Seguridad frente a ataques DDoS: una oportunidad para que el canal ofrezca un mensaje diferencial

Negocios
alvaro villalba corero

Alvaro Villalba, Ingeniero Preventa Senior de Corero Network Security, explica la oportunidad que representa para el canal la venta de soluciones anti ataques DDoS

Aunque los ataques de DDoS han estado siempre presentes en Internet, últimamente han cobrado mayor relevancia, especialmente desde la irrupción de Anonymous en la escena pública y el aumento del hacktivismo.

Así, todas las semanas aparecen noticias de nuevos ataques masivos contra distintas organizaciones, tanto gubernamentales como privadas y que responden a motivos políticos, económicos (competidores) o ideológicos. Además se ha creado un nuevo negocio underground enfocado en la venta de servicios de DDoS a precios cada vez menores, los cuales resultan accesibles para cualquier persona, incluso para aquellas con escaso conocimiento técnico.

La experiencia indica que los ataques se han ido sofisticando, evolucionando desde los puramente volumétricos, que saturaban mediante numerosas conexiones los enlaces de Internet de las víctimas de manera que las conexiones legítimas no alcanzasen su objetivo, hacia otros basados en la capa de aplicación, dirigidos contra el servicio y no hacia la red.

En este sentido, y a medida que el mercado de seguridad ha ido implantado nuevas medidas como cortafuegos, sistemas de protección contra intrusiones (IPSs) o firewalls de aplicación web (WAFs) entre otros; los atacantes han desarrollado nuevos vectores de ataques para evadir estas protecciones y, en alguno casos, hasta llegar a focalizar sus embestidas contra estas nuevas infraestructuras de seguridad y lograr la saturación o fallo de las mismas. Tal es el caso de los ataques dirigidos, como los denominados low and slow, que con un consumo ínfimo de ancho de banda son capaces de saturar los servidores finales mediante la generación de numerosas conexiones lentas que parecen legítimas. El fin último de estos asaltos es el de “conseguir que su víctima desaparezca de Internet”.

Paralelamente, las redes de botnets (redes de ordenadores infectados con malware que son controlados por los atacantes y utilizados para realizar ataques de denegación de servicio sin conocimiento del usuario) han amplificado los recursos disponibles para los atacantes. La combinación de estas redes con ataques, como por ejemplo, los de tipo reflectivo, en los que el atacante aprovecha infraestructuras de red de alta capacidad para enviar peticiones simulando ser los servidores de la víctima, e inundándola con millones de peticiones que no ha realizado; son devastadoras.

Análisis y Planificación: los ataques crecen en complejidad

Las últimas campañas de hacktivismo y de ataques DDoS organizados detectados demuestran ser elevadamente complejos y de una planificación exhaustiva, lo que indica un profundo análisis de la red y de las infraestructuras de las víctimas, unido a una gran variedad de técnicas de ataque combinadas (de tipo syn flood, low and slow, ataques reflectivos, etc.)

Esto provoca que, por si mismas, las soluciones hasta ahora tradicionales de seguridad ya no sirven para detenerlos (o que sea necesario un ajuste de las mismas prácticamente en tiempo real para detener dichos ataques) debido a que los atacantes van modificando sus herramientas a medida que detectan las protecciones de las víctimas.

Frente a estos ataques, ahora mismo existen dos tipos de soluciones de seguridad específicas. Por un lado, las soluciones de Protección en la nube o por parte de los operadores, que limpian el tráfico del cliente, bien en la red del operador o en la nube mediante la replicación de datacenters y el crecimiento de los recursos a medida que se produce un ataque. Sin embargo, este tipo de soluciones no siempre son válidas para todos los clientes, ya que suponen, en muchos casos, una elevada inversión en caso de ataque (especialmente en el caso de proveedores basados en pago por uso) o simplemente no es posible trasladar toda la infraestructura necesaria (backends, bases de datos, etc) a la nube.

Por su parte, las soluciones ad-hoc se despliegan en la red del cliente, analizan su tráfico y son capaces de diferenciar el tráfico legítimo del malicioso mediante diversas técnicas y combinaciones de sistemas de seguridad. Esto permite detener todos los ataques que no van a saturar el enlace.

El canal como prescriptor y revendedor de soluciones de seguridad

La oportunidad que representa para el canal la venta de este tipo de soluciones se pude enfocar desde distintos ángulos, empezando por el hecho de que como normalmente no suelen estar cubiertas por los integradores, pueden suponer para ellos un mensaje diferencial. Asimismo, y al tratarse de un canal de distribución reducido, se protegen las operaciones registradas, se garantiza un margen más elevado, así como, una mayor involucración por parte del fabricante en las operaciones.

Este tipo de soluciones no solo dotan de mayor protección contra ataques sino que también ayudan a optimizar y dimensionar adecuadamente los recursos de los clientes, ya que al ser capaces de detener el tráfico no deseado fuera de la red, no es necesario sobredimensionar las infraestructuras (sistemas de seguridad perimetral, servidores, backends, etc) para soportar altos volúmenes de conexiones en caso de ataque. Adicionalmente, dotan al cliente de una mayor visibilidad sobre lo que acontece en sus sistemas, abriendo la puerta a nuevos proyectos o acciones correctivas.

Por otra parte, los fabricantes de seguridad perimetral se han dado cuenta de que es una carencia que ellos no cubren y están empezando a añadir este tipo de soluciones a su portfolio mediante acuerdos OEM con terceros o compras de pequeñas compañías de nicho.

Los ataques de DDoS están aquí para quedarse y por lo tanto hay que tomar las medidas necesarias para protegerse de los mismos, comenzando por una evaluación de los riesgos reales de las empresas, su nivel de exposición ante estos ataques y los efectos que causarían los mismos (económicos, de imagen, etc), seguido de un plan de actuación en el caso de un ataque, y desplegando, finalmente, las medidas necesarias para neutralizarlo.

Lea también :