capaz de manejar una mayor cantidad de tráfico, sin embargo, es necesario asegurarse de contratar servicios que ofrezcan protección específica contra DDoS o que permitan la contratación de servicios de terreiros que sean capaces de realizarlo.
La nube no es más que pagar para que una empresa se encargue de mantener en funcionamiento ciertas partes de su servicio/servidor, ¡nada más! Es muy importante leer detenidamente los contratos de servicios para entender hasta dónde llegará la responsabilidad del proveedor de servicios en caso de incidencia y, sobre todo, ser conscientes de que la contratación de la nube no suele eximir a los contratistas de las responsabilidades.
Inteligencia de amenazas
Si el entorno ya tiene la posibilidad de obtener información sobre inteligencia de amenazas por sí solo o contratando algún servicio, este recurso puede actuar como una especie de predicción del futuro.
Entre la posible información que aporta un proceso de inteligencia de amenazas se encuentran IPs relacionadas con botnets, servidores vulnerables asociados a ciberdelincuentes, vulnerabilidades utilizadas para el acceso inicial o el movimiento lateral, entre muchas otras TTP.
Esta información puede ser utilizada como indicadores de compromiso (IoC) o ataque (IoA), y puede ser insertada en soluciones de seguridad con el fin de evitar cualquier interacción de estos orígenes de antemano; además de servir como guía para priorizar qué vulnerabilidades deben abordarse primero para prevenir ataques.
Monitoreo continuo
La protección contra ataques DDoS, o cualquier otro ataque, no depende únicamente de la inserción de alguna herramienta avanzada en el entorno o de la contratación de algún servicio extremadamente especializado. Es necesario que exista una o varias personas capacitadas que realicen un monitoreo constante de las herramientas y servicios disponibles para evitar que ocurra un ataque.
Siempre es interesante entender cómo funciona el entorno en su normalidad y así establecer líneas de base para la detección de anomalías, esta tarea se facilita enormemente con buenas herramientas, pero es fundamental que haya una persona experimentada y cualificada ajustando y mejorando el rendimiento de las soluciones.
Respuesta a incidentes
Invariablemente, ocurrirán incidentes, ya sea por software legítimo insertado en el entorno y que provoque indisponibilidad o por un ataque, lo importante es planificar adecuadamente cómo actuar si se producen. Definir cuáles serán los primeros pasos a dar, quién será el responsable de cada uno de ellos y qué acciones tomará cada uno, quiénes serán los tomadores de decisiones contactados en caso de ser necesario, acciones de contención y recuperación, proveedores a los que se puede contactar para soporte y todas las demás características que se hayan planificado de acuerdo a las necesidades del negocio.
Es valioso realizar pruebas sobre el plan de respuesta a incidentes para que las personas involucradas estén adecuadamente capacitadas y puedan llevarlo a cabo adecuadamente en caso de un incidente real.
Si tienes alguna duda o sugerencia sobre temas relacionados con la seguridad de la información que te gustaría que abordáramos en las próximas publicaciones, cuéntanos en los comentarios.