Tácticas para prevenir ataques DDoS y mantener su sitio web seguro.Un ataque masivo DDoS golpea su servidor. Sus sistemas de seguridad básicos no responden a tiempo.
De repente, su negocio se detiene y su sitio web está inactivo durante horas. Usted está perdiendo cantidades incalculables de ingresos.
No tiene que mirar más allá del incidente de Dyn del año pasado para ver cómo su empresa podría reducirse a una entidad que intenta reconstruir su reputación y su canalización.
En un solo fin de semana, el peor ataque de denegación de servicio distribuido de la historia estrelló los servicios de Internet más grandes del mundo. Twitter, Reddit, The New York Times y PayPal fueron solo algunos de los sitios importantes que cayeron debido al ataque.
El daño reportado por este ataque malicioso para Dyn fue una pérdida del 8% de su negocio. La dureza del mensaje enviado para las empresas digitales fue inconmensurable.
Los ataques de denegación de servicio están aquí para quedarse, y ninguna empresa puede darse el lujo de estar desprotegida.
¿Qué son los ataques DDoS? Una definicion
DDoS significa Denegación de Servicio Distribuida.
Es una forma de ataque cibernético que se dirige a los sistemas críticos para interrumpir el servicio de red o la conectividad que causa una denegación de servicio para los usuarios del recurso de destino. Un ataque DDoS emplea el poder de procesamiento de varias computadoras infectadas con malware para dirigirse a un solo sistema.
El botmaster, como la computadora principal de ataque, se llama, puede actuar en tres métodos principales.
Según el informe de tendencias DDoS Q1 2018 de Verisign , el tamaño máximo de ataque promedio aumentó un 26% en el período informado. Un estudio relacionado de Neustar sugiere que un ataque de este tipo puede costar a una compañía más de $ 250,000 por hora en riesgo.
Para protegerse contra el DDoS, es esencial comprender los tipos de ataques más comunes.
Tipos de ataques DDoS y cómo funciona
Ataques volumétricos
El ataque DDoS más común abruma el ancho de banda de la red de una máquina inundándolo con solicitudes de datos falsos en cada puerto abierto que el dispositivo tiene disponible. Debido a que el bot inunda los puertos con datos, la máquina tiene que lidiar continuamente con la verificación de las solicitudes de datos maliciosos y no tiene espacio para aceptar tráfico legítimo. Las inundaciones de UDP y las inundaciones de ICMP comprenden las dos formas principales de ataques volumétricos.
UDP significa User Datagram Protocol y se refiere a la transmisión simple de datos sin verificar su integridad. El formato UDP se presta bien para la transmisión rápida de datos, que desafortunadamente lo convierte en una herramienta principal para los atacantes.
ICMP significa Protocolo de mensajes de control de Internet, que se refiere a dispositivos de red que se comunican entre sí. Un ataque centrado en ICMP se basa en atacar a los nodos que envían solicitudes de error falsas al objetivo. El objetivo tiene que lidiar con estas solicitudes y no puede responder a las reales, de manera similar a cómo funciona un ataque UDP.
Ataques de la capa de aplicación
La capa de aplicación es la capa superior del modelo de red OSI y la más cercana a la interacción del usuario con el sistema. Los ataques que hacen uso de la capa de aplicación se centran principalmente en el tráfico web directo. Las posibles vías incluyen HTTP, HTTPS, DNS o SMTP.
Los ataques de la capa de aplicación no son tan fáciles de atrapar porque normalmente utilizan una cantidad menor de máquinas, a veces incluso una sola. Por lo tanto, se puede engañar al servidor para que trate el ataque como nada más que un mayor volumen de tráfico legítimo.
Ataques de protocolo
Un ataque de protocolo se enfoca en dañar las tablas de conexión en áreas de red que tratan directamente con la verificación de conexiones. Al enviar pings sucesivamente lentos, pings mal formados deliberadamente y paquetes parciales, la computadora atacante puede hacer que los búferes de memoria en el objetivo se sobrecarguen y puedan bloquear el sistema. Un ataque de protocolo también puede apuntar a cortafuegos. Es por esto que un firewall solo no detendrá los ataques de denegación de servicio.
Uno de los ataques de protocolo más comunes es la inundación SYN, que utiliza el proceso de intercambio de tres vías para establecer una conexión TCP / IP. Normalmente, el cliente envía un paquete SYN (sincronización), recibe un SYN-ACK (sincronización-acuse de recibo) y envía un ACK a cambio antes de establecer una conexión. Durante un ataque, el cliente solo envía paquetes SYN, lo que hace que el servidor envíe un SYN-ACK y espere la fase final que nunca ocurre. Esto, a su vez, ata los recursos de la red.
A menudo, los posibles piratas informáticos combinan estos tres tipos de enfoques para atacar a un objetivo en múltiples frentes, abrumando por completo sus defensas hasta que se puedan implementar contramedidas más fuertes y exhaustivas.
Las 7 mejores prácticas para prevenir ataques DDoS
La evolución de los ataques DDoS no muestra signos de desaceleración. Siguen creciendo en volumen y frecuencia, hoy en día con mayor frecuencia un enfoque «combinado» o «híbrido».
Sin la detección temprana de amenazas y los sistemas de perfilado de tráfico, es imposible saber que están aquí. De hecho, es probable que lo sepa solo cuando su sitio web se detiene o se bloquea.
Esto es especialmente cierto para los ataques sofisticados, que utilizan un enfoque combinado y se dirigen a múltiples niveles simultáneamente.
Estos ataques se dirigen a datos, aplicaciones e infraestructura simultáneamente para aumentar las posibilidades de éxito. Para luchar contra ellos, necesita un plan de batalla, así como soluciones confiables de prevención y mitigación DDoS. Necesita una estrategia de seguridad integrada que proteja todos los niveles de infraestructura.
1. Desarrollar un plan de respuesta de denegación de servicio.
Desarrolle un plan de prevención DDoS basado en una evaluación de seguridad completa. A diferencia de las empresas más pequeñas, las empresas más grandes pueden requerir una infraestructura compleja e involucrar a varios equipos en la planificación DDoS.
Cuando DDoS golpea, no hay tiempo para pensar en los mejores pasos a seguir. Deben definirse de antemano para permitir reacciones rápidas y evitar cualquier impacto.
Desarrollar un plan de respuesta a incidentes es el primer paso crítico hacia una estrategia de defensa integral. Dependiendo de la infraestructura, un plan de respuesta DDoS puede ser bastante exhaustivo. El primer paso que tomes cuando ocurre un ataque malicioso puede definir cómo terminará. Asegúrese de que su centro de datos esté preparado y que su equipo esté consciente de sus responsabilidades. De esa manera, puede minimizar el impacto en su negocio y ahorrarse meses de recuperación.
Los elementos clave siguen siendo los mismos para cualquier empresa, e incluyen:
- Lista de verificación de sistemas. Desarrolle una lista completa de los activos que debe implementar para garantizar la identificación avanzada de amenazas, la evaluación y las herramientas de filtrado, así como la protección a nivel de hardware y software con seguridad mejorada.
- Forma un equipo de respuesta . Defina las responsabilidades de los miembros clave del equipo para garantizar una reacción organizada ante el ataque a medida que se produce.
- Definir procedimientos de notificación y escalado . Asegúrese de que los miembros de su equipo sepan exactamente a quién contactar en caso de un ataque.
- Incluya la lista de contactos internos y externos que deben informarse sobre el ataque. También debe desarrollar estrategias de comunicación con sus clientes, proveedores de servicios en la nube y cualquier proveedor de seguridad.
2. Asegure su infraestructura de red.
La mitigación de las amenazas a la seguridad de la red solo puede lograrse con estrategias de protección multinivel en su lugar.
Esto incluye sistemas avanzados de prevención de intrusiones y administración de amenazas, que combinan firewalls, VPN, antispam, filtrado de contenido, balanceo de carga y otras capas de técnicas de defensa DDoS. Juntos, permiten una protección de red constante y constante para evitar que ocurra un ataque DDoS. Esto incluye todo, desde la identificación de posibles inconsistencias de tráfico con el más alto nivel de precisión en el bloqueo del ataque.
La mayoría de los equipos de red estándar vienen con opciones limitadas de mitigación de DDoS, por lo que es posible que desee externalizar algunos de los servicios adicionales. Con las soluciones basadas en la nube, puede acceder a recursos avanzados de mitigación y protección en una base de pago por uso. Esta es una excelente opción para pequeñas y medianas empresas que quieran mantener sus presupuestos de seguridad dentro de los límites proyectados.
Además de esto, también debe asegurarse de que sus sistemas estén actualizados. Los sistemas obsoletos son generalmente los que tienen la mayoría de las lagunas. Los atacantes dentales de servicio encuentran agujeros. Al parchear regularmente su infraestructura e instalar nuevas versiones de software, puede cerrar más puertas a los atacantes.
Dada la complejidad de los ataques DDoS, casi no hay una forma de defenderse contra ellos sin los sistemas adecuados para identificar anomalías en el tráfico y proporcionar una respuesta instantánea. Respaldados por una infraestructura segura y un plan de batalla, tales sistemas pueden minimizar la amenaza. Más que eso, pueden brindar la tranquilidad y la confianza necesarias a todos, desde un administrador de sistemas hasta un CEO.
3. Practicar la seguridad de red básica
La contramedida más básica para prevenir los ataques DDoS es permitir el menor error posible por parte del usuario.
La participación en prácticas de seguridad sólidas puede evitar que las redes empresariales se vean comprometidas. Las prácticas seguras incluyen contraseñas complejas que cambian de forma regular, métodos anti-phishing y cortafuegos seguros que permiten poco tráfico externo. Estas medidas por sí solas no detendrán el DDoS, pero servirán como una base de seguridad crítica.
4. Mantener una sólida arquitectura de red
Centrarse en una arquitectura de red segura es vital para la seguridad. Las empresas deben crear recursos de red redundantes; Si un servidor es atacado, los otros pueden manejar el tráfico de red adicional. Cuando sea posible, los servidores deben estar ubicados en diferentes lugares geográficamente. Los recursos extendidos son más difíciles de atacar para los atacantes.
5. Aprovecha la nube
Externalizar la prevención DDoS a proveedores de servicios basados en la nube ofrece varias ventajas. Primero, la nube tiene mucho más ancho de banda y recursos que una red privada. Con el aumento de la magnitud de los ataques DDoS, es probable que la confianza solo en el hardware local falle.
Segundo, la naturaleza de la nube significa que es un recurso difuso. Las aplicaciones basadas en la nube pueden absorber el tráfico dañino o malicioso antes de que llegue a su destino previsto. En tercer lugar, los servicios basados en la nube son operados por ingenieros de software cuyo trabajo consiste en monitorear la Web para las últimas tácticas DDoS.
La decisión sobre el entorno adecuado para los datos y las aplicaciones diferirá entre las empresas y las industrias. Los entornos híbridos pueden ser convenientes para lograr el equilibrio adecuado entre seguridad y flexibilidad, especialmente con proveedores que brindan soluciones a medida.
6. Entender las señales de advertencia
Algunos de los síntomas de un ataque DDoS incluyen desaceleración de la red, conectividad irregular en la intranet de una empresa o cierres intermitentes de sitios web. Ninguna red es perfecta, pero si la falta de rendimiento parece ser más prolongada o más grave de lo normal, es probable que la red esté experimentando un DDoS y la empresa debería actuar.
7. Considere DDoS como servicio.
DDoS-as-a-a-Service proporciona una flexibilidad mejorada para entornos que combinan recursos internos y de terceros, o alojamiento en la nube y servidores dedicados .
Al mismo tiempo, garantiza que todos los componentes de la infraestructura de seguridad cumplan con los más altos estándares de seguridad y requisitos de cumplimiento. El beneficio clave de este modelo es la capacidad de la arquitectura de seguridad hecha a medida para las necesidades de una empresa en particular, lo que hace que la protección DDoS de alto nivel esté disponible para empresas de cualquier tamaño.
¿Cómo detener un ataque DDoS? Monitor de actividad inusual
La detección temprana de amenazas es una de las formas más eficientes de prevenir el ataque.
La denegación de servicio puede presentarse en múltiples formas, y es fundamental reconocer su relato más común. Cualquier desaceleración dramática en el rendimiento de la red o un aumento en la cantidad de correos electrónicos no deseados puede ser un signo de una intrusión. Estos deben abordarse tan pronto como se noten, incluso si las desviaciones no parecen tan importantes al principio.
Las empresas también deben comprender las capacidades de sus equipos para identificar los ataques de capa de red y de aplicación. Si no tiene estos recursos de forma interna, es posible que desee trabajar con su ISP, centro de datos o proveedor de seguridad para obtener recursos de protección avanzados.
Con los sistemas adecuados para detectar y reaccionar a todos los tipos de ataques, ya configura su negocio para una defensa exitosa.
Qué buscar en un servicio de mitigación de DDoS
Cuando sea posible, es beneficioso elegir un servicio de mitigación DDoS que mantenga a los ingenieros y administradores de red en el sitio monitoreando continuamente el tráfico. Al hacerlo, permite un tiempo de respuesta más rápido que tener que trabajar de forma remota.
Otro factor es si el servicio trata con ataques SSL. Los sitios que proporcionan transacciones comerciales se ejecutan en SSL, y un ataque exitoso contra este protocolo puede costar miles de dólares en ingresos perdidos.
Cuanto más completo sea el plan de mitigación, mejores serán las redes cuando se trata de protección contra ataques DDoS. Existen muchos servicios diferentes en el mercado.
Siempre esté preparado para los ataques de denegación de servicio
Los ataques DDoS son terriblemente reales y ya no son solo un problema de corporaciones masivas. Las pequeñas y medianas empresas son cada vez más los objetivos. Esta tendencia ha provocado una demanda aún mayor de soluciones de seguridad de múltiples capas que pueden proporcionar una protección completa de las cargas de trabajo sensibles.
Mientras el panorama de amenazas continúa desarrollándose, también lo hacen las tecnologías de seguridad. Siguiendo esa tendencia, recientemente lanzamos la cuarta fase de mejoras DDoS para todos nuestros servicios. Estaremos incrementando nuestro enfoque en empresas educadas sobre las amenazas cibernéticas más comunes y las mejores estrategias de seguridad para defender.
¿Listo para dar el siguiente paso y asegurar la continuidad del negocio? Póngase en contacto con nuestros expertos en seguridad en la nube para obtener más información y evitar que el próximo ataque DDoS ocurra en su empresa.
Leer también: Seguridad del centro de datos: capas físicas y digitales de protección; ¿Qué es un ataque de fragmentación de IP?; Que es BlackPOS
This post is also available in:
Español
