WHITE PAPER DE AKAMAI

Creación de un plan de protección contra ataques DDoS

8 prácticas recomendadas

Tabla de contenido

Qué esperar de un ataque DDoS 1

Qué esperar durante un ataque DDoS: Pánico 1

Cómo ha cambiado el panorama de ataques DDoS 1

8 prácticas recomendadas para crear y mantener un plan de protección contra

ataques DDoS 2

1. Anticipe los puntos únicos de fallo 2

2. Compruebe la capacidad de protección contra DDoS de su proveedor de

servicios de Internet 2

3. No sobreestime su infraestructura 3

4. Identifique lo que necesita proteger y cómo afectaría su pérdida a la empresa 3

5. Identifique el tiempo aceptable para la mitigación 3

6. Implemente un servicio de protección contra DDoS antes de necesitarlo 4

7. Desarrolle un runbook de respuesta ante DDoS 4

Funciones y responsabilidades del personal clave y rutas de derivación 4

A quién dirigirse y cómo hacerlo 4

Gestión de las comunicaciones internas 4

Gestión de las relaciones públicas y con los clientes 4

Plan de revisión posterior al ataque 5

Mantenimiento del runbook de DDoS actualizado 5

8. Prueba del runbook de DDoS para garantizar su capacidad operativa 5

Conclusión 5

Creación de un plan de protección contra ataques DDoS: 8 prácticas recomendadas 1

Qué esperar de un ataque DDoS

El impacto de un ataque distribuido de denegación de servicio (DDoS) es fácil de ver: los sitios web

y las aplicaciones se ralentizan o dejan de estar disponibles. Su centro de asistencia telefónica se

satura con llamadas urgentes de clientes insatisfechos y frustrados. Los paneles de TI alertan de una

situación preocupante y confusa.

Qué esperar al recibir un ataque DDoS: PánicoEl pánico invade a las organizaciones que no están preparadas para recibir un ataque DDoS. Los equipos de TI se esfuerzan por mantener los sitios web y las aplicaciones disponibles frente a los agentes maliciosos y múltiples vectores de ataque. Mientras el atacante cambia los vectores de denegación de servicio para aprovechar distintas vulnerabilidades de la red, el personal de TI intenta valorar la situación desencadenada y averiguar por qué se producen anomalías en la red. Por ejemplo:

• ¿Por qué los routers permiten el tráfico, mientras los equilibradores de carga están bloqueados?

• ¿Por qué el servidor web responde, pero la base de datos no?

• ¿Por qué la base de datos está activa, pero el servidor web no responde?

• ¿Por qué se desvía el tráfico si todo parece estar funcionando?

Varias personas en la organización se apresuran a realizar llamadas al proveedor de servicios de Internet (ISP) y a los proveedores de aplicaciones, buscando una explicación y ayuda, pero nadie sabe realmente a quién llamar primero y qué preguntar. Mientras tanto, los directivos quieren respuestas claras y saber por qué se han paralizado las operaciones y cuándo se reanudará la actividad normal. Ahí es cuando realmente entra en escena el pánico.

Cuando se recibe un ataque DDoS, contar con un plan de protección marca la diferencia entre toda una organización presa del pánico y una respuesta rápida y ordenada que mantenga la normalidad del negocio.

Cómo ha cambiado el panorama de ataques DDoSIndependientemente de su tamaño, toda empresa que cuente con una presencia en Internet debe preocuparse por los ciberataques. Los atacantes pueden tener como objetivo cualquier componente de los sistemas orientados a Internet, tales como:

• Sitio web

• Aplicación web

• API

Los ataques DDoS han cambiado con el tiempo. Algunas de las tendencias de ataques DDoS del pasado año destacadas en el Informe sobre el estado de Internet en materia de seguridad de Akamai son las siguientes:

• Los dispositivos del Internet de las cosas (IoT)1 son fuente de un sinfín de recursos de botnet. El malware Mirai y sus derivados están evolucionando y propagándose,2 y el malware antiguo se está actualizando3 para aprovechar la proliferación de dispositivos de IoT inseguros.

• El tamaño de los peores ataques DDoS se ha duplicado con respecto al año anterior para superar los 600 gigabits por segundo (Gbps)4.

• Incluso un ataque DDoS típico de menos de 4 Gbps5 puede provocar una denegación de servicio en un sitio sin protección o que dependa de un hardware de mitigación de DDoS in situ.

• Los ataques DDoS pueden ser potentes, tener una duración de minutos o días, dirigirse repetidamente al mismo destino (una media de 32 ataques por víctima y trimestre6) y dar lugar a un deterioro de la respuesta crónico y de bajo nivel.

• La aparición de nuevos vectores de ataque DDoS7 y nuevos tipos de infecciones por malware de botnet8 es frecuente.

• Los servicios DDoS de alquiler9 están al alcance de la mano, y cualquier persona, incluso sin conocimientos técnicos, puede lanzar un ataque DDoS dañino.

• Servidor de nombres de dominio (DNS)

• Servidor de origen

• Infraestructura de red y centro de datos

Creación de un plan de protección contra ataques DDoS: 8 prácticas recomendadas 2

Muchas organizaciones incluyen los ataques DDoS en un plan de recuperación ante desastres, pero eso es un error. Un desastre implica un evento que es improbable e inevitable. Los atacantes lanzan deliberadamente cientos de ataques DDoS cada día, los cuales son habituales para muchas empresas.

Toda empresa que dependa de sus activos orientados a Internet debe contar con un plan de protección contra DDoS. Cuando se está totalmente preparado para un ataque DDoS con un sistema de protección y un runbook de respuesta,es fácil responder de forma eficaz a este tipo de incidentes y mitigar rápidamente los daños operacionales, financieros, normativos y a la reputación.

La previsión y preparación son una práctica recomendada para las operaciones empresariales y su mejor defensa contra los ataques DDoS.

8 prácticas recomendadas para crear y mantener un plan de protección contra ataques DDoSSi se bloquean sus acciones iniciales, los atacantes DDoS suelen cambiar los vectores de ataque o

buscar un blanco más fácil. Piense como un ”hacker”. Tenga en cuenta todos los tipos y objetivos

de ataques DDoS, y conozca a la perfección sus opciones de protección. Desarrolle e implemente un

plan que incluya las siguientes ocho prácticas recomendadas para mitigar el impacto de los ataques

DDoS en el negocio.

1. Anticipe los puntos únicos de fallo Los atacantes DDoS aprovecharán cualquier posible punto de fallo, como:

• Servidores de sistema de nombres de dominio (DNS): la infraestructura de DNS es un objetivo fácil para los agentes maliciosos, ya que proporciona un servicio necesario al permitir que los navegadores de los usuarios finales busquen su dirección IP y encuentren su sitio web. Obtenga más información sobre los ataques al DNS.

• Servidor de origen: los servidores que alojan sus sitios web, aplicaciones web y contenido web son blancos perfectos. Los atacantes pueden eludir las demás protecciones si pueden acceder directamente al servidor de origen, que puede estar en la nube o en el centro de datos.

• Sitio web: incluso un simple ataque DDoS puede inundar un sitio web sin protección con un gran volumen de solicitudes que supere su capacidad.

• Aplicación web: una aplicación web no puede distinguir fácilmente entre un ataque DDoS y las solicitudes de usuarios legítimos. Las páginas de inicio de sesión suelen ser un objetivo, ya que activan procesos de back-end que consumen ciclos de CPU en el servidor web, como la prevención de fraudes, el acceso a la base de datos y las rutinas de autenticación.

• Interfaces de programación de aplicaciones (API): las API se están convirtiendo en un objetivo cada vez más frecuente, en parte porque cada vez hay más sitios web que permiten las comunicaciones a través de ellas. Las API pueden proporcionar información a las aplicaciones móviles o enviar contenido de fuentes ajenas a una aplicación web.

• Centro de datos e infraestructura de red: la infraestructura de centro de datos y red, así como el ancho de banda de la red en el centro de datos, constituyen otro blanco de ataque. Si un atacante satura los canales de red o sobrecarga los routers y conmutadores, el tráfico legítimo no puede pasar.

2. Compruebe la capacidad de protección contra DDoS de su proveedor de servicios de InternetSu ISP puede ser el punto único de fallo. Si un ataque DDoS en su sitio web pone en riesgo a otros clientes del ISP, este seguramente bloquee (desvíe) el tráfico, y su sitio web quede inoperativo de forma indefinida. A continuación, se incluyen algunas preguntas que puede formular a su ISP:

1. Si alguna vez ha bloqueado el tráfico a un sitio de un cliente como consecuencia de un ataque DDoS.

2. Con qué protección contra DDoS cuenta.

3. Si tiene capacidad para descifrar el estándar TLS/SSL para inspeccionar ataques DDoS a aplicaciones cifrados en sesiones SSL.

Creación de un plan de protección contra ataques DDoS: 8 prácticas recomendadas 3

4. Cómo se ha preparado para los ataques de día cero y nuevos vectores de ataque.

5. La capacidad disponible que tiene en la red, además de los picos de tráfico normales.

6. Si la red recibe 10 Gbps de tráfico de un ataque DDoS de reflexión con cientos de orígenes, cuánto tiempo tardará en bloquearlo mediante una lista de control de acceso (ACL).

7. El tamaño del ataque DDoS que intentará mitigar antes de optar por bloquear todo el tráfico del sitio.

8. Si el tráfico de un cliente se bloquea debido a un ataque DDoS, cuáles son los requisitos para restaurar su servicio de Internet.

Obtenga más información sobre las opciones de protección contra DDoS y la importancia de la capacidad

disponible en el libro electrónico Por qué la nube: Guía de seguridad en la nube para compradores.

3. No sobreestime su infraestructura Su hardware de red perimetral actual puede funcionar bien en el día a día, pero puede fallar rápidamente durante un ataque DDoS si faltan recursos en el perímetro de la red en el caso de un evento malicioso.

• Compruebe y asegúrese de que su infraestructura tiene un equilibrio suficiente con un margen muy por encima de los requisitos aceptables para picos de tráfico.

• Considere su tolerancia al riesgo. Un ataque DDoS típico genera menos de 4 Gbps, pero un pico de tráfico DDoS puede superar los 600 Gbps.

4. Identifique lo que necesita proteger y cómo afectaría su pérdida a la empresaLas necesidades de cada organización son diferentes. ¿Qué activos orientados a Internet necesita proteger de los ataques DDoS? Si no los protege y dejan de estar disponibles, ¿qué impacto empresarial y costes puede acarrear, incluidos los costes operacionales, financieros, normativos y de reputación?

• ¿Solo le preocupa proteger el sitio web? ¿Las aplicaciones web? ¿Las API?

• ¿Qué ocurre con el servidor de origen? ¿Y los servidores de DNS?

• ¿Se puede elaborar un plan para proteger su infraestructura de red y centro de datos?

Saber lo que necesita proteger influirá en el tipo de protección contra DDoS. No todos los ataques van dirigidos a los puertos 80 y 443.

• Para proteger un centro de datos, una infraestructura de red y otros activos distintos del sitio web, como servidores de correo electrónico, es necesaria una red de barrido de DDoS.

• Una red de distribución de contenido (CDN) con capacidades de mitigación de DDoS y firewall de aplicaciones web puede proteger los activos web, incluidos los sitios web, aplicaciones web y API. Una CDN puede también proteger los servidores de origen, así como la infraestructura de DNS primaria y secundaria.

5. Identifique el tiempo aceptable para la mitigación Algunos servicios de protección contra DDoS siempre están activos: usted ni siquiera notará la mayoría de los ataques DDoS. Otros, sin embargo, se activan a la carta: después de una solicitud manual o una detección automatizada de ataque DDoS. ¿Con qué rapidez necesita activar el servicio de protección contra DDoS?

Los servicios de barrido de DDoS suelen ser a la carta: el tráfico de red solo pasa por el centro de barrido cuando es necesario. Con una supervisión profesional del flujo y una conexión directa y de gran ancho de banda a la red de barrido de DDoS, el cambio puede ser tan rápido que el ataque DDoS tendría poco o ningún impacto en la disponibilidad del sitio. Otras organizaciones optan por reducir los costes y recurrir a sus propios equipos para identificar un ataque DDoS y activar manualmente el servicio de barrido. Los servicios de protección contra DDoS con CDN están siempre activos y son instantáneos, pero solo protegen los sitios web, no la infraestructura. Los proveedores ofrecen flexibilidad, por lo que es importante conocer la tolerancia al riesgo de su empresa y usarla como guía a la hora de tomar decisiones en cuanto a la arquitectura.

Creación de un plan de protección contra ataques DDoS: 8 prácticas recomendadas 4

6. Implemente un servicio de protección contra DDoS antes de necesitarloElija un servicio de protección contra DDoS antes de necesitarlo. Evitar el caos, las demoras y el pánico a la hora de buscar protección contra DDoS cuando se sufre un ataque tiene varias ventajas adicionales:

• Tener tiempo para elegir la mejor solución. Su proveedor de protección contra DDoS le puede explicar los planteamientos de protección contra DDoS que satisfagan sus necesidades específicas. Asimismo, puede buscar lagunas para asegurarse de que está plenamente protegido.

• Saber a quién llamar y qué hacer. Establezca una relación con su proveedor de protección contra DDoS y sepa qué hacer y a quién llamar cuando sufra un ataque.

• Prepararse para la protección contra DDoS. Siente las bases y configure el servicio de protección contra DDoS. Por ejemplo, configurar un periodo de vida (TTL) de DNS de corta duración acelerará el tiempo de mitigación a la hora de enrutar el tráfico a un servicio de barrido.

• Probar y optimizar. Colabore con su proveedor de protección contra DDoS para probar y validar el servicio de barrido de DDoS. Pruebe el proceso, asegúrese de que las aplicaciones siguen funcionando como se espera y optimice la configuración.

7. Desarrolle un runbook de respuesta a DDoSUn runbook (también denominado "cuaderno") de respuesta ante DDoS permite a su organización proporcionar una respuesta ágil y controlada a un ataque DDoS.

• Si opta por una solución de mitigación a la carta con activación manual, su organización necesita saber qué buscar, qué hacer y a quién llamar para activar el servicio de respuesta a DDoS.

• Si dispone de un servicio de protección contra DDoS siempre activo o que se inicia automáticamente, su organización necesita saber cómo responder si recibe un ataque de día cero o un ataque DDoS dirigido a un punto de fallo imprevisto para el que su organización carece de protección.

Un runbook de respuesta de DDoS debe incluir procesos de respuesta a incidentes, rutas de derivación y puntos de contacto, incluidos:

Funciones y responsabilidades del personal clave y rutas de derivaciónIdentifique qué decisiones y acciones son aplicables y quién es el responsable de las mismas. Incluya a los miembros del equipo de TI, los propietarios de las aplicaciones de cada línea de negocio, el servicio de atención al cliente, los equipos de comunicaciones y los ejecutivos, entre otros. Incluya cualquier detalle especial de su configuración. Identifique los canales de comunicación que se van a abrir y quienes van a participar.

Los ataques DDoS no afectan solo a TI. A fin de minimizar las interrupciones en el negocio, incluya las funciones y responsabilidades detalladas de cada departamento de la empresa.

A quién dirigirse y cómo hacerlo Almacenar en un solo lugar los nombres y números de teléfono de los contactos clave (tanto de su organización como del proveedor de protección contra DDoS) puede ahorrar un tiempo valioso.

Gestión de las comunicaciones internasAyude a los empleados de la empresa y partners clave a entender lo que está sucediendo durante el ataque para que no cunda el pánico y se genere una crisis interna adicional. Tenga un único punto de contacto para transmitir información y prepare actualizaciones confidenciales y breves, al estilo Twitter, para su uso en toda la organización.

Gestión de las relaciones públicas y con los clientesSi el ataque DDoS afecta a partners, clientes o al público, evalúe la respuesta de su organización ante ellos y ante los medios de comunicación.

Creación de un plan de protección contra ataques DDoS: 8 prácticas recomendadas 5

Plan de revisión posterior al ataqueSu organización puede aprender algo útil de cada ataque. Ponga en marcha un proceso de revisión tras estos.

Mantenimiento del runbook de DDoS actualizadoRevise y actualice con frecuencia los procedimientos del runbook y los puntos de contacto. Hágalo, al menos, trimestralmente.

8. Prueba del runbook de DDoS para garantizar su capacidad operativaLa mejor forma de determinar la capacidad operativa es mediante la realización de pruebas y un ataque DDoS simulado. Un simulacro al año permite revisar varias situaciones de ataque para asegurarse de que se van a seguir las rutas de derivación, las prácticas recomendadas y los procedimientos. Además, permite comprobar que la información del runbook está debidamente documentada y actualizada.

ConclusiónAunque una solución de mitigación de DDoS de emergencia se puede implementar en menos de

una hora en los casos más habituales, las empresas no preparadas deberán enfrentarse antes a

horas o días de inactividad y caos. La mejor forma de evitar el tiempo de inactividad ocasionado

por los ataques DDoS consiste en implementar un plan de protección antes de que la empresa

sufra un ataque.

Estar preparado es una máxima típica de gran importancia para una organización online en un mundo en el que los ataques web y DDoS suponen una amenaza generalizada. Necesita soluciones sólidas, inteligentes y fáciles de usar para mantener la infraestructura, los datos, las aplicaciones y las API seguros, sin sobrecargar los recursos internos.

Akamai aconseja a los líderes en seguridad y responsables de TI hablar con los proveedores del servicio de protección contra DDoS antes de sufrir un ataque. Haga preguntas y analice todos los escenarios de DDoS posibles en que podría verse implicada su empresa. Implemente una solución y aprenda a utilizar los servicios de protección contra DDoS para sacarles el máximo provecho. Prepare un runbook de respuesta ante DDoS y pruébelo.

Con la planificación de la protección contra DDoS, en lugar de pánico y caos, podrá mantener la normalidad del negocio durante un ataque DDoS, tal y como pueden atestiguar las siguientes organizaciones:

• Una entidad bancaria comercial de carácter internacional con 50 000 inicios de sesión de miembros al día identificó sus necesidades de protección contra DDoS, implementó las soluciones de seguridad en la nube de Akamai, probó el sistema, preparó un runbook de mitigación de DDoS y realizó modificaciones en su plan de respuesta ante incidentes. Más tarde, cuando recibió varios ataques DDoS contra su infraestructura de DNS, estos se mitigaron y no afectaron a los servicios del banco. Lea el caso práctico en Akamai.com.

• Un organismo público que planificaba un programa de participación colectiva de recompensa por hallar vulnerabilidades contactó con Akamai previamente para frustrar los ataques basados en Internet y garantizar la disponibilidad de los sitios que ofrecía para las pruebas de vulnerabilidad. Durante el hackatón, Akamai denegó más de 19 millones de solicitudes maliciosas y un ataque DDoS con origen en direcciones IP de 83 países sin que el sitio sufriera ninguna interrupción. Lea el caso práctico en Akamai.com.

Vea más historias de clientes sobre seguridad en la nube en Akamai.com.

Creación de un plan de protección contra ataques DDoS: 8 prácticas recomendadas 6

Fuentes

1) Tercer trimestre de 2016, sección 2.3

2) Segundo trimestre de 2017, sección 4.2

3) Cuarto trimestre de 2016, sección 2.3

4) Tercer trimestre de 2016, sección 2.3

5) Primer trimestre de 2017, sección 1.0

6) Segundo trimestre de 2017, sección 2.0

7) Primer trimestre de 2017, sección 2.3

8) Segundo trimestre de 2017, sección 2.5

9) Segundo trimestre de 2016, sección 2.9

Como la plataforma de distribución en la nube más grande y respetada del mundo, Akamai ayuda a sus clientes a ofrecer las mejores y más seguras experiencias digitales, independientemente del dispositivo, en cualquier momento y en cualquier lugar.La plataforma ampliamente distribuida de Akamai ofrece una escala inigualable, con más de 200 000 servidores repartidos por 130 países, para garantizar a sus clientes el máximo rendimiento y protección frente a las amenazas.La cartera de soluciones de rendimiento web y móvil, seguridad en la nube, acceso empresarial y distribución de vídeo de Akamai está respaldada por un servicio de atención al cliente excepcional y una supervisión ininterrumpida.Para descubrir por qué las principales instituciones financieras, líderes de comercio electrónico, proveedores de contenidos multimedia y de entretenimiento, y organizaciones gubernamentales confían en Akamai, visite www.akamai.com/es/es y blogs.akamai.com/es/, o siga a @Akamai en Twitter. Puede encontrar los datos de contacto de todas nuestras oficinas en https://www.akamai.com/es/es/locations.jsp. Publicado en septiembre de 2017.