Denegación de servicios, un ataque común que el canal puede aprender a capitalizar
Seguridad es un tema que debe de estar presente en toda implementación TI, dejar de lado las soluciones de este tipo significa ser vulnerable a los ciberataques que cada día se vuelven más complejos y efectivos.
Muchas son las formas de acometer contra una organización en el ciberespacio; una de las más comunes y frecuentes es denegación de servicio (DDoS). Recientemente hemos escuchado famosos ataques que operan bajo esta modalidad a grandes compañías reconocidas, como la intrusión a Twitter, Spotify, Ebay o The New York Times. Alain Karioty, vicepresidente de ventas para América Latina de A10 Networks, explicó que este ataque funcionó a través de, “Mirai, que es un malware, ahora de código abierto que infectó a más de medio millón de dispositivos en la segunda mitad de 2016. Este malware tiene por objetivo crear un ejército de bots o dispositivos controlados. Se dio a conocer cuando impactó vía DDoS primero contra la página web de Krebs on Security, un blog de Ciber-seguridad, luego contra OVH, una empresa de hosting en Francia y a finales de octubre contra la infraestructura DNS de DYN, un gran proveedor de servicios DNS, y fue el medio que afectó a empresas como: Amazon, Spotify, Twitter, NY Times o Netflix, por citar algunos”.
Elías German, ingeniero de ventas en México y Centro América de Arbor Networks, explicó que el objetivo principal de un DDoS es comprometer la disponibilidad de los servicios de una empresa para vulnerar su integridad, así como la confidencialidad de los datos. Alain Karioty, detalló que estos ataques pueden ser dedicados al DNS, una aplicación o la red e ntera de una organización, por ejemplo.
Por su parte, Carlos Ortiz, gerente general de F5 en México, aclaró que un evento de denegación comienza en la capa tres pero pueden darse en la capa cuatro y siete.
La forma en la que operan, actualmente se presenta en tres distintas formas, de acuerdo a lo declarado por los especialistas en el tema éstas tres son:
• Ataques volumétricos: éstos son los más comunes y su método es saturar el ancho de banda par afectar la disponibilidad. “El enfoque es poder generar tráfico que satura los enlaces de comunicación, por ejemplo si el enlace es de 1GB se genera ese volumen para impedir el acceso de las peticiones válidas”, puntualizó Elías German.
• Ataque a la infraestructura de red: “Atentan contra equipos de seguridad perimetral logrando el agotamiento del estado de conexión. La forma es similar al volumétrico pero éste va enfocado a dispositivos perimetrales de comunicación o seguridad, agotando la capacidad de los equipos, abriendo una gran cantidad de sesiones, así las peticiones se quedan en el perímetro porque ya no tienen más sesiones para atender la demanda”, describió German.
• Ataque tipo aplicativo: Es el más evolucionado y funciona encontrando y comprometiendo las vulnerabilidades y deficiencias a nivel aplicativo, el ejecutivo de Arbor ahondó que con este método no se necesita una gran cantidad de tráfico y no atenta a los recursos perimetrales, sino el stack o el código de la aplicación.
No obstante, es importante que los integradores tengan en cuenta que actualmente el 77% de los ataques perpetuados son multivector, es decir, que incluyen las tres formas de modo simultáneo para ser más efectivo.
Iván Sánchez el gerente de cuenta en México de Infoblox, explicó que lo ataques son dirigidos en un 80% vía DNS (Domain Name System) para desgastar los servicios. “Actualmente el protocolo más atacado es HTTP y el segundo lugar es DNS, pero para poder llegar al protocolo HTTP es por medio del DNS”. Al atacar los DNS se puede introducir malware, o bien extraer información encriptada por partes, “Es muy común y como la comunicación DNS debe de estar activa, la seguridad perimetral no lo detecta, por lo que la información sale para luego ser reconstruida”, de hecho cuando hay robo de datos el 92% de los casos es a través de DNS, según datos de Infoblox.
Las recomendaciones para estar protegido
Para hacer frente a un ataque DDoS se requiere más que las soluciones tradicionales de seguridad. “Hay recursos que no están diseñados para este tipo de eventos, por ejemplo el firewall es como una compuerta que agota muy rápido su pull de sesiones. La protección con base a firmas no detecta el tráfico ya que muchas veces no es anómalo y es permitido, antes se creían que así se prevenían los ataque con firewall e IPS, actualmente la tendencia es la reducción en el uso de estos dos para la protección de ataques de denegación”, explicó German.
La propuesta de Arbor es la evaluación de tráfico de entrada con definiciones específicas para distinguir entre el legítimo y el que no lo es, gracias a la visibilidad que ofrece la solución. Para distinguir ataques de tipo aplicativo la firma recomienda componentes en el borde de la línea para identificar el contenido del paquete.
A10 Networks explicó que lo más recomendable es una protección híbrida y multivector: “Un dispositivo de protección frente a DDoS instalado en la infraestructura local que detecta el comienzo de un ataque y los mitiga hasta que el volumen supera la capacidad de ancho de banda”. Recomendó que el dispositivo que elijan debe ser capaz de proporcionar protección para una amplia variedad ataques que pueden alcanzar simultáneamente la red. Asimismo añadió: “Se debe considerar una solución capaz de descargar el procesamiento de ataques de gran volumen y baja complejidad a nivel de red hacia hardware de propósito específico, aliviando los recursos de CPU para que puedan ocuparse de los ataques de aplicación más complejos y de bajo volumen. Todo esto se puede llevar a cabo en un dispositivo con un tamaño eficiente, de una unidad de rack. Por otra parte, la solución debería ser lo suficientemente inteligente como para saber distinguir entre la actividad maliciosa y el tráfico que podría parecer un ataque, pero que realmente es legítimo”.
La propuesta de Infoblox va enfocada a bloquear los ataques DNS, manteniendo peticiones disponibles para que el servicio esté disponible aún bajo ataque, y de modo interno buscan tener una base donde los clientes internos de la red no sean tomados como botnes. El anterior es un método de analíticos de comportamiento de DNS para captar la frecuencia o tamaño de las peticiones. La marca destacó la posibilidad que tienen sus soluciones de interconectarse con otros elementos de seguridad para mantener más comunicación y reducir las brechas de seguridad, ya que según lo afirmó Iván Sánchez, éste es uno de los grandes problemas en las arquitecturas de las empresas. “Con ello somos el primer punto para el tráfico y de salidas de internet, nuestra apuesta es una estrategia más robusta. Las tecnologías hacen bien su trabajo pero los problemas comúnmente se encuentran en la falta de comunicación de los sistemas y los usuarios”, abundó el ejecutivo.
Luis Villalobos, especialista de ventas ingeniería y seguridad de F5 Networks, coincidió que las soluciones en el perímetro ya no son suficientes y apuntó a tres tipos de propuesta con distintos grados de protección: aquellas que ofrecen los proveedores de servicio como carriers, protegiendo los enlaces, las basadas en la entrega de contenido; también se ofrecen soluciones en la nube donde ya no importa la protección que da el carrier, porque es una protección avanzada. La recomendación de esta marca es una defensa en varias capas incluyendo la capa tres y siete que afecta principalmente al tipo aplicativo, así como detener los ataques en el centro de datos con integración de dispositivos y servicios cloud.
Motivaciones de los cibercriminales
Una tendencia destacada es que este tipo de ataques sean usados como una cortina de humo. Karioty, explicó al respecto que, “A veces, los ataques DDoS esconden otros ataques. Así, mientras los administradores de TI generan un plan de defensa para lidiar con el primer ataque, los atacantes realizan otro en paralelo con extracción de información u otro tipo de amenaza”.
Una motivación frecuente es vulnerar a una empresa por mero desafío y se presenta mucho en compañías que se jactan de contar con la última tecnología de ciberseguridad.
Los cibercriminales piden una cuota en Bitcoins que debe ser pagada si no se quiere recibir un ataque más fuerte, por ejemplo a la infraestructura, puntualizó Iván Sánchez. “Estos ataques buscan obtener un beneficio económico, roban información y la venden en la deepnet como el caso de Tor”, abundó Luis Villalobos de F5, quien complementó que para el tipo lucrativo la tendencia es que los principales portales atacados sean aquellos con tiendas en línea como retail, o instituciones bancarias.
Hacktivismo: “Este tipo de objetivos funcionan para dar un mensaje a las corporaciones y se presenta mucho en el sector gubernamental, para expresar una postura”, dijo Carlos Ortiz. Según el ejecutivo, es un ataque muy popular y Anonymous es el principal representante de estos casos.
Cabe destacar que las implicaciones a nivel corporativo pueden ser perjudiciales para las empresas, van desde pérdida de confianza de los clientes hasta de cuantiosas cantidades.
Sobre regulaciones en México
Hablando sobre a lo que están o no obligadas las empresas al ser atacadas, Carlos Ortiz, destacó que en México las compañías no están obligadas a reportar si fueron víctimas del cibercrimen, por tanto “Las organizaciones no quieren publicar que fueron vulnerados y no hay ninguna ley que les obligue, por ello es difícil generar cifras y estadísticas de los ataques en el país. Hay casos como el de Liverpool en el que se ven obligados porque son empresas que reportan a la bolsa”. Pero el problema va más allá de la generación de estadísticas, en opinión del especialista de ventas de F5, la reglamentación es necesaria ya que cuando se compromete la información a la que tienen acceso los atacantes, no es exclusiva del corporativo sino también de los clientes, por lo que deberían de informar a los usuarios de los hechos, ya que tienen el derecho a saber qué pasa con sus datos. Villalobos agregó, que al estar obligados a declarar presionaría a las organizaciones a realizar las inversiones adecuadas en términos de seguridad.
En este tenor, Iván Sánchez, dijo que Algunas iniciativas ya se han puesto sobre la mesa del INAI quien es el organismo encargado de la protección de datos personales, no obstante añadió que en regulaciones falta mucho por hacer aunque opinó que es un tema complejo.
La importancia del mayorista
El papel de los mayoristas es importante cuando se habla de la configuración de una arquitectura adecuada de seguridad, en ellos se pueden encontrar diversas soluciones para DDoS y otras amenazas. Andrés Romero, consultor de ventas de CompuSoluciones, destacó que en su caso cuentan con la oferta de Mcafee Network Security Platform que tiene la capacidad de analizar el comportamiento de red. El ejecutivo del mayorista subrayó que en la entrega de soluciones ayudan a los canales a contar con todo lo que requieren y a ofrecer soporte. Agregó que una de las características más importantes de su papel es que cuando un canal se encuentra con una oportunidad en la que no es experto, ya que los ayudan a no perderla apoyándolos con ingenieros preventa y consultores comerciales. Del mismo modo cuentan con cursos de capacitación para que aquellos que deseen formarse en esas soluciones que aún no incluyen en su oferta. Con lo anterior coincidió Armando Alcalá, supervisor y seguridad de datos en Ingram Micro, que también dispone de entrenamientos y un área de servicios profesionales para que puedan detectar oportunidades y contar con soporte de personal especializado que les ayude a ofrecer una arquitectura de seguridad correcta en cada caso en particular.
Oportunidad para el canal
Desde la perspectiva de los mayoristas, la demanda de estas soluciones es proporcional al aumento de este tipo de ataques. En el caso de CompuSoluciones, su portafolio de seguridad crece un 20% de su oferta total y de ésta área IPS es la demanda que más crece.
En el caso de Ingram, Andrade aseguró que la demanda se ha incrementado considerablemente y en su caso destacó, principalmente el alza en la compra del Next Generation Antivirus. El ritmo de crecimiento en su caso es del 30% anual.
Alcalá resaltó que en México tan solo un 19% de las empresas cumplen con los protocolos de seguridad por lo que el universo restante puede ser aprovechado por ellos. Dijo que el nuestro se encuentra en el noveno lugar de los países más atacados, por ello es necesario concientizar a las compañías y organizaciones de lo importante de la seguridad y es donde el canal puede participar y ganar. “Seguridad es uno de los temas más redituables y los márgenes en general son los más altos de la industria. El área de seguridad sigue creciendo porque los cibercriminales siguen atacando, por lo que la inversión en ella es inevitable”, abundó Alcalá, reiteró que para poder gozar la rentabilidad del negocio ellos cuentan con entrenamientos y herramientas dedicadas a especializar al canal que quiera formarse.
Para volverse un socio especialista en ataques DDoS y otros más complejos se requiere más que conocimiento básico de seguridad, algunos de los temas en los que ya deberían de estar formándose los interesados en destacar en el mercado son: conocimiento de todos los componentes de la red a nivel comunicación, infraestructura, funcionamiento de aplicaciones. Carlos Ortiz, agregó: “Se debe saber bien cómo opera la red, los aplicativos, cómo interactúan las soluciones y cuáles son los flujos de información. No todos los canales tienen las características necesarias para responder a un DDoS por ello al enfrentarse a una problema del tipo, no permiten que sea integrado por cualquier canal, solo son direccionados los leads a los especializados, lo que le hace perder al resto una oportunidad, por ello destacó la importancia de las capacitaciones.
Por su parte Karioty, dijo: “Es importante que tengan conocimientos del comportamiento de las herramientas de ataque, por supuesto, de la infraestructura a proteger, como DNS, o las aplicaciones WEB. También es crucial que los canales tengan conocimiento de scripting para poder utilizar los APIs de comunicación”.
Iván Sánchez, recomendó a los canales formarse para brindar servicios de análisis de expedientes de DNS, ataques y actividad maliciosa dentro de la red, así como valoraciones de estados de la red, “para que el cliente entienda los tipos de ataques que presenta y tenga visibilidad de su situación actual”.
Por su parte, Alacalá instó a los canales a no dejar dinero en la mesa, al no ser especialistas en seguridad.
