Llegamos a ustedes gracias a:



Reportajes y análisis

Los ataques de denegación de servicio llegan a la nube: Cuatro lecciones

[18/11/2010] Un viejo recurso de los delincuentes cibernéticos, el ataque de denegación de servicio (DDoS), se ha convertido en una nueva preocupación para los operadores del centro de datos.

Dado que las empresas utilizan cada vez más centros de datos virtualizados y servicios en la nube, nuevas debilidades se han abierto en la infraestructura de la empresa. Al mismo tiempo, los ataques de denegación de servicio están pasando de fuertes inundaciones de datos a ataques más hábiles en la infraestructura de aplicaciones.
La combinación es una amenaza creciente para las empresas que están poniendo datos críticos del negocio fuera de sus instalaciones, dejando que sus negocios dependan de comunicación continua. Además, con los servicios de multi-inquilino cada vez más comunes, los ataques dirigidos a una empresa podrían afectar drásticamente los servicios de una firma no relacionada, pero co-localizada.
"Las empresas siguen citando la seguridad y la disponibilidad como la barrera a la adopción de la computación en la nube", señala en un comunicado, Rob Ayoub, director del Programa Mundial de Información de Seguridad en la investigación de Frost & Sullivan. "Teniendo en cuenta estas preocupaciones, los hostings y otros operadores de centros de datos de hoy deben tener la capacidad para mitigar los ataques sin necesidad de interrumpir los servicios de cara al cliente".
Los ataques más evidentes siguen siendo las inundaciones de los datos que golpean la red de la víctima, saturando las conexiones de la empresa con su proveedor de subida. El crecimiento de los ataques de fuerza bruta de denegación de servicio, que se pueden ver en el aumento de las búsquedas de nombres de dominio, es tan grande que la compañía de infraestructura de Internet VeriSign (VRSN) comentó sobre la tendencia en su reciente informe de Nombres de Dominio de la Industria.
Los ataques distribuidos de denegación de servicio "probablemente constituyen un pequeño porcentaje de nuestro tráfico", afirma Ken Silva, director tecnológico de VeriSign. "Es un problema de contaminación de menor importancia para nosotros, pero es un problema de contaminación importante para la víctima".
La mejor solución consiste en perseguir a los atacantes, una propuesta difícil en el mundo de las redes de bots, y servidores proxy anónimos. Sin embargo, hay otras formas, dicen los expertos. Aquí hay cuatro lecciones para el nuevo y conocido mundo de los ataques DDoS.
1. Los ataques DDoS son fáciles
En el pasado, las computadoras utilizadas para distribuir ataques de denegación de servicio eran generalmente comprometidas por un solo gusano. Cuando el gusano se limpiaba de los sistemas suficientes, la capacidad del atacante de continuar inundando una red se acababa.
Sin embargo, con el surgimiento botnets persistentes y el arrendamiento de esos botnets a los atacantes, los delincuentes pueden inundar la red de la víctima a su antojo. Por otra parte, una abrumadora y única conexión de red se ha convertido en más fácil, especialmente con el aumento dramático de la banda ancha de los ataques DDoS, señala Paul Sop, director de tecnología de red de servicios de protección Prolexic.
"La gente no entiende lo fácil que es para los atacantes saltar el ancho de banda para noquearlo", indica Sop.
En el 2005, el tráfico visto por las víctimas durante un ataque alcanzó un máximo de 3,5 Gbps. En el año 2006, saltó a más de 10 Gbps, limitada en muchos casos por la capacidad de los enlaces del backbone de Internet. En el 2009, Arbor Networks detectó más de 2.700 ataques a más de 10Gbps.
2. Aplicaciones específicas dirigidas
Hoy, sin embargo, el peligro cada vez mayor es de ataques de denegación de servicio que se centran en las partes que consumen muchos recursos de la infraestructura de una empresa para saturar los servidores y servicios clave. Los atacantes están usando ataques de bajo ancho de banda en aplicaciones específicas para acabar con los servicios en línea de la víctima.
Por ejemplo, abusando de peticiones de seguridad HTTP pueden saturar los servidores y routers de una empresa; o creando un ataque que abre una multitud de peticiones de creación de cuenta, puede colgar muchas aplicaciones, señala Sop de Prolexic.
"Estos chicos en el pasado han aprendido a noquear (a las víctimas) con un puñetazo estilo Mike Tyson, pero en los últimos tres años, hemos visto otros que solo golpean en la parte correcta de un sitio y la derriban", agrega. "Los atacantes reales atacan a la aplicación en sí."
3. Comprenda la co-localización de realidades
En la nube, las empresas no solo deben preocuparse por los ataques de sus recursos, sino también por los ataques a los inquilinos co-ubicados. Las empresas que utilizan un servicio de co-ubicación deben asegurarse de que la instalación cuenta con una protección adecuada. Los servidores físicos pueden tener múltiples máquinas virtuales de los clientes, y los proveedores toman diferentes enfoques para garantizar un espacio de seguridad entre las máquinas virtuales y el manejo de asuntos relacionados con el cumplimiento para los clientes en las industrias reguladas.
"Los proveedores tienen una gran cantidad de clientes alojados en la plataforma compartida", señala Sop.
Si bien es poco probable que las empresas puedan conocer a sus vecinos, la investigación de los antecedentes del propietario de su centro de datos debería ser un primer paso. También es fundamental comprender qué aspectos de la seguridad siguen siendo de su responsabilidad, no del proveedor de la co-localización.
4. Mire a la nube para ayudar a la nube
Mientras que el movimiento de la computación en nube ha creado debilidades en la infraestructura de negocios, el aumento de la criticidad de las conexiones corporativas a Internet, la habilidad de la computación en la nube de prestar rápidamente recursos y recopilar experiencia en áreas clave, ayudan a mitigar la amenaza, señala Silva.
"Puedes tener el mejor centro de datos en el mundo, pero puede ponerle un ancho de banda con una base de dato por dato, agrega.
En cambio, las empresas deben contratar con un proveedor de banda ancha como servicio, ya sea una red de distribución de contenidos como Akamai o una obra de pura infraestructura como la oferta de VeriSign, indica.
"Creo que la lección para los CIO es que la única manera real y correcta de mitigar ataques de denegación de servicio está en las nube, ya sea una nube que se crea o que se compra", agrega Silva.
La lección para todos los operadores de centro de datos es que, si los ataques llegan a su conexión de red de Internet, ya es demasiado tarde, señala Sop de Prolexic.
"Lo peor que una víctima puede hacer es librar la batalla en su puerta principal", finaliza Sop.
Robert Lemos, CIO