Por onceava ocasión, Arbor Netwoks dio a conocer su Informe Anual de Seguridad de Infraestructura Global (WISR), que expone cuáles serán las principales tendencias de los ataques de Denegación de Servicios (DDoS) y las amenazas avanzadas para los próximos meses. El documento también ofrece una visión de los problemas que tanto los usuarios como los operadores de redes de todo el mundo están tratando de resolver.

Respecto a los ataques DDoS, lo más significativo ha sido el incremento en el número de ataques, que ha llegó a los 500 gigabits por segundo (Gbps) en 2015, según el estudio. “Si esto lo comparamos con lo registrado en 2004, que fue de 8 Gigas, estamos hablando de un incremento de casi 60 veces. Definitivamente las cosas no han mejorado, sino que están poniéndose peor”, afirmó en entrevista René Hernández, Ingeniero Especialista de Arbor Networks.

Resaltó que, “por primera ocasión”, en este informe se consideraron a los ciberdelitos como actividades criminales que están utilizando las técnicas DDoS como distractores o para obtener algún beneficio, como podría ser la extorsión. Puso como ejemplo al grupo denominado “DD4BC” (DDoS for Bitcoin) que utilizaba las técnicas de denegación de servicios distribuidos para obtener recursos monetarios, en este caso Bitcoin, extorsionando a las personas a quienes dirigían este tipo de ataque. “Ese fue uno de los principales factores para que estas dos motivaciones quedaran en los primeros lugares en el informe”.

Pese a lo anterior, y en lo que respecta a amenazas avanzadas, Hernández vislumbró con optimismo el hecho de que la gente se esté enfocando en tener un mejor tiempo de respuesta y una mejor planificación en lo que se refiere al manejo de incidentes de seguridad. “Aunque todavía falta madurez, las organizaciones saben que esas son las tendencias a futuro”, dijo el especialista.

Agregó que en el documento se enfatiza que la tecnología es sólo una parte de la problemática, ya que la seguridad es un esfuerzo humano, con adversarios expertos de ambos lados.

Tendencias en ataques DDoS

Según este informe, las cinco principales tendencias de los ataques DDoS son:

• Cambios en las motivaciones de los ataques: En 2015, la motivación principal no fue el hacktivismo ni el vandalismo, sino los “criminales con habilidades para ejecutar ataques”, algo que generalmente se asocia con intentos de extorsión cibernética.

• Crecimiento constante en el tamaño de los ataques: El mayor ataque detectado fue de 500 Gbps., junto con otros reportados de 450 Gbps y 337 Gbps. En los 11 años que se ha realizado la encuesta, el ataque más grande ha aumentado más de 60 veces su tamaño.

• Aumento de los ataques complejos: El 56% de los encuestados detectaron ataques multi-vectoriales dirigidos de forma simultánea a la infraestructura, aplicaciones y servicios, en comparación al 42% el año pasado. Un 93% detectó ataques DDoS a nivel de aplicaciones. El servicio de DNS se ha convertido en el objetivo más frecuente de los ataques a nivel de aplicaciones (más que el HTTP).

• La nube bajo ataque: En 2013, 19% de los encuestados detectó ataques dirigidos a sus servicios en la nube. Esto aumentó a un 29% en 2014 y un 33% el año pasado, lo que claramente marca una tendencia. De hecho, 51 de los operadores de centros de datos detectaron ataques DDoS que agotaron su conectividad de Internet. Además, se registró un gran aumento de operadores de centros de datos que detectaron ataques de salida desde los servidores dentro de sus redes; 34% en comparación al 24 por ciento de 2014.

• Los firewalls continúan fallando durante los ataques DDoS: Más de la mitad de los encuestados de empresas detectaron una falla de firewall como resultado de un ataque DDoS, en comparación a un tercio reportado en 2014. Al ser dispositivos en línea y con control de estado, los firewalls contribuyen a la superficie del ataque y son susceptibles de convertirse en las primeras víctimas de ataques DDoS, cuando su capacidad para rastrear conexiones se agota. Dado que están en línea, también pueden contribuir a la latencia de red.

Las amenzas que vienen

De acuerdo con Arbor Networks, las cinco principales tendencias en las amenazas avanzadas son:

• La búsqueda de una mejor respuesta: 57% de las empresas están buscando implementar soluciones para acelerar sus procesos de respuesta ante incidentes. Entre los proveedores de servicios, un tercio redujo el tiempo invertido en descubrir amenazas continuas avanzadas (APT) en su red a menos de una semana y un 52% declaró que el periodo entre el descubrimiento y la contención se redujo a menos de un mes.

• Mejor planificación: En el 2015 se visualizó un aumento en el porcentaje de encuestados de empresas que habían desarrollado planes de respuesta ante incidentes formales o que al menos dedicaron algunos recursos para responder a tales incidentes; cerca de dos tercios en 2014 al 75% del año pasado.

• Intrusos en la mira: El porcentaje de encuestados de empresas que había detectado intrusos maliciosos aumentó a un 17% (en comparación al 12% reportado en 2014). Cerca del 40% de todos los encuestados aún no han implementado ninguna solución para monitorear los dispositivos BYOD en la red. El porcentaje que detectó incidentes de seguridad relacionados a BYOD aumentó al doble, específicamente a un 13%, comparado con el 6% reportado en 2014.

• Staffing Quagmire: En relación a este punto, se ha disminuido considerablemente la cantidad de encuestados que desea aumentar sus recursos internos para mejorar su preparación y respuesta ante incidentes; de un 46% a un 38%.

• Mayor confianza en el soporte externo: La falta de recursos internos ha fomentado un aumento en el uso de servicios administrados y el soporte externo; 50% de las empresas ha contratado una organización externa para gestionar la respuesta ante incidentes. Este porcentaje es un 10% mayor que entre los proveedores de servicios. Entre los proveedores de servicios, 74% reporto mayor demanda de servicios administrados por parte de los clientes.

Más expectativas

Cabe señalar que de las 354 respuestas obtenidas para este reporte anual, el 52% de los encuestados fueron de proveedores de servicio, 38% a organizaciones empresariales, un 6% de los participantes pertenecen al sector gobierno y 4% al sector educativo.

En el informe se hizo evidente un aumento en la participación del sector empresarial, lo cual, según Hernández, se debe a la mayor presencia que está teniendo su compañía en este mercado. “Las organizaciones están considerando dos tipos de preocupaciones: una, la disponibilidad de que de los recursos informáticos deben estar al alcance de la mano, ya que los datos son cada vez más importantes; y dos, la preocupación para actuar con mayor oportunidad contra las amenazas avanzadas, así como contar con las herramientas y procedimientos necesarios. “El paradigma de la seguridad perimetral se está rompiendo y necesitamos contar con velocidad oportuna para actuar ante los incidentes”.

En lo que respecta a los ataques de DDoS, el entrevistado dijo que la tendencia seguirá siendo alta. “Esto es lógico, ya que los recursos de conectividad ya están más al alcance de las personas y se requiere mayor velocidad y ancho de banda, por lo cual las posibilidades para utilizar a este público como objetivo y generar algún ataque de denegación de servicios están creciendo”.

Y en referencia a las amenazas avanzadas, Hernández afirmó que las organizaciones no se enfocarán tanto a la seguridad perimetral sino al manejo de incidentes, así como a contar con equipos, personal y procedimientos robustos para hacerles frente a las amenazas avanzadas. “Algunos lo harán mediante equipos internos y recursos específicos para el manejo de incidentes, otros optarán por contratar servicios administrados o tercerizar este tipo de requerimientos”, aseveró.

-José Luis Becerra, CIO México