Las instituciones financieras han estado combatiendo olas de grandes ataques de negación distribuida del servicio (DDoS, por sus siglas en inglés) desde comienzos del año pasado. Muchos de estos ataques han sido la labor de un grupo denominado los Soldados Cibernéticos Qassam (QCF), quienes publicaron recientemente actualizaciones semanales en Pastebin recordándole a los lectores las razones de sus esfuerzos y resumieron la operación Abadil su campaña DDoS.
Otros grupos hacktivistas han lanzado sus propios ataques DDoS contra instituciones de servicios financieros con ataques enfocados en formas y contenido web. También ha habido reportes de asaltos cibernéticos organizados por países hacia bancos y agencias gubernamentales, junto con esfuerzos multivector complejos que han combinado ataques DDoS con falsificación de cuentas en línea e incluso fraude.
El último año y medio indican un estado de actividad de hackeo que aumenta en intensidad y evoluciona regularmente. Los incidentes recientes contra los bancos de todos los tamaños han mostrado que existen muchos tipos de ataques DDoS. Estos han incluido inundaciones SYN y DNS tradicionales, así como amplificación DNS, capa de aplicación y métodos de ataques a contenidos. Las actividades de negación (DoS) del servicio dirigidas hacia recursos de página web SSL codificados y el contenido es un reto adicional. En algunas situaciones los adversarios han cambiado a una forma de ataque mezclada que incorpora métodos de capa de aplicación más difíciles de detener junto con ataques “baratos” de alto volumen que se pueden filtrar y bloquear a través de medios más sencillos.
Para lidiar con este nivel de actividad maliciosa CIOs, CISOs y sus equipos necesitan tener un plan y considerar un conjunto amplio de herramientas defensivas que combinan tecnologías en sitio y servicios de depuración basados en la nube. También deben comenzar a explorar e implementar inteligencia y metodologías de distribución que lleven a una estrategia de mitigación DoS completa.
1. Tenga un servicio de depuración o proveedor de limpieza similar para manejar grandes ataques volumétricos
Los volúmenes asociados con la actividad DDoS han alcanzado un nivel donde 80 Gbps de tráfico DDoS es un evento normal. Incluso existen reportes de ataques en el rango de 300 Gbps. Algunas organizaciones pueden mantener suficiente ancho de banda para lidiar con ataques de este tamaño. Y cuando enfrentan incidentes DDoS tan grandes lo primero que necesita considerar una organización es la opción de enrutar su tráfico de Internet a través de un proveedor de depuración dedicado basado en la nube que pueda remover los paquetes maliciosos de la corriente. Estos proveedores son la primera línea de defensa ante grandes ataques volumétricos pues tienen las herramientas necesarias y el ancho de banda para limpiar el tráfico de la red as los paquetes DDoS se detienen en la nube y el tráfico de negocios regular se deja pasar.
2. Tenga un dispositivo de mitigación DDoS dedicado para identificar, aislar y remediar ataques
La complejidad de los ataques DoS y la tendencia de combinar métodos volumétricos y de aplicación exige una combinación de métodos de mitigación. La forma más efectiva de lidiar con la aplicación y con los elementos “bajos y lentos” de estos ataques multivector es aprovechar los dispositivos delicados ya instalados. Los firewalls y los sistemas de prevención de intrusiones son críticos para el esfuerzo de mitigación y los dispositivos de seguridad DDoS ofrecen una capa adicional de defensa mediante tecnologías especializadas que identifican y bloquean actividad DoS avanzada en tiempo real. Los administradores también pueden configurar sus soluciones instaladas para comunicarse con proveedores de servicio de depuración en la nube para poder distanciar automáticamente la ruta durante el ataque.
3. Las organizaciones necesitan perfeccionar el firewall para manejar grandes tasas de conexión
El firewall también será una pieza importante de equipos de redes durante ataques DDoS. Los administradores deben ajustar sus configuraciones de firewall con el fin de reconocer y manejar ataques volumétricos y de capa de aplicación. Y dependiendo de las capacidades del firewall, las protecciones también se pueden activar para bloquear los paquetes DDoS y mejorar el rendimiento del firewall mientras se está bajo ataque.
4. Desarrolle una metodología o una estrategia para proteger las aplicaciones de ataques DDoS
Las tecnologías seguras pueden proporcionar protecciones robustas a las actividades DDoS. Pero los administradores deben pensar en afinar sus servidores web, modificar su balance de carga y estrategias de entrega de contenido para asegurar el mejor tiempo de actividad posible. También es relevante para tales esfuerzos la incorporación de salvaguardias contra varios intentos de ingreso. Otro enfoque interesante es bloquear actividades automáticas lideradas por máquinas al incluir páginas web con detalles de ofertas tales como oportunidades de reducción de tasas de interés o datos de productos nuevos para que los usuarios puedan oprimir en botones “aceptar” o “no gracias” con el fin de continuar más a fondo en el contenido del sitio web.
Además el análisis de contenido es importante. Tales esfuerzos pueden ser tan simples como garantizar que no existen grandes archivos PDF hospedados en servidores de alto valor.
Los métodos arriba mencionados son cruciales para cualquier estrategia de mitigación DDoS. Las organizaciones también deben contactar a los proveedores de servicio y a los ISPs y trabajar con ellos para identificar nuevas técnicas de mitigación. Los ISPs deben estar involucrados en estrategias de mitigación. Los ataques DDoS utilizan la misma Internet que los clientes bancarios y los ISPs cargan ambas formas de tráfico.
La necesidad de investigar y desplegar inteligencia y estrategias de distribución es de gran relevancia. Estos esfuerzos deben investigar los datos dentro de la red de la compañía y expandirse para incluir otras empresas que operan en la industria de servicios financieros.
Obtener más datos sobre quién es el actor, sus motivos para el ataque y los métodos que usa ayuda a los administradores a anticipar y a diseñar proactivamente alrededor de esos ataques. El perfil de datos del ataque puede variar desde los protocolos utilizados en el ataque (SYN, DNS, HTTP), las fuentes de los paquetes de ataque, las redes de comando y control y las horas del día en que los ataques empezaron y terminaron. Aunque es valioso en la mitigación de los ataques no existe una forma fácil de comunicar estos datos y los obstáculos regulatorios hacen más difícil compartir datos de ataque.
Ahora el compartir datos consiste en amigos hablando con amigos. El compartir información necesita evolucionar en un sistema automatizado donde las organizaciones pueden ingresar a una solución y ver registros de datos correlacionados y en bruto que proporcionan pistas de ataques que han terminado y que están en proceso. Estos sistemas también se pueden utilizar para compartir inteligencia de ataques y distribuir protecciones. Una capacidad de compartir datos ayudaría a elevar las habilidades de las empresas de servicios financieros para luchar con la actividad DDoS y traer la industria como un todo a otro nivel de preparación.
Por Avi Rembaum y Daniel Wiley
Avi Rembaum es director de 3D consulting y Daniel Wiley es consultor de seguridad senior de Check Point Software Technologies.
