Un ataque de denegación de servicio distribuido (DDoS) no es cosa de risa; inundan su red con tráfico malicioso, haciendo caer sus aplicaciones e impidiendo que los usuarios legítimos accedan a su servicio. Los ataques DDoS suelen provocar la pérdida de ventas, el abandono de carros de la compra, daños a la reputación y usuarios insatisfechos.
La primera parte de esta serie de blogs trató sobre algunos de los pasos que debe dar para prepararse para un ataque de denegación de servicio distribuido (DDoS) antes de que ocurra. Este artículo tratará sobre lo que debe hacer ahora que está siendo atacado.
Aunque no puede controlar cuándo puede ser atacado, seguir los pasos que se describen a continuación puede ayudarle a minimizar el impacto del ataque, a recuperarse y a evitar que vuelva a suceder.
Alerte a las partes interesadas clave
A menudo se dice que el primer paso para solucionar un problema es reconocer que lo tiene. Para ello, es necesario alertar a las partes interesadas clave dentro de la organización explicando que se está bajo ataque, y qué medidas se están tomando para mitigarlo.
Ejemplos de partes interesadas clave incluyen el CISO de la organización, el centro de operaciones de seguridad (SOC), el director de TI de la red, los gerentes de operaciones, los gerentes de negocios de los servicios afectados, etc.
Dado que probablemente tendrá las manos llenas para combatir el ataque, probablemente sea mejor mantener esta alerta corta y al grano.
La información clave -en la medida en que la tenga- debería incluir:
- Qué está ocurriendo
- Cuándo comenzó el ataque
- Qué activos (aplicaciones, servicios, servidores, etc.) están afectados
- Impacto para los usuarios y clientes
- Qué medidas se están tomando para mitigar el ataque
Mantener informados a los interesados a medida que se desarrolla el evento, y/o se dispone de nueva información. Mantener a las partes interesadas clave informadas de forma continua ayudará a evitar la confusión, la incertidumbre y el pánico, y a coordinar los esfuerzos para detener el ataque.
Notifique a su proveedor de seguridad
Además de notificar a las partes interesadas dentro de su organización, también querrá alertar a su proveedor de seguridad e iniciar cualquier medida por su parte para ayudarle a hacer frente al ataque.
Su proveedor de seguridad puede ser su proveedor de servicios de Internet (ISP), proveedor de alojamiento web o un servicio de seguridad dedicado.
Cada tipo de proveedor tiene diferentes capacidades y alcance de servicio. Su ISP puede ayudarle a minimizar la cantidad de tráfico de red malicioso que llega a su red, mientras que su proveedor de alojamiento web puede ayudarle a minimizar el impacto de las aplicaciones y a ampliar su servicio. Del mismo modo, los servicios de seguridad suelen tener herramientas dedicadas específicamente a hacer frente a los ataques DDoS.
Incluso si todavía no tiene un acuerdo predefinido para el servicio, o no está suscrito a su oferta de protección DDoS, debe, no obstante, ponerse en contacto para ver cómo pueden ayudar.
Activar las contramedidas
Si tiene alguna contramedida en marcha, ahora es el momento de activarla.
Un enfoque es implementar listas de control de acceso (ACL) basadas en IP para bloquear todo el tráfico procedente de fuentes de ataque. Esto se hace a nivel del router de la red, y normalmente puede ser manejado por su equipo de red o su ISP. Es un enfoque útil si el ataque proviene de una sola fuente, o de un pequeño número de fuentes de ataque. Sin embargo, si el ataque proviene de un gran grupo de direcciones IP, entonces este enfoque podría no ser útil.
Si el objetivo del ataque es una aplicación o un servicio basado en la web, entonces también podría intentar limitar el número de conexiones concurrentes de la aplicación. Este enfoque se conoce como limitación de velocidad, y es frecuentemente el enfoque favorecido por los proveedores de alojamiento web y CDNs. Tenga en cuenta, sin embargo, que este enfoque es propenso a altos grados de falsos positivos, ya que no puede distinguir entre el tráfico de usuario malicioso y legítimo.
Las herramientas de protección DDoS dedicadas le darán la más amplia cobertura contra los ataques DDoS. Las medidas de protección DDoS pueden desplegarse como un dispositivo en su centro de datos, como un servicio de depuración basado en la nube o como una solución híbrida que combina un dispositivo de hardware y un servicio en la nube.
En principio, estas contramedidas se pondrán en marcha inmediatamente una vez que se detecte un ataque. Sin embargo, en algunos casos, estas herramientas -como los dispositivos de hardware fuera de ruta o los servicios de mitigación bajo demanda activados manualmente- pueden requerir que el cliente las inicie activamente.
Como se mencionó anteriormente, incluso si no se tiene una solución de seguridad dedicada, la mayoría de los servicios de seguridad permiten la incorporación de emergencia durante un ataque. Dicha incorporación suele conllevar una cuota considerable o la obligación de suscribirse al servicio más adelante. Sin embargo, esto puede ser necesario si no tiene otra opción.
Monitoree la progresión del ataque
Durante el ataque, debe monitorear su progresión para ver cómo se desarrolla con el tiempo.
Algunas de las preguntas clave para tratar de evaluar durante este tiempo:
- ¿Qué tipo de ataque DDoS es? ¿Es una inundación a nivel de red o es un ataque a nivel de aplicación?
- ¿Cuáles son las características del ataque? ¿Qué magnitud tiene el ataque (tanto en términos de bits por segundo como de paquetes por segundo)?
- ¿El ataque proviene de una sola fuente IP o de varias? ¿Puede identificarlos?
- ¿Cómo es el patrón de ataque? ¿Es un único flujo sostenido, o es un ataque en ráfaga? ¿Involucra un único protocolo o implica múltiples vectores de ataque?
- ¿Son los objetivos del ataque los mismos o los atacantes cambian sus objetivos a lo largo del tiempo?
El seguimiento de la progresión del ataque también le ayudará a ajustar sus defensas.
Evaluar el rendimiento de las defensas
Por último, a medida que se desarrolla el ataque y se despliegan las contramedidas, hay que medir su eficacia continua.
La cuestión aquí es sencilla: ¿Funcionan las defensas o pasa el tráfico de ataque?
Su proveedor de seguridad debe proporcionarle un documento de Acuerdo de Nivel de Servicio (SLA) que comprometa sus obligaciones de servicio. Dos de las métricas más importantes de este documento son Time-to-Mitigate (TTM) y Consistency-of-Mitigation.
- El Time-to-Mitigate mide la rapidez con la que su proveedor se compromete a detener el ataque.
- La métrica Consistency-of-Mitigation, por otro lado, mide lo bien que está deteniendo el ataque. Esta métrica suele definirse como la proporción de tráfico malicioso que se permite pasar a su red.
Si descubre que su seguridad no está cumpliendo con su obligación de acuerdo de nivel de servicio (SLA), o peor aún, no es capaz de detener el ataque en absoluto, ahora también es el momento de evaluar si necesita hacer un cambio.
Descargue el «Almanaque de los hackers» de Radware para obtener más información.
Descargue ahora