Reescribiendo las reglas para una buena defensa DDoS
Dave Larson, CIO de Corero Network Security, analiza en este artículo las diferencias de implementar defensa DDoS on premise o en la nube, una decisión “que no debe ser tomada a la ligera”.
Las organizaciones que desean implementar una técnica de defensa DDoS efectiva se enfrentan al dilema de desplegar una estrategia de protección DDoS on premise o suscribirse a un servicio ofrecido por un proveedor cloud. Esta decisión no debe ser tomada a la ligera, máxime cuando el panorama de amenazas es cada vez más amplio y sofisticado.
A la hora de perfilar su estrategia de protección DDoS las organizaciones suelen comenzar prestando atención a sus defensas fuera de banda y tácticas anti DDoS de depuración de datos (scrubbing-lane) para redirigir el tráfico una vez el ataque ha sido identificado. Esta orientación es un buen primer paso para la prevención de ataques DDoS; sin embargo, es sólo la punta del iceberg. Los analistas recomiendan un enfoque en dos vías (híbrido): con detección en tiempo real, en línea y mitigación de ataques como el principal medio de defensa DDoS, y una técnica anti DDoS basada en cloud para ataques por saturación.
El porqué de esta recomendación es claro: los ataques por saturación parcial son cada vez más comunes. Dichos ataques son relativamente grandes pero duran un corto período de tiempo, y no inundan completamente el enlace de Internet. Su móvil más habitual es la ganancia financiera o el robo de datos confidenciales.
Solución anti-DDoS Cloud
La protección basada en la nube, generalmente suministrada como servicio, es la más utilizada en modo bajo demanda para frustrar ataques a gran escala. Estos ataques de saturación son ampliamente publicitados y más comúnmente asociados con DDoS, porque son los ejemplos más obvios y evidentes de un vector de ataque cada vez más matizado.
Con este enfoque bajo demanda, la intervención humana juega un factor clave. Cuando se detecta un ataque, más a menudo después de que los dispositivos de seguridad tradicionales se vean abrumados y los cortes de servicios comiencen a ocurrir por el efecto de los mismos, la persona responsable es quién debe tomar la decisión de permitir el corte con el servicio proporcionado por el proveedor anti DDoS. Este proceso también implica el ajuste de las tablas de enrutamiento, un riesgo calculado para cualquier negocio y que requiere el 100% de disponibilidad.
Un reciente estudio publicado por Megabuyte indica que, “las quejas de los clientes acerca de los problemas de servicio siguen siendo uno de los principales indicadores de que un ataque (DDoS) está en marcha. Casi la mitad de los participantes que experimentó un ataque en el último año citó éste como el principal medio de notificación”. En otras palabras, sus clientes son el primer indicador de que un ataque está en marcha, lo que no lo convierte en el sistema de alerta más ideal para la detección de ataques.
Con un enfoque basado en cloud, el tiempo transcurrido desde que un ataque es detectado y posteriormente mitigado puede variar entre más de treinta minutos y una hora. Una hora de degradación del servicio y cortes antes de que el proveedor de la nube pueda participar y empezar a tomar el control es algo que la mayoría organizaciones no pueden tolerar. Además, la mayoría de los ataques volumétricos, que consumen un alto ancho de banda, duran menos de 30 minutos por lo que cuando las defensas empiezan a funcionar el ataque ya ha concluido y el daño ya se ha infringido.
Defensa On-Premise en Tiempo Real
El propósito de las soluciones de defensa DDoS es que estas sean desplegadas entre Internet y la red de la empresa. Un enfoque de primera línea de defensa evita interrupciones mediante la inspección de tráfico a velocidad de línea y el bloqueo de ataques en tiempo real mientras permite que el tráfico verificado fluya. En las instalaciones, la defensa en tiempo real permite una visibilidad completa y sofisticada en los eventos de seguridad de DDoS cuando se despliega en el borde de la red. Además, los datos de eventos de seguridad archivados permitirán el análisis forense de las amenazas pasadas y los informes de cumplimiento de la actividad de seguridad, actuando como una gran ventaja contra los atacantes cuando DDoS se utiliza como una distracción.
Dada su naturaleza, la aplicación precisa de las políticas de mitigación contra el tráfico de ataque debe ser llevada a cabo sin incurrir en falsos positivos, con un rendimiento a velocidad de línea y una eficacia máxima de seguridad. La tecnología on premise está diseñada para manejar los ataques volumétricos basados en la red y falsos ataques por amplificación y reflexión, así como ataques contra la capa de aplicación.
Una posible bala de plata: Un enfoque híbrido
En 2014 el Instituto SANS informó: “Las integración de soluciones de mitigación DDoS en local con el apoyo de ISPs es casi cuatro veces más frecuente que el mero uso de una solución in situ. La creciente sofisticación de los ataques DDoS y la naturaleza sensible de una disrupción potencial para los servicios del negocio requiere de ambas protecciones trabajando en sincronía”.
En este contexto, el principal beneficio de un enfoque híbrido es que el dispositivo en local reduce drásticamente el número de veces que una organización necesita realizar un proceso de switchover (transición) a una mitigación basada cloud. Esto no sólo reduce los costes y ahorra tiempo -en relación a esas conmutaciones- sino que también proporciona a las organizaciones la protección en tiempo real contra todo tipo de ataques DDoS y otras amenazas cibernéticas.