Yaakov's Group | Ciberseguridad

¿Qué es la mitigación de DDoS y cómo funciona?

Comparte este post en tus redes sociales

Los ataques distribuidos de denegación de servicio (DDoS) son un método favorito de los atacantes para interrumpir o debilitar los firewalls, los servicios en línea y los sitios web mediante sistemas abrumadores con tráfico malicioso o solicitudes de transacciones. Los atacantes DDoS logran esto al coordinar un ejército de máquinas comprometidas, o ‘bots’, en una red de dispositivos que controlan desde una ubicación remota que enfoca un flujo de actividad hacia un solo objetivo. Estas botnets pueden usarse para perpetrar ataques DDoS con una variedad de técnicas maliciosas que incluyen:

  • Saturación de ancho de banda con grandes volúmenes de tráfico
  • Llenar los recursos del sistema con solicitudes de conexión semiabiertas
  • Bloquear servidores de aplicaciones web con voluminosas solicitudes de información aleatoria

¿Qué es la mitigación de DDoS?
La mitigación de DDoS es la práctica de bloquear y absorber picos maliciosos en el tráfico de red y el uso de aplicaciones causados por ataques DDoS, al tiempo que permite que el tráfico legítimo fluya sin obstáculos.

Las estrategias y tecnologías de mitigación de DDoS están destinadas a contrarrestar los riesgos comerciales planteados por la gama completa de métodos de ataque DDoS que pueden emplearse contra una organización. Están diseñados principalmente para preservar la disponibilidad de los recursos que los atacantes buscan interrumpir. Pero la mitigación de DDoS también está destinada a acelerar la cantidad de tiempo que se necesita para responder a DDoS, que los malos utilizan con frecuencia como táctica de distracción para llevar a cabo otros tipos de ataques, como la exfiltración, en otras partes de la red.

Técnicas y estrategias para la mitigación de DDoS
Existen varias estrategias y técnicas cruciales que normalmente contribuyen a la capacidad de mitigación de DDoS para reducir el impacto de estos ataques.

La base de la mitigación de DDoS ciertamente se basa en la construcción de una infraestructura sólida. Tener en cuenta la resiliencia y la redundancia a través de los siguientes son los primeros pasos cruciales para la mitigación de DDoS:

  • Fortalecimiento de las capacidades de ancho de banda
  • Segmentar redes y centros de datos de forma segura
  • Establecimiento de duplicación y conmutación por error
  • Configurar aplicaciones y protocolos para la resiliencia
  • Reforzar la disponibilidad y el rendimiento a través de recursos como las redes de entrega de contenido (CDN)

Sin embargo, la arquitectura más robusta y los servicios CDN por sí solos no son rival para los ataques DDoS modernos, que requieren más capas de protección para una mitigación DDoS efectiva. Los investigadores de seguridad se encuentran cada vez más con volúmenes masivos de ataques DDoS de más de 500 Gps e incluso más de 1 TBps y ataques intensamente largos que pueden durar días e incluso semanas. Además, los atacantes están aumentando la cadencia de los ataques y la diversidad de protocolos y tipos de sistemas a los que se dirigen con sus intentos de DDoS.

Sin algún medio para detectar y bloquear el tráfico DDoS malintencionado, los recursos del sistema más resistentes, incluso aquellos respaldados por servicios CDN, pueden agotarse fácilmente con técnicas modernas de DDoS, sin dejar ninguno para satisfacer las solicitudes de actividad y conexiones legítimas.

Esta es la razón por la que la mitigación de DDoS eficaz requiere algún método para eliminar el tráfico incorrecto lo más rápido posible sin impedir el tráfico legítimo, las solicitudes de conexión o las transacciones de aplicaciones.

Además, la mayoría de las organizaciones refuerzan sus estrategias de mitigación de DDoS mediante una planificación eficaz de la respuesta a incidentes. Esto incluye el desarrollo de libros de jugadas para numerosos escenarios de ataque y capacidades de pruebas de estrés periódicas para garantizar que las defensas puedan funcionar como se espera.

¿Qué personas o tecnologías se necesitan para responder a un ataque?
Los equipos de seguridad que ejecutan programas de mitigación de DDoS suelen buscar tecnología o servicios que les ayuden a determinar automáticamente la diferencia entre picos de tráfico legítimos y ataques DDoS reales.

Análisis de tráfico

La mayoría de las estrategias de mitigación de DDoS se basan en el monitoreo del tráfico 24×7 para estar atento a las amenazas y detectar los primeros signos de actividad DDoS antes de que se convierta en una bola de nieve en volúmenes inmanejables o persista a través de técnicas DDoS lentas y bajas que pueden degradar el rendimiento sin tomar un sistema por completo. desconectado. Las organizaciones que no tienen el personal para proporcionar monitoreo en la nube con frecuencia recurren a proveedores de servicios administrados para cumplir con ese rol. La mitigación de DDoS administrada puede marcar la diferencia al minimizar el costo del tiempo de inactividad y la productividad tras un ataque.

Detección de anomalías

Las capacidades de monitoreo generalmente están respaldadas por tecnología de detección de anomalías que está ajustada a las líneas base y políticas de la red, así como a las fuentes de inteligencia de amenazas que rastrean los últimos indicadores de compromiso (IOC) asociados con las tácticas de ataque DDoS más recientes. Estas detecciones luego desencadenan respuestas reactivas de expertos en mitigación de DDoS y / o tecnología automatizada.

Cambio de ruta y limpieza

Muchas organizaciones utilizan una combinación de soluciones locales, como dispositivos de mitigación de DDoS, firewalls y dispositivos de gestión de amenazas unificados para bloquear la actividad DDoS a medida que se detecta. Sin embargo, esto requiere un ajuste significativo del dispositivo y el hardware limita la cantidad de tráfico que estos dispositivos pueden desviar o absorber.

Como resultado, muchas organizaciones están recurriendo a soluciones de mitigación de DDoS basadas en la nube o proveedores de soluciones de seguridad administradas. Cuando el monitoreo y la detección de anomalías detectan tráfico o actividad maliciosa, la infraestructura de mitigación de DDoS idealmente redirigirá ese tráfico a través del sistema de filtrado basado en la nube antes de cruzar el borde de la red, dejando que el tráfico legítimo continúe sin cesar a través de los sistemas existentes como de costumbre. La limpieza realizada por ese recurso externo ayuda a las organizaciones a bloquear y absorber mejor la actividad DDoS de alto volumen, manteniendo el tiempo de actividad incluso frente a la orientación de botnets masivas.

Si bien gran parte de la respuesta inicial al ataque se automatiza a través de la tecnología, la mitigación DDoS eficaz también requiere un equipo bien capacitado para realizar cambios sobre la marcha cuando los escenarios de ataque arrojan volúmenes, técnicas o ataques extendidos inusuales en la red. Además de las capacidades de respuesta a incidentes, las organizaciones pueden necesitar apoyarse en analistas de seguridad para realizar revisiones post mortem que podrían ayudarlas a ajustar la planificación de mitigación de DDoS en el futuro o el ajuste de herramientas.

Fuente: ATT

Te podemos ayudar a monitorear e identificar ataques de DDOs. Somos un Cyber SOC certificado CERT y PCI. Contactanos! #Yaakov´sGrooup tiene la solución ¡Contáctanos! #Laexperienciaentecnología #cybersecurity #digitaltransformation  #Appsec #devops #devsecops