No deje que los ataques DDoS dominen su equipo

Redacción

Para la respuesta más rápida, no se puede mejorar el despliegue en camino de un dispositivo de mitigación DDoS de alto rendimiento que es capaz de detectar y mitigar inmediatamente, debe dejarse igual.

 

IDG

 

Experimentar un (DDoS) un ataque de denegación de servicios es como tener una inundación en la casa. Sin previo aviso, los atacantes pueden poner de cabeza a su empresa. Cada momento cuenta, pero lamentablemente algunas soluciones de DDoS identifican, reportan el ataque y el daño que ya está hecho. Es necesario una detección inmediata de la amenaza para evitar daños graves.

 

Cuando un ataque DDoS golpea la red, puede pasar mucho tiempo antes de que el personal de seguridad sea plenamente consciente de que en realidad es un ataque DDoS que está afectando a los servicios, y no un servidor o aplicación que falla. Incluso puede pasar más tiempo antes de que la mitigación real de la amenaza comience a surtir efecto.

 

Los ataques a la capa de aplicación son mucho más difíciles de detectar, ya que tienden a volar bajo el radar de detección debido a su perfil de bajo volumen.

 

Cuando la mitigación comienza demasiado tarde, el daño se puede hacer mayor: la tabla de estado del firewall puede ser abrumada, causando reinicios, o peor, cierres, por lo que los ataques DDoS atacan efectivamente desde su perspectiva. El servicio ya no estará disponible para los usuarios legítimos.

 

Métodos de implementación y detección

 

Una variedad de métodos permiten a los equipos de seguridad obtener información sobre lo que está pasando en una red. Uno de los enfoques más populares es el muestreo de flujo ya que prácticamente todos los routers soportan algún tipo de tecnología de flujo, tales como NetFlow, IPFIX o sFlow.

 

En este proceso, los paquetes de muestras de router exportan un datagrama que contiene información acerca de ese paquete. Esto es comúnmente tecnología disponible, funciona bien y es muy adecuada para indicar las tendencias en el tráfico de red.

 

Un dispositivo de análisis de flujo tiene que evaluar el comportamiento de un flujo de tráfico en un período de tiempo más largo para asegurarse de que algo está mal y para evitar falsos positivos.

 

Lea también:Usuarios culpan al CEO por pérdida de datos

 

Despliegues de protección DDoS comunes utilizan un dispositivo de análisis de flujo, que reacciona con el incidente descubierto para redirigir el tráfico de la víctima a un dispositivo de mitigación y le dice qué acción tomar.

 

Este método escala sólo redirecciona el potencial tráfico malo, lo que permite un poco de exceso de demanda de ancho de banda. Pero esto es un negocio arriesgado al igual que el tiempo medio para mitigar que puede funcionar en minutos.

 

Para la detección más perspicaz y mitigación más rápida, no se puede mejorar el despliegue en camino de un dispositivo de mitigación DDoS de alto rendimiento que es capaz de detectar y mitigar inmediatamente. Dentro de la ruta de distribución se permite el procesamiento continuo de todo el tráfico entrante (asimétrica) y posiblemente también el tráfico de salida (simétrica).

 

Esto significa que el dispositivo de mitigación puede tomar una acción inmediata, proporcionando sub-segundos de mitigación. Se debe tener cuidado de que la solución de mitigación es capaz de escalar con la capacidad de enlace ascendente y la actuación real del mundo durante los ataques multi-vector.

 

Como una alternativa a la detección y muestreo en una ruta, los paquetes de datos de espejo proporcionan el detalle completo para el análisis, si bien no necesariamente en el camino de tráfico. Esto permite una rápida detección de anomalías en el tráfico, que pueda haberse introducido en otros puntos de entrada en la red. Si bien la creación de una solución escalable de reflejo en una red de gran tamaño puede ser un desafío, también puede ser un excelente método para un análisis centralizado y el centro de la mitigación.

 

Mire sus métricas de rendimiento

 

El ancho de banda es una medida importante para la mayoría de la gente. Al hacer compras para la conexión a Internet en casa, la gente más a menudo compra la métrica del ancho de banda. Si bien es importante, como con muchas cosas, el diablo está en los detalles.

 

Los dispositivos de red procesan en última instancia, los paquetes de red, que por lo general varían en tamaño. Los paquetes pequeños utilizan menos ancho de banda, mientras que los paquetes grandes ascienden a anchos de banda mayores.

 

La principal limitación del nodo de red se establece por la cantidad de paquetes que un dispositivo puede procesar dentro de un segundo. Mediante el envío de muchos paquetes pequeños a un ritmo elevado, un atacante puede estresar la infraestructura con bastante rapidez – la infraestructura de seguridad especialmente tradicional, tales como firewalls, o Sistemas de Detección de Intrusos.

 

No se pierda: El CSO podría ser el más vulnerable de la empresa

 

Estos sistemas también son más vulnerables a las agresiones, a un alto régimen de apátridas como muchos ataques de inundación, debido a su enfoque de seguridad con estado.

 

En 2014 Data Breach Investigations Informe de Verizon señala que la tasa de ataque de paquetes por segundo medio(pps) va en aumento, un aumento de 4,5 veces en comparación con 2013. Si extrapolamos estas cifras con cuidado, podemos esperar 37 Mpps en 2014 y 175 Mpps en 2015.

 

Estos son los valores medios para mostrar la tendencia, pero hemos visto muchos mayores tasas de pps. Mientras que el valor medio demuestra la tendencia, para preparar adecuadamente su red, usted debe centrarse en los valores del peor caso.

 

Asegure a su escalabilidad

 

Como los ataques DDoS y ataques especialmente volumétricos, para entrar en la red con velocidades extremas de paquetes por segundo, se necesita una solución de mitigación con el poder de procesamiento de paquetes adecuados.

 

La ampliación de la infraestructura de análisis es también una consideración importante. La tecnología Flow escala bastante bien, pero a un costo enorme: se compromete la granularidad y el tiempo de lanzamiento para mitigar.

 

Si su proveedor ofrece cifras de rendimiento que responden a su tamaño de la red, tenga en cuenta que el rendimiento real puede ser inferior. La tendencia actual es que los ataques utilizan múltiples vectores de ataque; métodos múltiples ataques son lanzados simultáneamente.

 

Las cifras de rendimiento de hojas de datos proporcionan un buen indicador para que coincida con el producto a sus necesidades, pero es recomendable analizar su solución de mitigación perspectiva y validarlo a través de una serie de pruebas para ver cómo se sostiene en contra de un conjunto de escenarios de ataque en su entorno.

 

La tendencia ataque multi-vector ilustra la importancia de validar el rendimiento. La ejecución de un ataque básico como una inundación SYN pone un nivel de tensión de base al CPU a menos que el ataque se mitigue en hardware. Hacer combatir el sistema simultáneamente a un ataque de capa de aplicación más compleja como un ataque de inundación HTTP GET podría empujar a un sistema sobre su límite.

 

La validación periódica de desempeño de seguridad de la red es fundamental para garantizar que sus soluciones de seguridad se sostendrán durante varios ataques simultáneos, y para asegurarse de que sus inversiones en la red están en la altura de una creciente red protegida.

 

Cuanto más pronto usted sabe lo que está sucediendo, más pronto podrá tomar medidas. Sólo asegúrese de que sus sacos de arena están a la altura.

Este artículo está clasificado como: , , , , , , , , , , , , , , , , , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR