Regresa

DDoS: una batalla perdida de ingenio

NB autor by mark Harris 12 de jul, 2017

Estamos atrapados en la era oscura de la seguridad cibernética, donde los ataques DDoS (Distributed Denial of Service) se desconectan. Incluso las redes mejor diseñadas y administradas ahora son vulnerables a los ataques DDoS. Parece que estamos en una persecución constante del gato y el ratón, ya que no podemos responder de manera eficiente al mayor volumen de ataques DDoS.

La tendencia de DDoS no pinta bien. En primer lugar, la BBC fue derribada por un ataque de 602 Gbps y luego DDoS se actualizó a 1.2 Tbps despegando de Dyn. Tanto Miria como Leet Botnets fueron los dos principales culpables. Estos ataques no desaparecerán en el corto plazo, por lo que aumentarán el volumen mes a mes. Combine el tejido no seguro de Internet con la introducción de millones de objetos IoT habilitados para IP no seguros. Proporciona una plataforma de lanzamiento bastante imprudente, lo que permite una nueva era de ataques a escala de Terabyte.

La gravedad de lo que está por venir seguramente sería gigantesca en términos de magnitud, que lo que ya hemos visto. Este nivel no es algo que hayamos podido afrontar y el los mecanismos de solución existentes se quedarían cortos dramáticamente.

¿Qué necesitamos?

Necesitamos una solución que se integre completamente, no solo sobre detección y mitigación. La pieza final del rompecabezas es el solución de problemas de extremo a extremo. La colaboración en equipo es tan importante como los sofisticados algoritmos de aprendizaje automático empleados para la detección avanzada de anomalías.

Todo el proceso de mapeo de una red y la solución de problemas de ataques DDoS debe ser impulsada por la interfaz de programación de aplicaciones (API) tanto para la detección como para la mitigación para formar una solución completa. Esta es la única forma de combatir los ataques DDoS de manera eficiente.

¿Qué es un DDoS?

Los sabores de DDoS vienen en muchos disfraces diferentes, algunos operan más abajo en la pila mientras que otros más arriba en la Capa 7. Muchos de los estilos más nuevos de ataques DDoS funcionan en paralelo con una combinación de ataques en diferentes capas del modelo OSI.

La mayoría de las veces, nunca son de un solo lado y actúan simplemente como humo que genera un ataque de puerta trasera más peligroso por separado. Un ejemplo de tal ataque podría ser un ataque volumétrico pesado que confunde aún más a los equipos de operaciones, llenando las tuberías mientras que un Protocolo de transferencia de hipertexto (HTTP) es más letal y más lento. ataque hace todo el daño en el fondo.

DDoS

Independientemente del tipo de DDoS, todos tienen el mismo propósito: desconectar el servicio de destino para que no pueda responder a conexiones legítimas. Los ataques son siempre visibles, incluso las tareas iniciales de las BotNets realizar el escaneo puede señalar detecciones en el sistema.

BotNets

Una BotNet (también conocida como ejército de zombis) es una serie de dispositivos comprometidos conectados a Internet que se utilizan para lanzar un ataque DDoS destructivo. Sin saberlo, las máquinas comprometidas se agrupan para formar una gran estructura de ataque DDoS. La red de bots Mirai consta de miles de dispositivos IoT (Internet de las cosas) no seguros, como enrutadores mal protegidos y cámaras IP que alcanzan megavolúmenes.

Las BotNets no pueden hacer nada por sí mismas y necesitan conectarse a un comando a través de canales ocultos y controlar los servidores (C2/C&C) para obtener una lista de acciones. Los clientes infectados se conectan al servidor para recibir una lista de comandos como HOLD, TCP, UDP o JUNK y usan un generador de carga útil que cambia entre estos comandos, lo que dificulta su detección. Recientemente, una nueva red de bots Mirai lanzó un ataque de aplicación contra un servidor universitario estadounidense no tripulado. El flujo de tráfico promedio fue de 30,000 37,000 solicitudes por segundo (RPS) con un máximo de XNUMX XNUMX RPS.

¿Quién está amplificando los ataques DDoS?

¿Quién está detrás de estos ataques y por qué lo hacen? Hay dos objetivos principales: uno es para las creencias políticas o ideológicas conocidas como hacktivismo, vandalismo o guerra cibernética. El otro está motivado puramente por razones financieras conocidas como DDoS-for-hire, Extortion and Ransom.

Mapa digital DDoS

La Mapa digital DDoS muestra los ataques DDoS que ocurren en este momento y en tiempo real. Los ataques se colorean según el tipo: conexión TCP, volumétrico, fragmentación y volumétrico. También muestra la mayoría de los países participantes según el origen y el destino como líneas de puntos.

¿Causas primarias?

  • Empuje a la nube: Estamos siendo testigos de una era en la que las aplicaciones cambian rápidamente mientras vuelan hacia la era de la nube. Las empresas están aprovechando la huella global preconstruida de la nube y, por lo tanto, adoptan el enfoque de software como servicio (SaaS) para TI con paquetes de software como Office 365. Al trasladar los servicios críticos a la nube, ofrece beneficios en costos, agilidad y latencia reducida. y administración del tráfico. Cambia el paradigma de seguridad y requiere una reevaluación de la seguridad.
  • Perímetro de seguridad: El modelo de la nube cambia el perímetro de seguridad y abre nuevas vías de penetración de ataques. El perímetro de seguridad ya no es estático ni está confinado a un área particular local. Se propaga a un tercero nuevo, lo que abre una nueva puerta y una superficie de ataque para DDoS.
  • internet de las cosas: IoT permite que los objetos cotidianos se comuniquen entre sí. Se la conoce como la próxima revolución industrial y sin duda cambiará la cultura de nuestra comunicación. Los objetos habilitados para IP harían que nuestras vidas individuales y nuestras ciudades fueran más eficientes. Desafortunadamente, muchos de los nuevos dispositivos habilitados para IP tienen poca o ninguna seguridad. Un objeto pequeño como una bombilla es tan liviano que no tendrá demasiada seguridad. La aplicación regular de parches a dispositivos remotos que duermen automáticamente también planteará desafíos. La combinación de millones de objetos de IoT, con poca o ninguna seguridad en una enorme Botnet, llevará DDoS a un nuevo nivel.
  • Licencia para gobernar: El arte de la creación de redes presenta numerosos tipos diferentes de diseños de red. No existe una licencia o regla que lleve a unas redes diseñadas con excelente seguridad. Esto deja componentes críticos como los proxies DNS completamente abiertos como una puerta para que un atacante penetre y los use como plataforma de lanzamiento. Más comúnmente, notamos que la puerta de enlace del usuario doméstico y los proxies DNS abiertos se utilizan para lanzar ataques de amplificación de DNS. El DNS se basa en tamaños de paquete desiguales, una pequeña consulta de DNS y grandes respuestas. Esto ofrece un patio de recreo perfecto para un atacante. Un atacante puede enviar una cantidad de paquetes más pequeños desde hosts falsificados y hacer que el servidor DNS responda con paquetes DNS más grandes que abruman al host inesperado.

¿Una batalla perdida?

Si nos fijamos bien, encontraremos baches en la seguridad por todas partes. Los problemas radican en los cimientos de las redes y cómo se aseguran. Internet se basa en la accesibilidad global y los protocolos que construyen su estructura se diseñaron inicialmente sin tener en cuenta la seguridad.

Accesibilidad global significa tener autoridad sobre la dirección IP de alguien ubicado en un lugar lejano. Esta es la base de la comunicación y, desafortunadamente, si tiene la dirección IP de alguien, también puede dirigir un ataque a su sistema. Esto coloca las superficies de ataque en una plataforma global muy grande donde cualquiera puede planificar un ataque si así lo desea.

Los mecanismos de seguridad agregados más tarde solo actúan como chapuzas en la red, lo que aumenta la complejidad. IPsec es un ejército suizo repleto de características que vienen con mucho equipaje que podría abstraerse.

¿Cómo lo estamos afrontando?

Entonces, ¿cuáles son los cambios que se pueden realizar tanto en la red como en la seguridad para aliviar el dolor de estas interrupciones? Bueno, hay muchos mecanismos nuevos e interesantes en el área de detección y mitigación de DDoS que pueden llenar el vacío. Veamos algunos mecanismos que se han ideado para confinar los ataques.

Avance en la mitigación de DDoS

En el frente de la mitigación, nuevos conceptos como la desagregación de seguridad introducen nuevas técnicas para eliminar el estado de los dispositivos de mitigación. Eliminar el estado permite una protección adecuada para esta escala y más allá. Tener estado en un dispositivo de dispositivo de mitigación degrada el rendimiento a un nivel en el que no puede proteger.

Tener estado en cualquier parte de la red inhibe el rendimiento, pero especialmente tenerlo en un dispositivo que no lo necesita para reenviar paquetes, no tiene sentido. La desagregación de seguridad mueve el estado fuera del dispositivo externo al reenvío real.

Avance en la detección de DDoS

En el frente de detección, las técnicas avanzadas de aprendizaje automático están ayudando en la detección rápida. Los sistemas actuales de detección basados ​​en anomalías están restringidos y no pueden detectar los nuevos tipos de ataques. Las técnicas de aprendizaje automático como Navies, Bayes, C4.5, SVM, KNN, K-means y Fuzz ofrecen una forma avanzada de detectar ataques. ¿Serán suficientes estos cambios en las soluciones?

La necesidad de una solución de problemas eficiente

Todos estos nuevos mecanismos son interesantes pero inútiles si no puede solucionar el problema de manera efectiva a tiempo. La solución de problemas no es solo una operación técnica; es un recurso para toda la empresa que combina muchos equipos en un proceso optimizado.

La solución de detección más avanzada puede señalar un evento en segundos, pero si lleva un par de horas solucionar el problema, es mejor que no tenga un sistema de detección. De manera similar, en el caso de una solución de mitigación de alto rendimiento, si no puede solucionar los problemas, no tiene sentido tener toda la potencia en su red.

Los avances en la detección y mitigación de DDoS son cruciales, pero también debemos alejarnos de los enfoques manuales para el mapeo de redes y la solución de problemas para abstenerse de arrastrar hacia abajo toda la solución DDoS.

Comentarios de Cierre

Estamos perdiendo la batalla DDoS y seguiremos perdiendo a menos que unamos todos los componentes. Una solución completa debe abordar la seguridad desde todos los ángulos. No es solo desde el punto de vista del dispositivo de mitigación o detección, sino que también se requiere el proceso de resolución de problemas de la empresa para detener un ataque DDoS de manera eficiente.

Relacionado: