Opinión
Cómo pueden las empresas protegerse de ataques DDoS en la nube
Las empresas modernas dependen cada vez más de la disponibilidad continua de sus sistemas y servicios. A menudo, modelos de negocio enteros dependen de que los respectivos sitios web, plataformas, etc. estén continuamente accesibles para los clientes. Por ello, la disponibilidad de los sistemas es el talón de Aquiles al que apuntan los ciberdelincuentes con los ataques de denegación de servicio distribuido (DDoS). Los hackers realizan numerosas peticiones a un sistema a través de varias fuentes, hasta el punto de sobrecargarlo y conseguir que no pueda responder a las peticiones habituales en absoluto o sólo tras un largo retraso. Según un análisis de Netscout, en 2020 se registraron más de 10 millones de ataques de este tipo a organizaciones en todo el mundo, lo que supone un aumento del 22% respecto al año anterior.
Los ciberdelincuentes se han aprovechado de los cambios masivos en el uso de Internet que han surgido como consecuencia de la pandemia, especialmente con el trabajo remoto, con el que muchas empresas han descuidado las precauciones de seguridad. Un estudio conjunto de techconsulte e IONOS, por ejemplo, muestra que las soluciones de gestión y seguridad de TI utilizadas hasta ahora no suelen hacer justicia a la nueva realidad.
En respuesta al nuevo mundo del trabajo, muchas empresas recurren cada vez más a los servicios en la nube para poder explotar sus aplicaciones de forma más flexible, escalable y rentable. Pero estas plataformas en la nube también necesitan protección contra ataques DDoS.
Asegurar eficazmente las plataformas en la nube contra los ataques DDoS
Debido a la creciente cooperación de las empresas con los proveedores de servicios en la nube, los mecanismos de seguridad que han implementado para proteger sus plataformas y las aplicaciones de los clientes que se ejecutan en ellas son cada vez más importantes. Especialmente contra los ataques DDoS, los proveedores de la nube pueden establecer salvaguardas efectivas, especialmente si el proveedor no sólo tiene centros de datos sino también su propia red troncal.
Red troncal propia: Lucha distribuida contra los ataques distribuidos
El requisito básico para combatir los ataques DDoS de la forma más eficaz posible es que el proveedor de la nube los detecte lo antes posible, y que también pueda contrarrestar los ataques, que a menudo son llevados a cabo por botnets distribuidos globalmente, en varios puntos. Por lo tanto, resulta ventajosa la mayor cobertura posible de la red troncal en diferentes regiones. A través de los diferentes puntos de acceso a lo largo de la red troncal, el proveedor de la nube no sólo tiene un único punto de acceso a Internet, que puede convertirse rápidamente en un cuello de botella en caso de un gran ataque DDoS, sino que puede contrarrestar el ataque de forma descentralizada.
Otra ventaja es que el proveedor de la nube tiene su propia red troncal para la transmisión de datos: el tráfico generado en el curso de los ataques DDoS no sólo se detecta en cuanto llega al centro de datos, sino que ya está en camino en el router. Esto permite a los proveedores de la nube tomar medidas en una fase temprana.
Si no hay una red troncal propia, los proveedores de la nube suelen tener que recurrir al llamado blackholing en caso de ataques DDoS: en este caso, se detiene todo el tráfico hacia los servicios del cliente atacado para proteger al resto de clientes y a la otra infraestructura. Sin embargo, los servicios afectados del cliente ya no pueden ser alcanzados, como en el caso de un ataque DDoS exitoso – y el objetivo real de la defensa DDoS, mantener al cliente conectado a la red, se pierde.
Plataformas de defensa DDoS: la línea de defensa ampliada
La plataforma de defensa DDoS del proveedor de la nube es el componente principal de la defensa contra los ataques DDoS. Los componentes esenciales de una plataforma de defensa DDoS son los siguientes:
- Centro de depuración o filtro de tráfico DDoS: Todo el tráfico pasa a través de un filtro de tráfico DDoS en el que se identifica el tráfico de datos sospechoso, el cual es reenviado posteriormente al centro de depuración más cercano. Es especialmente importante que sólo el tráfico malicioso no tenga acceso directo a los centros de datos, incluidos los respectivos servicios al cliente, para que sigan funcionando durante un ataque DDoS. La distinción entre el tráfico bueno y el malo se realiza en el borde de la red mediante un sistema de análisis de datos, en el que se analizan los metadatos del tráfico y se comprueba si hay anomalías.
En cuanto se detectan anomalías durante el análisis de datos, el tráfico en cuestión se dirige directamente al centro de depuración durante una ventana de tiempo determinada. Esto se hace de forma descentralizada: en caso de un ataque DDoS importante, todos los centros de depuración existentes se activan directamente para estar preparados contra los ataques a gran escala. Allí se ejecutan diversos «programas de lavado»: los sistemas filtran el tráfico malicioso en diferentes niveles y según criterios definidos. Esto incluye diversos indicadores, como el origen del tráfico por país, los protocolos, la IP de origen o de destino, etc. Además, se realiza una comparación continua con listas de reputación (por ejemplo, spamhaus.org), en las que se anotan las fuentes DDoS ya conocidas.
Una vez que el tráfico ha pasado por los distintos programas de lavado, el tráfico restante depurado se dirige al centro de datos correspondiente y, por tanto, al cliente. Aunque este enfoque proporciona una latencia mínima de unos 3-4 milisegundos, mantiene los sistemas necesarios en funcionamiento incluso durante los ataques DDoS masivos. Incluso si no se pudiera filtrar todo el tráfico malicioso, los sistemas del cliente atacado suelen poder manejar el tráfico malicioso restante por sí mismos.
- Detección permanente de ataques: Dado que los ataques DDoS pueden producirse en cualquier momento, es necesario un control continuo en tiempo real del tráfico entrante. Ya en el router, los datos de flujo del tráfico entrante se analizan permanentemente y se comprueban continuamente los valores umbral predefinidos para las métricas bits por segundo y paquetes por segundo. Los análisis puramente selectivos ofrecen menos protección en comparación y, por lo tanto, deberían evitarse en la medida de lo posible, ya que entonces los ataques DDoS pueden pasar desapercibidos.
- Limitación automática de daños: En cuanto se detecta un ataque DDoS en el borde de la red, la plataforma de defensa DDoS dirige automáticamente el tráfico a través de los centros de depuración: no es necesaria la intervención manual, posiblemente propensa a errores.
- Protección común contra ataques de capa 3 y 4: La plataforma debe proporcionar seguridad para todos los recursos e instalaciones virtuales. En particular, esto incluye la protección contra ataques DDoS en la capa de red y transporte, que representan aproximadamente el 98% de los ataques DDoS en general.
- Filtrado de DDoS específico para IP bajo demanda: A menudo los ataques DDoS llegan en momentos esperados, por lo que, ciertas direcciones IP pueden ser especialmente protegidas si se desea. Por ejemplo, el periodo de rebajas de una tienda online se convierte en un momento atractivo para perpetrar un ataque DDoS. Para protegerse, todo el tráfico hacia esta dirección IP se enruta directamente a través de la plataforma de filtrado y el tráfico DDoS se filtra así de forma natural. Si se desea, sólo se puede filtrar el tráfico procedente de determinadas regiones, por ejemplo, si ya hay indicios de antemano sobre el origen de un posible ataque DDoS.
- Diagnóstico de ataques a la carta: Después de los ataques DDoS, se crea un informe detallado basado en un análisis, en base al cual se pueden rastrear los patrones del ataque en cuestión y para poder tomar aún mejores precauciones contra dichos ataques en el futuro.
- Apoyo proactivo de expertos: El proveedor de la nube comprueba proactivamente la red del cliente e informa en cuanto se detecta un ataque DDoS en la red. Al mismo tiempo, el servicio está siempre disponible para responder a las preguntas.
- Plataformas en la nube: Sólo incluyen protección integral contra DDoS.
Los ataques DDoS van en aumento
La creciente interconexión de dispositivos también garantiza que los ciberdelincuentes tengan cada vez más dispositivos a su disposición, que pueden secuestrar y utilizar para realizar ataques DDoS cada vez mayores. Las empresas deben exigir a sus proveedores de servicios en la nube que apliquen la protección DDoS de forma integral y lo más eficaz posible.
Resulta ventajoso que el proveedor de la nube disponga de una plataforma propia que pueda desarrollar continuamente por su cuenta para poder contrarrestar los ataques, cada vez más complejos, de la forma más eficiente posible. De esta manera las empresas pueden proteger eficazmente sus propios centros de datos, los servicios continuos de sus clientes y, en última instancia, su capacidad empresarial y su reputación.
Firmado: Daniel Heinze, Head of Networks en IONOS