Cómo automatizar el bloqueo a los ataques DDoS

| |

Los ataques DDoS pueden ser catastróficos, pero con los conocimientos y las tácticas adecuadas, puede mejorar significativamente sus posibilidades de mitigar los ataques con éxito. En este artículo, veremos cinco formas en las que la automatización puede mejorar significativamente los tiempos de respuesta durante un ataque DDoS, a la vez que examinaremos los medios para bloquear dichos ataques.

El tiempo de respuesta es fundamental para cualquier empresa, ya que en nuestro mundo hiperconectado, los ataques DDoS provocan tiempo de inactividad, y el tiempo de inactividad significa pérdida de dinero. Cuanto más tiempo estén sus sistemas fuera de servicio, más disminuirán sus beneficios.

Echemos un vistazo a todas las formas en que la automatización puede asegurar el tiempo de su lado durante un ataque DDoS. En primer lugar, vamos a explicar el tiempo que puede ahorrar un sistema de protección automatizado.

Respuesta automática y manual

Seguro que la protección DDoS automatizada es más rápida que la protección DDoS manual, pero ¿cuánto?

Recientemente se efectuó un estudio para averiguarlo. Los resultados fueron concluyentes: la protección automatizada contra DDoS mejora el tiempo de respuesta a los ataques por un factor de cinco.

El tiempo medio de respuesta utilizando la protección automatizada fue de sólo seis minutos, frente a los 35 minutos de los procedimientos manuales, y la diferencia fue de unos asombrosos 29 minutos. En algunos casos, la protección automatizada llegó a eliminar por completo el tiempo de reacción.

La protección automatizada reduce los tiempos de respuesta de cinco maneras principales. Estos sistemas pueden:

  • Detección inmediata de los ataques entrantes: un sistema de protección DDoS automatizado puede identificar inmediatamente el tráfico sospechoso que un observador pasaría fácilmente por alto, basándose en los datos que ha recogido en reposo.
  • Enrutar el tráfico adecuadamente: En un despliegue reactivo, un sistema de protección DDoS automatizado puede enrutar el tráfico malicioso a un centro de depuración de mitigación común cuando se detecta un ataque, sin necesidad de predecir manualmente las predicciones de enrutamiento BGP para el tráfico sospechoso.
  • Utilice estrategias de mitigación de la escalada: cuando el tráfico es atacado, el sistema de protección DDoS automatizado tomará acciones adaptativas basadas en las políticas que usted defina, minimizando los daños colaterales al tráfico legítimo.
  • Reconocimiento de patrones: al inspeccionar cuidadosamente grandes volúmenes de tráfico de ataque en un corto período de tiempo, un sistema de defensa DDoS puede detectar patrones en tiempo real para prevenir ataques de botnet de día cero.
  • Utilizar datos actualizados sobre amenazas DDoS: un sistema de defensa DDoS puede acceder a listas de bloqueo de IPs y bases de datos de armas DDoS basadas en la investigación en tiempo real y aplicar estos datos a todo el tráfico de red destinado a la zona protegida.

El sistema inteligente de protección DDoS automatizada no deja de funcionar incluso después de un ataque. Después de mitigar con éxito un ataque, genera informes detallados que usted y las partes interesadas pueden utilizar para el análisis forense y la comunicación con otras partes interesadas.

Aunque los atacantes de DDoS nunca dejarán de innovar y adaptarse, tampoco lo harán los sistemas de protección DDoS automatizados e inteligentes.

Con un sistema automatizado que puede identificar y mitigar rápidamente las amenazas utilizando la inteligencia de amenazas más reciente, las empresas pueden defenderse de los ataques DDoS tan rápidamente como los actores maliciosos pueden lanzarlos.

Tres estrategias clave para prevenir los ataques DDoS

Aunque es esencial contar con un sistema automatizado que pueda responder rápidamente a los ataques, es igualmente importante aplicar estrategias que ayuden a lograr el objetivo de garantizar que los servicios estén disponibles para los usuarios legítimos.

Los ataques DDoS son asíncronos: aplicando tres estrategias clave, podrá ser resistente a los ataques y proteger a sus usuarios al mismo tiempo.

Cada uno de los tres métodos siguientes se denomina estrategia de mitigación de DDoS basada en la fuente. En el caso de las estrategias basadas en la fuente, la causa raíz se utiliza como base para seleccionar el tráfico que debe bloquearse. La alternativa de mitigación basada en objetivos se basa en la conformación del tráfico para evitar el mal funcionamiento del sistema.

Aunque la conformación del tráfico dirigido es eficaz para proteger la salud del sistema de una sobrecarga durante un ataque, también se asocia con efectos secundarios no selectivos para los usuarios legítimos.

Seguimiento de desviaciones

La estrategia de seguimiento de desviaciones funciona mediante la supervisión continua del tráfico para determinar qué es normal y qué supone una amenaza.

En concreto, el sistema de defensa puede analizar la tasa de tráfico o la tasa de solicitudes en función de una serie de características (por ejemplo, BPS, PPS, relación SYN-FIN, tasa de sesiones, etc.) para determinar qué tráfico es legítimo y cuál es malicioso, o puede identificar el tráfico robótico o falsificado en función de su incapacidad para responder a las consultas provocadoras.

Reconocimiento de patrones

La estrategia de reconocimiento de patrones utiliza el aprendizaje automático para analizar los patrones de comportamiento inusuales que suelen mostrar las redes de bots DDoS y los ataques amplificados en tiempo real.

Los ataques DDoS, por ejemplo, son lanzados por un atacante motivado a través de una plataforma de orquestación que da instrucciones a las armas distribuidas para inundar a la víctima con tráfico no deseado. Los ataques comunes de comando y control (C&C) y distribuidos muestran patrones que pueden ser explotados con una estrategia de bloqueo causal.

Reputación

Para utilizar la reputación como estrategia de bloqueo basada en la fuente, el sistema de defensa DDoS utiliza los datos de los investigadores sobre las direcciones IP de las redes de bots DDoS, además de los muchos millones de servidores expuestos que se utilizan en los ataques de apalancamiento en espejo.

A continuación, el sistema utiliza esta información para bloquear todas las direcciones IP que coincidan durante el ataque.

Cada una de estas tres estrategias de defensa DDoS basadas en la fuente requiere más potencia de cálculo que la protección de objetivos arbitrarios.

Sin embargo, tienen la gran ventaja de evitar que los usuarios legítimos sean bloqueados, reduciendo el tiempo de inactividad y evitando la pérdida innecesaria de beneficios.

Teniendo esto en cuenta, se puede decir que vale la pena invertir en estas tres estrategias de control de riesgos.

Previous

Pasos para cumplir la política de contraseñas