Autor: Mireya Cortés
Los ataques de Memcached del invierno pasado marcaron el comienzo de la era de los ataques terabits DDoS. De acuerdo con el Informe de Inteligencia de Amenazas NETSCOUT 2018, desde el surgimiento de Memcached, el tamaño promedio de los ataques aumentó un 37%; en el primer trimestre de 2018 se presentaron 47 ataques de más de 300 Gbps en comparación de los tan solo siete ataques en el mismo periodo de 2017 a escala global.
Víctor González, experto en ciberseguridad de Netscout Arbor, informó que el ataque más grande jamás visto de 1.7 Tbps, golpeó a un gran proveedor de servicios de América del Norte, en febrero de 2018. Afortunadamente, gracias a la arquitectura de seguridad distribuida del cliente, su preparación de respuesta a incidentes y una combinación de mitigación de ataques DDoS local y en la nube, pudieron mitigar exitosamente el ataque sin tiempo de inactividad. “Aun así, este ataque subraya la nueva realidad de que las defensas diseñadas para contrarrestar ataques en el rango de 300 Gbps ya no son adecuadas. Incluso una infraestructura con una capacidad defensiva de 1 terabit está en riesgo”, destacó el directivo.
Otro ejemplo significativo es China, en donde los ataques que superaron los 500 Gbps aumentaron de cero en el primer semestre de 2017 a 17 en el primer semestre de 2018, una tasa de crecimiento particularmente alta.
El tamaño máximo de los ataques DDoS aumentó 174% en la primera mitad de 2018 en el mismo período en 2017. A medida que las herramientas de ataque se vuelven más sofisticadas, los atacantes consideran más fácil y económico lanzar ataques más grandes y efectivos.
No es una sorpresa descubrir que los proveedores de telecomunicaciones reciben la inmensa mayoría de los ataques, así como los servicios de hospedaje de datos, incluidos muchos proveedores de cloud. Las operadoras de telecomunicaciones sufrieron aproximadamente 996,000 ataques, con un tamaño de ataque máximo de 339.5 Gbps en 2017. No obstante, la historia fue diferente en 2018: la frecuencia de ataques se redujo a aproximadamente 793,000; mientras que el ataque máximo saltó a un récord de 1.7 Tbps.
“La actividad DDoS ahora involucra cientos de miles (y hasta millones) de víctimas que sirven en gran medida para amplificar el ataque o representan daño colateral, según indican los ataques de difracción SSDP (Protocolo Simple de Descubrimiento de Servicios) que se originaron en 2015 y reaparecieron este año”, destacó Víctor González.
Contrarrestar los grandes ataques
La tendencia hacia ataques más grandes refuerza el caso de una postura de defensa híbrida o en capas que combina capacidades de mitigación en la nube y en las premisas del cliente. Los ataques diarios son todavía relativamente pequeños y generalmente se pueden detectar y mitigar con una solución local (virtual o de dispositivo).
A decir de González, ahora que las capacidades de los atacantes han cruzado el umbral de terabits, es esencial tener un componente basado en la nube con la capacidad de mitigar los ataques de mayor escala. “La ventaja de un enfoque híbrido es que las defensas basadas en la nube se pueden mantener en reserva (en oposición a “siempre activo”) y se activan instantáneamente cuando el componente en el local detecta un ataque de tamaño significativo gracias al protocolo de señalización”.
Las soluciones de hardware y software de DDoS son mucho más eficaces cuando están respaldadas por una capacidad de inteligencia de amenazas global. Armado con esta información y el análisis de un equipo de investigación con talento, las medidas contra las amenazas conocidas y emergentes pueden alimentarse directamente en los productos de mitigación, concluyó el experto.