PDF de programación - La Problematica de DDOS: Lo que importa no es el tamaño, es la complejidad

La Problematica de DDOS: Lo que importa
no es el tamaño, es la complejidad.

Federico Chaniz – Channel Director
[email protected]

ATLAS: Inteligencia Global de Amenazas

Active Threat Level Analysis System

Peakflow SP

ISP Network

PEAKFLOW SP

2

Peakflow SP

ISP Network

DARKNET

ATLAS SENSOR

ATLAS DATA CENTER

3

Peakflow SP

ISP Network

DARKNET

1

ATLAS SENSOR

 ATLAS tiene sensores desplegados en Internet a
nivel global para descrubrir, clasificar y filtrar la
actividad de los “exploits”

 Los sistemas Peakflow SP instalados en mas de 250

ISP comparten informacion de manera anonima
para detectar ataques y monitorear trafico.

 ASERT analiza los datos combinados de malware y

nuevos vectores de ataques detectados, y los
convierte en informacion que alimenta las
soluciones de Arbor.

DDOS y la Disponibilidad de Servicio

• La Disponibilidad de Servicios es critica.

– Los ataques de DDoS sacan a las empresas de Internet

y no le permiten acceder a los servicios.

– La mayoria de las organizaciones cuentan con la

Internet para mantener la continuidad del negocios.

• Los ataques de DDOS.

– Existen mayores motivaciones para la generacion de

ataques.

– Los ataques de DDOS son muy faciles de realizar.

– Estan altamente desarrollados a nivel social.

Que motiva los ataques de DDOS?

La Nuevos Patrones de Ataques de DDOS

Mas Complejos

•

•

Los ataques de Nivel de
Aplicacion y Multi
Vectoriales son cada vez
mas comunes.

El Malware usa ahora
mecanismos mas
complejos de infiltracion.

Mayor Capacidad

• Mayor cantidad de

Botnets disponibles para
lanzar ataques
distribuidos y a nivel de
aplicacion.

•

Las herramientas
disponibles hacen que
generar un ataque sea
cada vez mas simple.

Coordinados

•

•

Los ataques de DDOS se
usan para cubrir o iniciar
otro tipo de actividades
criminales..

Las campañas para
ataques complejos y multi
vecoriales estan cada vez
mas organizadas.

Tamaño de los Ataques Volumetricos

 Los “Peaks” de
Trafico en 2012
fueron de 80 a
100Gbps.

 El Promedio de

trafico de un
ataque
Volumetrico esta
por encima de
1Gb/sec

Ataques de Aplicacion y Multi-Vectoriales

• Los servidores HTTP y de DNS son los blancos mas comunes para los

ataques a nivel de aplicacion.

• Cerca del 50% de los clientes reportaron ataques multivectoriales. Un

incremento del 60% respecto de 2011.
– Los ataques Multivectoriales son complejos, pues requieren una estrategia

de defensa de varias capas.

Amenazas en las Redes Internas

• La mitad de los clientes
han experimientado la
existencia de Botnets y
servidores
comprometidos en sus
redes internas

• Aumento de la

preocupacion en APT
como metodo para el
espionaje industrial,
mas alla de haberlos
experimentados.

Malware en las Redes Internas

Xtreme RAT – 2012
Remote Access Trojan (RAT) que permite a usuarios
remotos robar datos de las maquinas infectadas. La
infeccion se realizo a traves de una campania de “spear
phishing” y fue dirigida a institucion de gobierno de US and
Israeli.

Shamoon – 2012
Malware ejecutable que se distribuye a traves de
los recursos compartidos de la red. Corrompe
archivos y mecanismos de booteo en una fecha
determinada. El grupo "Cutting Sword of Justice"
reclama la responsabilidad por este ataque a
30,000 estaciones de Saudi Aramco. La empresa
paso 1 semana reestableciedo los servicios.

DDOS en Operacion “Ababil”

• Comprometieron servidores de

PHP, WordPress, & Joomla

• Multiples vectores de ataques

concurrentes
– Ataques GET/POST a nivel de

Aplicacion sobre servidores HTTP/S
– Ataques de Aplicacion del tipo DNS

Query

– Floods de protocolos UDP, TCP SYN e

ICMP

Otras caracteristicas unicas del ataque.
– Un alto valor de “paquetes por segundo” por

cada fuente.

– Attaques simultaneos a diferetnes empresas del

mismo mercado.

– Monitoreo en tiempo real de los resultados.
– Agilidad inusual para modificar el ataque cuando

eran mitigados.

Lecciones Aprendidas

Que hace a los ataques
tan efectivos?

Que se necesita
cambiar?

• Los atacantes cambian de tacticas

en tiempo real.

• Definen objetivos “fragiles”

usando ataques de Aplicacion de
L4/7

• Inline Firewall/IPS no son

efectivos.

• La oferta de los ISP para brindar

MSS es limitada.

• Falta de una proteccion de DDOS

en varios niveles.

S
O
I
F
A
S
E
D

• Inversion en soluciones de

defensa especifica para DDOS.

• Falta de “practica” en DDOS.

• Foco en Mantener la

Disponibilidad

• Estrecha Colaboracion con el

Service Provier al momento de
un ataque.

• DDoS debe ser parte de los

Planes de Continuidad. No estan
incluidadas en las Planes de
Disaster Recovery.

S
E
N
O
C
A
D
N
E
M
O
C
E
R

La Solucion para este tipo de Amenazas

Basada en Visibilidad Global de la Red y en Inteligencia de Seguridad

Visibilidad de

Internet &
Corportiva

Inteligencia de

Seguridad

Proteccion

Conoce tu Red

y tu Trafico.

Conoce la
Amenaza

Mitiga las
Amenazas

12

Gracias