CIBERSEGURIDAD

Los tres cerditos y la gran botnet

0 83 4 minutos de lectura


Soplaré y soplaré y… ¡desconectaré su aplicación web!
La posibilidad de que un negocio sea el objetivo de un enorme ejército de zombies, o botnet, es suficiente para enviar escalofríos a muchos veteranos de seguridad experimentados. Las botnets modernas son de gran tamaño y potencia, con características y capacidades más sofisticadas que nunca. Los ataques de botnet modernos pueden ser muy precisos y controlados, y se pulsan y envían de diferentes maneras para hacer que los atacantes sean imposibles de rastrear y el impacto sea mucho más dañino. Entonces, ¿quién está detrás de estas botnets, qué podemos esperar ver en el futuro y cómo pueden las organizaciones calmar sus miedos y defenderse de manera efectiva?
Las botnets han transformado el panorama de DDoS. Una vez, los ataques eran propiedad exclusiva de una pequeña élite técnica que tenía suficientes habilidades de codificación para lanzar un ataque. Pero ahora, las redes de bots DDoS contratadas han reducido significativamente las barreras de entrada. Una búsqueda rápida en Google y una cuenta de PayPal hacen que las redes de bots estén fácilmente disponibles por solo unas pocas docenas de dólares, sin necesidad de experiencia en codificación. Y se están volviendo cada vez más populares: las botnets de DDoS por alquiler ahora estimado estar detrás del 40 por ciento de todos los ataques a la capa de red.
Pero si bien es probable que la mayoría de los compradores sean atacantes de bajo nivel, que buscan causar daños y resolver agravios personales, los actores estatales y los sindicatos del crimen organizado también están utilizando botnets de alquiler más poderosas. En los últimos años, los ataques DDoS se han vuelto cada vez más grandes. Nuestro Centro de Operaciones de Seguridad registró un aumento dramático (25%) en ataques muy grandes de más de 10 Gb por segundo entre nuestra base de clientes en la segunda mitad del año pasado. Y en términos de ataques individuales, el ataque a la BBC en enero fue uno de los más grandes jamás reportados, con una enorme cantidad de 600 Gb por segundo. Si bien estos ataques claramente causan un daño significativo, creemos que su propósito principal a menudo es simplemente demostrar las capacidades de sus atacantes para que puedan venderse como un servicio en el futuro. El tipo de ataques gigantes que aparecen en los titulares no son baratos de alquilar y probablemente costarían más de 150.000 dólares. Como resultado, es probable que estos solo sean utilizados por atacantes criminales o estatales, que tienen acceso a una infraestructura sofisticada con capacidades de lavado de dinero.
De cara al futuro, realmente no hay límite para el tamaño y la escala potenciales de futuros ataques DDoS impulsados ​​por botnets, especialmente cuando aprovechan la gama completa de dispositivos inteligentes incorporados en nuestro Internet de las cosas. Mediante el uso de técnicas de amplificación en los millones de dispositivos de muy alta densidad de ancho de banda a los que se puede acceder actualmente, como monitores de video para bebés y cámaras de seguridad, los ataques DDoS están preparados para ser aún más colosales en escala. Los ataques de clase Terabit pueden ser cada vez más comunes y ‘romper Internet’, o al menos obstruirlo en ciertas regiones, pronto podría convertirse en una realidad. La conclusión es que los ataques de este tamaño pueden hacer que prácticamente cualquier empresa esté fuera de línea, y son una realidad contra la que cualquier persona con presencia en línea debe estar preparada para defenderse.
Pero no son solo los ataques gigantes de los que las organizaciones deben preocuparse. Antes de que se movilicen las botnets, los piratas informáticos deben asegurarse de que sus técnicas funcionen. Esto generalmente se hace mediante el uso de pequeños ataques de subsaturación que la mayoría de los equipos de TI ni siquiera reconocerían como un ataque DDoS. Debido a su tamaño (la mayoría tienen menos de cinco minutos de duración y menos de 1 Gbps), estos ataques más cortos suelen evadir la detección de la mayoría de las herramientas de mitigación de DDoS fuera de banda heredadas, que generalmente están configuradas con umbrales de detección que ignoran este nivel de actividad. Esto permite a los piratas informáticos perfeccionar sus métodos bajo el radar, dejando a los equipos de seguridad sorprendidos por los ataques posteriores. Si estas técnicas se implementan a gran escala con una botnet, los resultados pueden ser devastadores.
Además de aprovechar un enorme poder, las botnets también son muy difíciles de detectar. Una vez desplegados, utilizan técnicas sofisticadas para ocultar sus huellas. Su infraestructura de comando y control se puede automatizar o configurar en piloto automático, pueden dormir durante largos períodos de tiempo, pueden tener un ancho de banda ubicuo disponible en cualquier momento del día al despertar diferentes regiones en diferentes momentos: son un laberinto vasto y complejo, a menudo operado por algunas de las mentes más brillantes en el ciberdelito. Pero esa no es razón para que las organizaciones se resignen a ser eventualmente atacadas. Entonces, ¿cuáles son los métodos de defensa más efectivos?
La forma antigua era utilizar un centro de limpieza basado en la nube, donde el equipo de seguridad puede desviar el tráfico para analizarlo y filtrarlo cuando ve un ataque DDoS. Pero pedirle a un humano que monitoree el borde de la red e intervenga cuando crea que ha detectado un ataque DDoS es muy laborioso y no reaccionará lo suficientemente rápido a los ataques automatizados de hoy. Además, esto no detectará los ataques de subsaturación que experimentan en sus redes sin ser detectados, encontrando vulnerabilidades y probando nuevos métodos.
Por lo tanto, un método moderno adecuado es uno que está siempre activo, implementado en línea y no requiere intervención humana para mantener un tráfico limpio. La tecnología, aunque es relativamente nueva, está disponible en las instalaciones y de proveedores ascendentes, por lo que hay opciones abiertas para la mayoría de las organizaciones sin importar su tamaño, presupuesto y probabilidad de ser objetivo. También libera su mano de obra para concentrarse en prevenir la filtración de datos y otras actividades maliciosas, lo que hace que su personal sea mucho más productivo.
Así que ahí lo tienes, ¡quizás los tres cerditos no tengan que preocuparse por la gran botnet mala después de todo! Se ofrecen métodos para ayudarlo a construir su proverbial «casa» (infraestructura de seguridad) a partir de ladrillos y mitigar los ataques DDoS más graves impulsados ​​por botnets en sus redes.
Dave Larson es director de operaciones de Corero Network Security. Para obtener más información sobre Corero, diríjase a su sitio web o sígalos en gorjeo.

Publicaciones relacionadas

Google para profundizar seis botones de descarga poco fiables

vBulletin niega que su piratería se deba a una vulnerabilidad de día cero

La señal corrige la interrupción después de la oleada de nuevos usuarios

Los grupos de piratas informáticos están atacando los servidores Exim.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar