Akamai Technologies da a conocer su reporte sobre el Estado de Internet en materia de Seguridad: Resumen Anual de 2018 donde analiza las tendencias, los ataques DDoS, las ofensivas a nivel de aplicación, el relleno de credenciales y las cadenas de bloques. Asimismo, incorpora una guía mensual de los mejores análisis e investigaciones de Akamai, que abarcan desde las API hasta los dominios de día cero y prácticamente todos los temas relacionados.
Andy Ellis, Chief Security Officer (CSO) de Akamai, destacó que “si algo es cierto sobre las tendencias del sector de la seguridad en Internet, es que la historia se repite año tras año”. Esto no quiere decir que los profesionales de la seguridad puedan disfrutar de la tranquilidad de un año sin imprevistos. No obstante, sí tenemos la certeza de que los patrones repetitivos de años anteriores nos servirán para predecir cómo podrían evolucionar las tendencias actuales”.
Ellis anotó que la seguridad es un campo en constante evolución; si estamos hablando de los ataques que vienen a nuestras redes, las herramientas que utilizamos para defender esas mismas redes o la información que estamos reuniendo para inhibir las primeras (ataques) y habilitar las segundas (defensa). “Una de las cosas que aprendes cuanto más tiempo llevas en esta industria es que la tasa de evolución siempre está aumentando. Es probablemente una de las cosas que atrae a muchos practicantes a este campo.”
Cuando Akamai publicó el informe de 2017, se centró en dos aspectos del negocio de Akamai: los ataques DDoS y los ataques de aplicaciones Web. Este había sido el tema central del informe desde su inicio. Sin embargo, cuando el equipo de Nominum se unió a Akamai con su propio informe y sus propios conjuntos de datos, fue evidente que podrían ir más allá de estos temas y explorar el mundo más amplio de los datos de Akamai.
Ellis comentó: “Si algo es cierto sobre las tendencias del sector de la seguridad en Internet, es que la historia se repite año tras año. En 1998, durante la operación Zorro del Desierto, los adversarios utilizaron un ataque distribuido de denegación de servicio, que además se aprovechó de la vulnerabilidad de lágrima, para tratar de bloquear las redes de USCENTAF. Por entonces, yo era el ingeniero de defensa encargado de la misión, por lo que recuerdo la emoción de identificar el ataque, probar una configuración y finalmente llevarlo a nuestros sistemas de seguridad de Borde.”
Esta historia –agregó Ellis–, no difiere estratégicamente de las acciones que tienen lugar en nuestros propios centros de operaciones de seguridad y en los de terceros cada día; solo han cambiado la escala y la automatización. Por lo tanto, de cara al 2019, es más sencillo detectar los patrones recurrentes de los últimos años, sugerir que van a continuar y suponer que probablemente evolucionen en su gran mayoría de la forma en la que venían haciéndolo.
DDoS de fuerza bruta
DDoS es siempre un buen punto de partida, ya que las tendencias en este tipo de ataques son notablemente estables. La forma más sencilla de concebir los ataques es abordarlos partiendo de dos ejes diferenciados: el aprovechamiento y el ancho de banda. El ancho de banda es simplemente la medición del tráfico que un adversario puede generar en un momento dado.
En el pasado, hemos observado cómo el tamaño del mayor ataque aumentaba en torno a 9% por trimestre, lo que significaría que llega a duplicarse cada dos años. Pero sorprendentemente no se trata de un crecimiento continuo, ya que se alcanzan nuevos picos (junto a la curva intertrimestral del 9%) cada vez que un adversario descubre una nueva forma de construir una botnet o una reflexión, como fue el caso de los ataques de reflexión de Memcached o Mirai.
En el periodo entre los nuevos picos, suceden dos cosas. En primer lugar, las partes afectadas, como los administradores de sistemas y los operadores de Proveedores de Servicios de Internet (ISP), toman medidas para reducir el número de sistemas disponibles para el uso durante los ataques. En segundo lugar, los adversarios comienzan a luchar por tomar el control de estos recursos, y se puede observar cómo las botnets empiezan a fragmentarse, lo que resulta en ataques individuales de menor tamaño. Desde el punto de vista de la eficacia, esto no tiene por qué perjudicar al atacante. Por lo general, el tamaño de los estilos de defensa DDoS no se amplía de manera lineal.
Los ataques más grandes suceden en el Borde de la red, lugar donde se sitúan servicios como Kona Site Defender y Prolexic Routed de Akamai. Las defensas de nivel medio se establecen en el núcleo de los ISP y proporcionan servicios de “conexión limpia” a los propietarios del sitio. Por último, las defensas de menor tamaño, las soluciones locales, se instalan solo en los centros de datos de destino. Un adversario cuya botnet no es lo suficiente grande como para dirigirla a una defensa basada en el Borde, puede realizar un ataque a defensas basadas sólo en el centro de datos y ser efectivo incluso aunque tenga un tamaño 100 veces menor.
Dado que los ataques DDoS basados en el ancho de banda adoptan formas muy diversas, llama la atención que el tamaño máximo de los ataques siempre parezca limitarse a una curva de crecimiento trimestral del 9%. Un dato curioso que tiene explicación. Esta tendencia no se debe a una especie de límite natural. La explicación más probable es que sea el crecimiento de Internet subyacente el que limita la capacidad de adición de las botnets. La capacidad de Internet atenúa el peso total de lanzamiento que un ataque DDoS puede generar: cuanto mayor sea la distancia entre el objetivo y los componentes de una red, menor será el tráfico que logrará traspasar cualquier enlace congestionado entre el objetivo y el origen del ataque.
