Ciberseguridad
ciber seguro
febrero 21, 2025
Un ataque de denegación de servicios distribuido DDoS, consiste en técnicas y procedimientos orientados a afectar la disponibilidad de un recurso expuesto a internet, utilizando múltiples fuentes de ataque distribuidas alrededor del mundo.
Este es un comunicado “articulo”, en el que gracias a NET SCOUT y su equipo de trabajo (quien nos proveyó este documento), queremos entregar una breve explicación de los ciberataques de denegación de servicio distribuidos o DDoS, los cuales se han presentado en gran cantidad en los últimos días en Colombia (debido a la situación actual del paisa), dirigido hacia entidades e instituciones publicas del gobierno. Además de entregar RECOMENDACIONES y mejores practicas, que puedan ayudar a hacerle frente a estos ciberataques y establecer mejores controles de seguridad. Queremos ayudar como comunidad a todos los que trabajamos en ciberseguridad y se enfrentan a estas amenazas. No somos especialistas en ciberseguridad en línea, de soluciones de DDoS, para eso nos apoyamos en una empresa especialista en esta área.
Un punto importante para tener en cuenta es que, el tráfico de ataque en muchas ocasiones podría tratarse de tráfico legítimo, utilizado con fines maliciosos.
Muchas veces también, como resultado de ataques de denegación de servicios dirigidos a aplicaciones o elementos orientados a estado como Firewalls o concentradores VPN, la infraestructura de la víctima termina afectada de forma colateral también con conexiones de clientes validos, que intentan acceder los servicios afectados, generando solicitudes de conexión repetitivas. La complejidad creciente de los ataques de Denegación de Servicio y sus características Multi-Vector, exigen el despliegue que permita la detección automatizada y que pueda adaptarse dinámicamente para mitigar las técnicas de ataque mas sofisticadas.
En los últimos años, el crecimiento de ataques multi-vector se esta convirtiendo en un nuevo reto para la detección de amenazas, debido a que su heterogeneidad, complejidad y duración, hacen que para la víctima sea complicado detectar las amenazas y poder reaccionar para la contención de daños.
Ataques DDoS volumétricos: Intento de consumir el ancho de banda saturando los enlaces con tráfico malicioso, de manera que el tráfico del cliente válido ya no tenga por donde circular. Aquí se cuentan distintas técnicas de ataque, con prevalencia por su masividad por ataques de Reflexión/amplificación en UDP.
Ataques DDoS de agotamiento de estado TCP: Este tipo de ataque DDoS son muy peligrosos e intentan consumir las tablas de estado de conexión de muchos componentes de infraestructura que tienen límite de conexiones (dispositivos stateful), como balanceadores de carga, firewalls, IPS, WAFs, VPNs y los propios servidores de aplicaciones. En muchos ataques DDos de este tipo, elementos como Firewalls o concentradores VPNs terminan aportando en la indisponibilidad, ya que se convierten en puntos de quiebre en la cadena de servicio.
Ataques DDoS de capa de aplicaciones: Este es el tipo más sofisticado de ataque DDoS. Puede ser muy peligroso, incluso con tasas de tráfico bajas (esto hace que estos ataques sean muy difíciles de detectar y mitigar proactivamente por soluciones no especializadas). Normalmente este tipo de ataques apuntan a vulnerabilidades específicas de servicios y aplicaciones y son conocidos cómo ataques inteligentes.
– Aplicar BCPs (Best current practices) a ls infraestructura/servidores/servicios IPv4/IPv6 para incrementar la resiliencia a ataques. Servicios habilitadores como DNS, deben ser diseñados de forma escalable y distribuida, con políticas robustas que eviten puedan ser objeto de ataques DDoS a nivel de aplicación, o puedan ser usados como reflectores para lanzar ataques a terceros.
– Asegurarse que en lo posible, todos los recursos públicos expuestos, estén protegidos con soluciones especializadas de mitigación (IDMSs), para que identifiquen rápidamente los tipos de ataque, habiliten las contramedidas correctas, y filtren los ataques con mínima intervención humana.
– Implementar Políticas de acceso a infraestructura remota, para asegurar que solo el trafico relevante pueda alcanzar los concentradores VPN, “jump boxes”, etc. (ej, Políticas para VPN SSL/TLS o IPSEC, CIDR-based para site-to-site VPNs).
– Integrar mecanismos para acceso remoto con los AAA de la organización, y uso de tecnologías 2FA.
– Implementar herramientas de visibilidad de red a nivel de paquetes para la infraestructura de red publica, como herramienta de micro-analisis para amenazas sofisticadas.
– Desplegar infraestructura de acceso remoto en links de transito de internet dedicados, que no estén combinados con otras Apps (ej DNS, Web Publicas, Acceso LAN Campus), para minimizar la probabilidad de afectación de disponibilidad a labores criticas en remoto.
– Debido tendencias sofisticadas de reconocimiento de los atacantes previo a lanzamiento de ataques de DDoS, se recomienda implementar convenciones de nombres DNS que provea información util al interno, pero no visibilidad al hacie el exterior (Ej. Evitar el uso de strings “vpn” en records DNS de concentradores vpn).
– Inspeccionar tráfico inusual saliente de la red de servicios, que pueda asociarse a comunicaciones de comando y control, resolución contra servidores DNSs externos, para detectar intentos de comunicación al exterior para administración de bots, movimientos laterales, robo de credenciales, etc.
– Actualizar y parchear el software de servicios que están siendo vulnerados recientemente por campañas globales y que usualmente pueden ser utilizados para lanzar ataques DDoS, como servicios CLDAP, RDP sobre UDP, Plex Media SSDP, DTLS corriendo Citrix Application Delivery Controllers, comunicaciones con OpenVPN sobre UDP, etc.
Referencias:
– https://www.netscout.com/blog/asert/datagram-transport-layer-security-dtlsreflectionamplification
– https://www.netscout.com/blog/asert/microsoft-remote-desktop-protocol-rdpreflectionamplification
– https://www.netscout.com/blog/asert/plex-media-ssdp-pmssdp-reflectionamplification-ddosattack
– https://www.netscout.com/asert
– https://horizon.netscout.com/
– https://www.netscout.com/threatreport
