Por Eyal Arazi
Marzo 10, 2020
La naturaleza de los ataques DDoS está cambiando, y aunque algunas organizaciones creen que es cosa del pasado, no es así. Estos son los 5 principales mitos sobre DDoS en 2020.
Mito 1: DDoS ya no es un problema
Según el Informe global de seguridad de red y aplicaciones 2019-2020 de Radware, alrededor de la tercera parte de los encuestados experimentó un ataque de denegación de servicio (DDoS). Los atacantes se alejan de los desbordamientos volumétricos simples y se centran en ataques DDoS de capa de aplicación (L7) más sofisticados y difíciles de mitigar. Según la investigación de Radware, el 90% de los ataques estaban por debajo de 10 Gbps, y el paquete promedio por segundo (PPS) disminuyó, pero casi todos los encuestados (91%) que informaron un ataque DDoS, indicaron que el vector de ataque preferido era la capa de aplicación.
Además, los ataques de saturación volumétrica de los canales (pipes) disminuyeron aproximadamente en un 9%, pero aumentaron los ataques dirigidos a componentes de red específicos, como servidores de aplicaciones, firewalls y servidores SQL.
Esto significa que si bien la naturaleza de los ataques DDoS está cambiando, estos siguen siendo una gran preocupación para las organizaciones y una alta prioridad contra la cual protegerse.
Mito 2: DDoS Ransom es cosa del pasado
Asimismo, en los últimos meses se ha visto un resurgimiento de los ataques de pedido de rescate por DDoS. Según el Informe global de seguridad de red y aplicaciones 2019-2020 de Radware, los ataques de ransom han aumentado un 16% por año, y el 70% de las empresas norteamericanas los clasificaron como la motivación principal de los ataques cibernéticos.
En los últimos meses hemos visto dos importantes campañas de pedido de rescate por DDoS: la primera contra bancos de Sudáfrica en octubre de 2019, y más recientemente, una campaña dirigida contra bancos e instituciones financieras de Australia. En ambos casos, las notas de pedido de rescate precedieron a campañas a gran escala, sofisticadas y sostenidas para derribar los servicios financieros.
Esto significa que si bien es posible que no escuchemos tanto sobre los ataques de ransom DDoS como en el pasado, los atacantes no han renunciado a este vector de ataque, y las organizaciones deben permanecer alertas para detectarlo.
Mito 3: Su enlace ISP puede protegerlo
En la lucha contra la drástica disminución de los costos de conectividad, cada vez más proveedores de servicios de Internet (ISP) y operadores móviles ofrecen servicios de protección contra DDoS como una forma de proporcionar servicios de valor agregado y no perder clientes.
Para muchos clientes, obtener servicios de seguridad de bajo costo junto con el servicio de Internet puede ser una propuesta convincente; después de todo, ¿quién puede resistirse a lo que es gratuito?
Sin embargo, el problema es que, en su mayor parte, la seguridad es un negocio secundario para su ISP. Esto significa que no cuenta con la tecnología y experiencia de seguridad para proporcionar una protección realmente eficaz. Además, debido a que es un producto que suele dar pérdidas, pero se necesita para respaldar sus otros servicios, los ISP invierten lo menos posible en defensas.
Como resultado, frecuentemente proporcionan solo las protecciones más simples y básicas con el menor costo posible. En consecuencia, dichos clientes no reciben protección contra los últimos y más sofisticados tipos de ataque como ataques en ráfaga, ataques dinámicos de IP, ataques DDoS de capa de aplicación, desbordamientos de SSL DDoS, y mucho más.
Los clientes que confían su protección al ISP pueden disfrutar de los ahorros en el costo del servicio a corto plazo, pero también podrían descubrir que este tipo de protección de bajo costo terminará siendo mucho más cara en el futuro.
Mito 4: Su proveedor de nube pública puede protegerlo
A medida que las organizaciones adoptan cada vez más la infraestructura de la nube pública, muchos clientes optan por las protecciones contra DDoS integradas y gratuitas que ofrecen sus proveedores de hosting en la nube pública. Muchos gerentes de seguridad se alegran de que su proveedor de la nube maneje los ataques DDoS, ya que consideran que son un problema de red. Por ejemplo, según el Informe global de seguridad de red y aplicaciones 2019-2020 de Radware, el 31% de las organizaciones confían principalmente en las herramientas de seguridad nativas de los proveedores de la nube pública, y un número similar combina herramientas nativas con soluciones de terceros.
El problema, no obstante, es que las herramientas de seguridad ofrecidas por los proveedores de la nube pública son con frecuencia herramientas rudimentarias "suficientemente buenas" que proporcionarán protección básica, pero no mucho más.
Esto es verdad en particular para la protección contra DDoS, ya que, al igual que los ISP, los proveedores de nube pública con frecuencia optan por las protecciones más básicas y rentables (para ellos). Para ilustrar, un gran proveedor de nube pública no tiene reparos en declarar que su nivel gratuito proporciona protección solo contra los ‘ataques DDoS de capa de transporte y red más comunes y frecuentes’.
Además, estas herramientas generalmente protegerán solo aquellos activos que están alojados en el entorno de nube pública de ese proveedor, pero no los activos alojados en otro lugar, en otros entornos de nube o en centros de datos físicos. Como resultado, las organizaciones que ejecutan entornos de múltiples nubes y que dependen de sus proveedores de nube para la protección contra DDoS terminarán con mecanismos de seguridad en silos, inconsistentes con las políticas de seguridad, y generación de informes segregados.
Mito 5: Todas las protecciones contra DDoS son iguales
A medida que aumenta la cantidad de servicios en línea, la seguridad se centra cada vez más en la seguridad de la aplicación y en la protección de los datos, y menos en la seguridad de la capa de red. Esto ha llevado a algunas organizaciones a creer que la protección contra DDoS es un problema de la capa de red, una cosa del pasado y, en consecuencia, que las protecciones son todas iguales.
Como explicamos anteriormente, la naturaleza de los ataques de DDoS está cambiando, y las protecciones que hasta hace poco tiempo eran adecuadas, ya no son eficaces. Los atacantes de DDoS se están centrando cada vez más en la capa de aplicación, aprovechando bots sofisticados para lanzar ataques, y utilizan vectores de ataques complejos como ataques en ráfaga, desbordamientos de SSL y ataques de carpet-bombing.
Los servicios de protección contra DDoS varían enormemente según la tecnología, la red y el servicio. Por eso es importante elegir un servicio de protección contra DDoS que ofrezca protecciones de comportamiento que vayan más allá de los límites simples de firma y velocidad, que tengan la capacidad de lidiar incluso con los ataques más grandes y respalden sus reclamos de marketing con métricas de SLA cuantificables y medibles.