La Problematica de DDOS: Lo que importa
no es el tamaño, es la complejidad.
Federico Chaniz – Channel Director
[email protected]
ATLAS: Inteligencia Global de Amenazas
Active Threat Level Analysis System
Peakflow SP
ISP Network
PEAKFLOW SP
2
Peakflow SP
ISP Network
DARKNET
ATLAS SENSOR
ATLAS DATA CENTER
3
Peakflow SP
ISP Network
DARKNET
1
ATLAS SENSOR
ATLAS tiene sensores desplegados en Internet a
nivel global para descrubrir, clasificar y filtrar la
actividad de los “exploits”
Los sistemas Peakflow SP instalados en mas de 250
ISP comparten informacion de manera anonima
para detectar ataques y monitorear trafico.
ASERT analiza los datos combinados de malware y
nuevos vectores de ataques detectados, y los
convierte en informacion que alimenta las
soluciones de Arbor.
DDOS y la Disponibilidad de Servicio
• La Disponibilidad de Servicios es critica.
– Los ataques de DDoS sacan a las empresas de Internet
y no le permiten acceder a los servicios.
– La mayoria de las organizaciones cuentan con la
Internet para mantener la continuidad del negocios.
• Los ataques de DDOS.
– Existen mayores motivaciones para la generacion de
ataques.
– Los ataques de DDOS son muy faciles de realizar.
– Estan altamente desarrollados a nivel social.
Que motiva los ataques de DDOS?
La Nuevos Patrones de Ataques de DDOS
Mas Complejos
•
•
Los ataques de Nivel de
Aplicacion y Multi
Vectoriales son cada vez
mas comunes.
El Malware usa ahora
mecanismos mas
complejos de infiltracion.
Mayor Capacidad
• Mayor cantidad de
Botnets disponibles para
lanzar ataques
distribuidos y a nivel de
aplicacion.
•
Las herramientas
disponibles hacen que
generar un ataque sea
cada vez mas simple.
Coordinados
•
•
Los ataques de DDOS se
usan para cubrir o iniciar
otro tipo de actividades
criminales..
Las campañas para
ataques complejos y multi
vecoriales estan cada vez
mas organizadas.
Tamaño de los Ataques Volumetricos
Los “Peaks” de
Trafico en 2012
fueron de 80 a
100Gbps.
El Promedio de
trafico de un
ataque
Volumetrico esta
por encima de
1Gb/sec
Ataques de Aplicacion y Multi-Vectoriales
• Los servidores HTTP y de DNS son los blancos mas comunes para los
ataques a nivel de aplicacion.
• Cerca del 50% de los clientes reportaron ataques multivectoriales. Un
incremento del 60% respecto de 2011.
– Los ataques Multivectoriales son complejos, pues requieren una estrategia
de defensa de varias capas.
Amenazas en las Redes Internas
• La mitad de los clientes
han experimientado la
existencia de Botnets y
servidores
comprometidos en sus
redes internas
• Aumento de la
preocupacion en APT
como metodo para el
espionaje industrial,
mas alla de haberlos
experimentados.
Malware en las Redes Internas
Xtreme RAT – 2012
Remote Access Trojan (RAT) que permite a usuarios
remotos robar datos de las maquinas infectadas. La
infeccion se realizo a traves de una campania de “spear
phishing” y fue dirigida a institucion de gobierno de US and
Israeli.
Shamoon – 2012
Malware ejecutable que se distribuye a traves de
los recursos compartidos de la red. Corrompe
archivos y mecanismos de booteo en una fecha
determinada. El grupo "Cutting Sword of Justice"
reclama la responsabilidad por este ataque a
30,000 estaciones de Saudi Aramco. La empresa
paso 1 semana reestableciedo los servicios.
DDOS en Operacion “Ababil”
• Comprometieron servidores de
PHP, WordPress, & Joomla
• Multiples vectores de ataques
concurrentes
– Ataques GET/POST a nivel de
Aplicacion sobre servidores HTTP/S
– Ataques de Aplicacion del tipo DNS
Query
– Floods de protocolos UDP, TCP SYN e
ICMP
Otras caracteristicas unicas del ataque.
– Un alto valor de “paquetes por segundo” por
cada fuente.
– Attaques simultaneos a diferetnes empresas del
mismo mercado.
– Monitoreo en tiempo real de los resultados.
– Agilidad inusual para modificar el ataque cuando
eran mitigados.
Lecciones Aprendidas
Que hace a los ataques
tan efectivos?
Que se necesita
cambiar?
• Los atacantes cambian de tacticas
en tiempo real.
• Definen objetivos “fragiles”
usando ataques de Aplicacion de
L4/7
• Inline Firewall/IPS no son
efectivos.
• La oferta de los ISP para brindar
MSS es limitada.
• Falta de una proteccion de DDOS
en varios niveles.
S
O
I
F
A
S
E
D
• Inversion en soluciones de
defensa especifica para DDOS.
• Falta de “practica” en DDOS.
• Foco en Mantener la
Disponibilidad
• Estrecha Colaboracion con el
Service Provier al momento de
un ataque.
• DDoS debe ser parte de los
Planes de Continuidad. No estan
incluidadas en las Planes de
Disaster Recovery.
S
E
N
O
C
A
D
N
E
M
O
C
E
R
La Solucion para este tipo de Amenazas
Basada en Visibilidad Global de la Red y en Inteligencia de Seguridad
Visibilidad de
Internet &
Corportiva
Inteligencia de
Seguridad
Proteccion
Conoce tu Red
y tu Trafico.
Conoce la
Amenaza
Mitiga las
Amenazas
12
Gracias
Comentarios de: La Problematica de DDOS: Lo que importa no es el tamaño, es la complejidad (0)
No hay comentarios