Por Radware
6 de agosto de 2020
Los proveedores de software como servicio (SaaS) tienen requisitos esenciales para todos los aspectos de la tríada de seguridad de la información: disponibilidad, confidencialidad e integridad. Si bien otras industrias pueden permitirse el lujo de concentrarse solo en la confidencialidad y la integridad, los proveedores de SaaS deben sumarle a esto conservar la capacidad de los clientes de acceder a sus aplicaciones.
Proteger la infraestructura subyacente y los datos de los clientes es cada vez más difícil. La facilidad de acceso, los bajos costos y la creciente complejidad de las herramientas de ataques cibernéticos están obligando a las organizaciones a adaptar nuevas técnicas de detección y mitigación. Veamos algunos vectores de ataques comunes que amenazan a las empresas de SaaS.
La visión desde la primera línea
Ningún sector es inmune a los vectores de ataque emergentes, diseñados para probar y desafiar las defensas. He aquí algunos de los principales tipos de ataque que amenazan cada vez más a los proveedores de SaaS:
Campañas de ataques en ráfaga y APDoS (ataques de denegación de servicio avanzados y persistentes): ambas utilizan ráfagas breves de gran volumen en intervalos aleatorios. Los ataques pueden durar semanas y abarcan múltiples vectores destinados a todas las capas de red de manera simultánea. Estos tipos de ataque tienden a causar frecuentes interrupciones en los SLA de red y pueden evitar que los usuarios legítimos tengan acceso a los servicios de la organización.
Botnets de IoT: los botnets de IoT constituyen una de las principales amenazas dirigidas a las organizaciones dado el aumento significativo del uso de dispositivos IoT para crear poderosos botnets.
[También puede interesarle: Los bots maliciosos se han dado cuenta de que las APIs son su punto débil]
Ataques cifrados/SSL: los atacantes usan el protocolo SSL para encubrir y complicar aún más el tráfico de ataque y la detección de malware en amenazas de red y a nivel de aplicación. Del mismo modo que la SSL y el cifrado protegen la integridad de las comunicaciones legítimas, también reemplazan eficazmente muchos atributos del tráfico que se utilizan para determinar si es malicioso o legítimo.
Ataques a las aplicaciones de capa 7: otro vector de ataque común que enfrenta SaaS es el ataque a las aplicaciones de capa 7, que presentan dos variedades: ataques DoS a las aplicaciones que apunta al agotamiento de los recursos mediante el uso de HTTP además de HTTPS, DNS, SMTP, FTP, VoIP y otros protocolos de aplicaciones que poseen debilidades explotables. Al igual que los ataques que amenazan los recursos de redes, los ataques que tienen como objetivo los recursos de aplicaciones son muy variados, e incluyen inundaciones y ataques "lentos y de menor intensidad”. Estos enfoques tienen un papel de especial importancia, apuntan principalmente a las debilidades del protocolo HTTP, el cual (como el protocolo de aplicación más utilizado en Internet) es un objetivo atractivo para los atacantes. La segunda categoría de ataques a las aplicaciones busca aprovechar las vulnerabilidades del propio código de la aplicación.
Ataques extorsivos: los atacantes saben que el tiempo de inactividad o la pérdida de datos del cliente tiene un efecto devastador para una empresa de SaaS. Como resultado, los atacantes motivados por objetivos financieros acuden a una de las tácticas de ataque más populares, los ataques extorsivos. Por lo general, se presentan en una de dos variedades. La primera, los ataques Ransomware, utiliza software malicioso para tomar como rehén un entorno al impedir la disponibilidad de uso de recursos o datos esenciales a menos que se efectúe un pago. La segunda es un ataque de denegación de servicio distribuido con pago de rescate (RDoS), en el que los delincuentes envían un correo electrónico para comunicar la amenaza de atacar a la organización y bloquear el acceso a sus negocios, operaciones o capacidades, a menos que se pague un rescate antes de una fecha límite. Los ataques RDoS son especialmente insidiosos porque no requieren que el atacante efectivamente hackee la red o las aplicaciones objetivo.
Ataques DNS: el DNS es un componente fundamental de la infraestructura de una organización. Si bien las organizaciones y los proveedores de servicios toman medidas de seguridad para proteger la infraestructura DNS, los atacantes están generando ataques más complejos. Los sofisticados atacantes aprovechan el comportamiento del protocolo DNS para generar ataques más poderosos, incluidos ataques DNS Water Torture y DNS recursivos. Mitigar estos ataques requiere de herramientas que puedan aprender y adquirir conocimientos profundos sobre el comportamiento del tráfico DNS.
Ataques de reflexión y amplificación: los ataques de reflexión y amplificación se aprovechan de la desigualdad entre las tasas de solicitudes y respuestas en ciertos protocolos técnicos. Por ejemplo, el atacante podría usar un router como amplificador, y aprovechar la función de dirección IP de transmisión del router para enviar mensajes a múltiples direcciones IP en las que la IP de origen (dirección de retorno) se oculta a la IP de destino. Otro ejemplo de un ataque de amplificación es el abuso del protocolo NTP (Network Time Protocol), que aprovecha una relación de solicitud de respuesta de hasta 600:1 y luego envía solicitudes desde la dirección IP falsificada de los objetivos, lo que da como resultado una respuesta cada vez mayor. A tasas elevadas, estas respuestas han generado algunos de los mayores ataques DDoS de gran volumen vistos hasta la fecha.
Ataques basados en CDN y contenido dinámico: los proveedores de SaaS a menudo utilizan proveedores de red de distribución de contenidos (CDN) para respaldar el rendimiento global de sitios y aplicaciones. Los CDN pueden ofrecer una cobertura especialmente insidiosa para los ataques, ya que los proveedores de SaaS no pueden bloquear el tráfico proveniente de direcciones IP de la CDN. Los actores maliciosos han convertido la falsificación de direcciones IP en un arte, no solo para confundir su identidad sino también para posiblemente ocultarse como usuarios aparentemente legítimos en función de la geolocalización o información de reputación positiva sobre las direcciones IP que pueden comprometer. Los ataques de contenido dinámico aprovechan mejor la protección basada en CDN al sobrecargar los servidores de origen con solicitudes de contenido no almacenado en caché, que los nodos CDN simplemente transmiten.
Estrategias de protección probadas Afortunadamente, existen algunas estrategias probadas para proteger estas empresas de los ataques conocidos actualmente y también de ataques nuevos o variantes de ataques aún no identificados.
“Panel único”: independientemente del lugar donde se alojen las aplicaciones —locales, en la nube pública o privada— busque una solución unificada que pueda proteger sus aplicaciones en cualquier lugar. Una solución como esta ofrece a las organizaciones que alojan sus aplicaciones en un entorno híbrido, que incluye tanto aplicaciones locales como en la nube, protección DDoS unificada a través de una política de seguridad consistente y un panel único.
Mitigación de ataques híbridos: una solución DDoS “híbrida” combina tecnologías locales y basadas en la nube. Existen numerosas ventajas para las implementaciones híbridas. Para la protección DDoS, las implementaciones híbridas proporcionan detección inmediata de los ataques y mitigación en línea junto con el respaldo de recursos de depuración basados en la nube en el caso de ataques volumétricos. Para los ataques avanzados a las aplicaciones, las soluciones WAF con tecnología única incluyen un WAF local y un servicio WAF en la nube para impulsar la coordinación y la consistencia de la gestión de políticas para aplicaciones que a menudo se extienden entre los centros de datos locales y basados en la nube.
Protección DDoS y WAF integrados: cada vez más, los ciberataques forman parte de campañas avanzadas coordinadas que hacen que las soluciones puntuales de mitigación sean ineficaces. Los proveedores SaaS necesitan una solución integrada que coordine la detección y mitigación de ataques en los vectores comúnmente combinados. Por lo general, los ataques DDoS funcionan como una cortina de humo o una trampa para alguna otra actividad de ataque que pasa desapercibida debido a la distracción del ataque DDoS.
Mitigación de ataques SSL: la mayoría de las defensas contra DDos solo ofrecen protección para ciertos tipos de ataque, y en muchos casos luchan con los ataques basados en SSL. Esto es especialmente cierto para los servicios de protección DDoS en la nube, que rara vez incluyen mitigación de ataques SSL.
Protección contra ataques de día cero: hoy los ataques pueden cambiar en cuestión de segundos y evadir protecciones estáticas basadas en firmas. Se necesita la creación de firmas en tiempo real para mitigar los ataques DDoS de día cero.
Protección contra bots: tecnología de huellas digitales independientes de IP que permite una protección avanzada de las aplicaciones web. El seguimiento de las fuentes independiente de IP enfrenta las amenazas que presentan los bots avanzados, como el web scraping, los ataques DDoS a aplicaciones web, el desciframiento de contraseñas por fuerza bruta y el secuestro de clics.
Comments