La seguridad está en alza. Cada vez son más los estudios que auguran el aumento de malware durante este año y el día a día lo confirma. Empresas y particulares atacados, chantajes por recuperar sus datos, robo de credenciales, información privada hecha pública en cuestión de horas, páginas web colapsadas… Hay miles de formas de atacar, pero pocos saben cuáles son las mejores formas de defenderse de los hackers, por este motivo hemos entrevistado a los fabricantes de software de seguridad con el objetivo de extraer toda la información sobre los ataques más comunes – DDoS y Zero Day – y sus posibles soluciones. Trend Micro, Panda, A10Networks y Kaspersky arrojan luz sobre lo que son y cómo se pueden combatir este tipo de ataques.
Ataques DDoS o DoS
Un ataque de denegación de servicios, también conocido como DoS (Denial of Service) – en caso de ser simple – o DDoS (Distributed Denial of Service) – en caso de ser distribuido – es un tipo de ataque bastante común que consiste en denegar el acceso de los usuarios legítimos a un determinado servicio o recurso, mediante el ataque a un sistema de computadoras o a una red. Normalmente este tipo de ataques provocan la pérdida de la conectividad de la red, por el consumo del ancho de banda o la sobrecarga de los recursos del sistema de la víctima y se generan mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios.
Existen tres tipos de ataques de denegación de servicios
- Ataques a aplicaciones concretas: se introduce una entrada determinada en la aplicación que hace que la máquina deje de ofrecer el servicio para el que se diseñó.
- Ataques a tablas de conexiones en memoria: se utiliza la debilidad de estas tablas – su tamaño limitado – para saturarlas.
- Ataques volumétricos: basado en la saturación del ancho de banda mediante ataques masivos y constantes que sobrepasan el caudal de la conexión.
¿Qué debe hacer una empresa que ha sufrido un ataque DDoS?
Trend Micro es muy claro en este aspecto. “Denunciarlo”, afirma Luis López, responsable del negocio de Ciberseguridad de Trend Micro Iberia. El Código Penal Español recoge las penas tipificadas en el apartado Delitos Informáticos para este tipo de casos. «Muchos de estos ataques vienen acompañados de un chantaje, solicitan el pago de cierta cantidad de dinero para que pare el ataque”, advierte Luis Corrons, director técnico de PandaLabs en Panda Security.
El consejo, tanto de Trend Micro como de Panda Security, pasa por informar de inmediato a las autoridades pertinentes – Policía, Guardia Civil y policías autonómicas – de este tipo de actividades delictivas. “Para poner el caso en conocimiento de las autoridades, en caso de mi lugar de residencia, Madrid, utilizaremos el teléfono 902 102 112 o lo haremos a través del portal web de la Policía Nacional”, explica Luis López. “A continuación, se debe contactar con su ISP y ver de qué forma pueden protegerse”, añade Luis Corrons.
Otra opción es la de contactar de inmediato con el proveedor de seguridad TI. Según Alfonso Ramírez, director general de Kaspersky Labs Iberia, esta es la mejor opción para que dicho proveedor de seguridad “tome las medidas oportunas y trabaje en que las consecuencias sean lo más reducidas posible y que los servicios vuelvan a estar operativos lo antes posible, sin pérdidas ni filtrados de información”.
[toggles title=»Usos positivos de los ataques DoS y DDoS «]Estos ataques no siempre tienen como objetivo causar daños a una empresa, sino que también se han utilizado para comprobar la capacidad de tráfico, que pueden llegar a soportar ciertos equipos sin convertirse en inestables. Un administrador de redes puede conocer, de esta forma, la capacidad real de cada máquina.[/toggles]
Una última opción y quizá la más proactiva de todas, es la de replantearse la estrategia de seguridad. “Vale la pena señalar que las soluciones de seguridad tradicionales tales como, firewalls y Sistemas de Detección de Intrusiones (IDS), han resultado insuficientes para mitigar ataques DDoS multivector y de gran escala, como los actuales. Desafortunadamente, muchos de estos productos de seguridad no pueden inspeccionar el tráfico SSL, exponiendo a las organizaciones a ataques y fugas de datos. Algunas plataformas lo soportan, pero con equipos de rango high-end, y con importantes impactos en el rendimiento», advierte Alain Karioty, VP ventas para Iberia y Latinoamérica de A10 Networks.
Soluciones que evitan los ataques DDoS
Existen varias soluciones atendiendo a las características técnicas del ataque o a la ubicación del objetivo que se pretende proteger.
Trend Micro, en particular, nos explica cómo evitar estos ataques atendiendo a sus características técnicas.
- Ataques basados en aplicación: se descartan las entradas maliciosas a nivel de aplicación mediante sistemas de protección de endpoints, sistemas tipo NGFW o NGIPS incluso WAFs, dependiendo del tipo de aplicación a proteger.
- Ataques basados en agotamiento de pila o tablas: en los que se utilizan sistemas de comunicaciones con medias anti DDoS, con tablas de conexión con timeouts bajos y gestión de memoria eficiente, así como la implementación de medidas contra ataques conocidos de este tipo como SYN Flood.
- Ataques volumétricos: solo se pueden solucionar mediante estrategias distribuidas, con sistema de entrega de contenidos distribuidos tipo anycast o “aguas arriba”, con la participación del operador de internet y con tecnologías de “desvió” de tráfico sucio o “diverting”. “Algunos fabricantes están implementando sistemas de detección de payloads, de denegación sin tablas de estado, para ser más eficientes”, añade López.
Por su parte, A10 Networks se centra en la ubicación de lo que se pretende proteger. Así lo explica Alain Karioty:
- Casa del cliente: estas soluciones son capaces de mitigar una mayor cantidad de vectores de ataque, no obstante, dicha mitigación depende del ancho de banda del cliente.
- Sistemas de protección ofrecidos por el operador de telecomunicaciones: si bien estas soluciones pueden mitigar ataques de mayor tamaño, al tratarse de un servicio compartido con varios clientes, es casi imposible afinar las políticas de la misma forma que se hace en casa de cliente, reduciéndose así el número de vectores de ataque que se pueden contrarrestar.
- Nube: se puede utilizar la nube para “desbordar” ataques, en caso de ataques volumétricos, pero para la mitigación de ataques específicos en capa de aplicación es necesario contar con un equipo en casa del cliente.
“El problema no es tanto el poder protegerse ante tales agresiones (que también), sino el coste que conllevan”, asegura Corrons.
“Para las empresas, la pérdida total de un servicio por un tiempo corto, o los constantes retrasos en el acceso durante varios días, pueden llegar a generar problemas igualmente graves. Ambas situaciones, pueden afectar a la satisfacción del cliente y a su disposición a utilizar el mismo servicio en el futuro. El uso de soluciones de seguridad, de confianza, para protegerse contra ataques DDoS, permite a las empresas dar a sus clientes un acceso ininterrumpido a servicios online, independientemente de que se enfrentan a un potente asalto a corto plazo o a una campaña de larga duración, más débil pero persistente”, concluye Alfonso Ramírez de Kaspersky Labs.
Ataques Zero day
Un ataque de día cero es un ataque contra una aplicación o sistema que tiene como objetivo la ejecución de código malicioso gracias al conocimiento de vulnerabilidades que, por lo general, son desconocidas para la gente y el fabricante del producto. Esto supone que aún no hayan sido arregladas. Este tipo de exploit circula generalmente entre las filas de los potenciales atacantes hasta que finalmente es publicado en foros públicos. Un ataque de día cero se considera uno de los más peligrosos instrumentos de una guerra informática.
¿Cómo se detecta un ataque de día cero?
“Una de las características de los ataques de día cero, es que pueden pasar años hasta que se detecten y se sepa que existen”, advierte Corrons, de Panda Security.
El director general de Kaspersky Labs asegura que un ataque de día cero es muy complicado de parar, pero que existen varias herramientas e indicadores que nos pueden dar una idea de que estamos sufriendo uno de estos ataques. “Normalmente uno de los indicadores puede ser un comportamiento anómalo de los equipos, bien sea por perdida repentina de rendimiento o por la ejecución de tareas no deseadas, esto se podría comprobar con una monitorización de los procesos o aplicaciones que corren en dichos equipos, así como estudiando los logs o eventos. Otro indicador podría ser un aumento repentino del tráfico o carga de red sin causa justificada, en este caso, podríamos monitorizar las redes”, explica.
“Hay varias formas de detectar este tipo de ataque”, afirma Luis López. Según el responsable de Trend Micro, no se pueden detectar los intentos de explotación de un sistema con un binario conocido, normalmente llevados a cabo mediante un macheo contra un patrón concreto. Además, asegura que existen dos formas de detectar este tipo de ataques. La primera, es detectarlo mediante el intento de explotación de la nueva vulnerabilidad. “En la práctica, las formas de inyectar código a través de un desbordamiento de buffer son más o menos conocidas. Conociéndolas, podremos reconocer el intento de explotar “algo”, por lo que de una forma u otra, podríamos inhibirlo”, añade López. Una segunda forma de detectar estos ataques, según Trend Micro, es mediante un sistema de ejecución y análisis automático de ficheros no conocidos como sandboxing.
En definitiva, para detectar un ataque Zero Day, uno de los pasos más importantes es analizar su comportamiento y tratar de impedirlo. “Es ineludible descifrar el tráfico para analizarlo, ya que si no, solo se analizaría el trafico sin cifrar”, concluye el responsable de A10 Networks.
[toggles title=»Investigación de ataques DDoS y Zero Day»]“En líneas generales, la investigación se basa en el análisis forense de las evidencias detectadas y la colaboración con cuerpos y fuerzas de seguridad del estado. Incluir analistas en el equipo de seguridad es muy importante en esta materia. También es muy interesante, en este sentido, disponer de sistemas de información (logs), en toda la infraestructura, para disponer de información útil y correlacionada de los sucesos. Dependiendo del análisis de riesgo de la compañía, también se deberán tener en cuenta la incorporación, o no, de las medidas de nueva generación”, explica Luis López de Trend Micro. Luis Corrons, director técnico de PandaLabs, asegura que desde Panda Security, no se investigan los ataques DDoS. “No tenemos un protocolo específico para esto”, añade Corrons. Sin embargo, los ataques Zero Day sí cuentan con un protocolo de investigación desde la compañía. “Lo que hacemos, en primer lugar, es tratar de reproducir el problema, hacer que el ataque funcione. Parece muy sencillo pero normalmente es lo que más tiempo lleva, ya que tienen que darse una serie de condiciones previas para que funcionen. Una vez conseguido esto, analizamos si con las soluciones que tenemos, se puede bloquear la propagación de malware con las técnicas que tenemos desarrolladas. En caso de que no se obtenga un resultado satisfactorio, se crearán nuevas reglas que nos permitan bloquear este tipo de agresiones. Hay empresas que crean firmas específicas para parar cada ataque, sin embargo nosotros utilizamos un enfoque mucho más genérico para que la solución sirva ante ataques aún desconocidos”, añade Corrons. En Kaspersky Lab tienen la premisa de que la seguridad proactiva es fundamental para una buena protección, por lo que desde la compañía, se invierte mucho en I+D y cuentan con un gran equipo internacional de analistas – el GREAT – que investiga nuevos ataques y tendencias de cibercrimen. De esta forma, adaptan sus soluciones de seguridad a las necesidades de los usuarios. “El departamento de investigación de amenazas de Kaspersky Lab se divide en diferentes unidades: Anti-Malware Research, Content Filtering Research, Hosted Streaming Technology Research y Data Loss Prevention Research. En conjunto garantizan el nivel máximo de protección. Desde detección de URLs a ataques de día cero, pasando por el análisis del comportamiento y tecnologías proactivas. Los expertos detectan los archivos y escriben los algoritmos heurísticos de detección, desarrollando después, las tecnologías antivirus para un producto concreto”, asegura Alfonso Ramírez, director general de Kaspersky Labs Iberia.[/toggles]
Medidas previas para evitar ataques Zero Day
Luis Corrons, de Panda Security, asegura que la mejor medida que puede existir contra un ataque Zero Day es contar con un sistema que monitorice, en tiempo real, el comportamiento de los procesos en ejecución para detectar si surge alguna anomalía.
Analizar el 100 % del tráfico – tanto cifrado como no cifrado – y controlar el BYOD, es la recomendación de Alain Karioty, de A10 Netwoks, para evitar este tipo de ataques. “Igualmente, es importante para los responsables corporativos, informarse acerca de los riegos que implica un ataque de este tipo, así como de las consecuencias que su impacto puede tener en las infraestructuras empresariales. Conocer el problema puede ayudarnos a adoptar una solución más efectiva para salvaguardar la información corporativa, el principal activo de las empresas”, informa.
“En Trend Micro creamos sistemas de análisis virtual o sandbox que, en la práctica, lo que hacen es ejecutar – en un entorno controlado virtual – el elemento (exploit) que tomará ventaja de la nueva brecha de seguridad (Zero Day) en el sistema atacado. De esta forma, al ejecutar un sistema de análisis automático, detectará cuáles serán los indicadores de ataque y tratará de inhibirlos la próxima vez que detecte el exploit. Son sistema de detección “inteligentes”, sin patrón o firmas, mediante emulación de ejecución de ficheros desconocidos y observación automática de su comportamiento”, explica Luis López.
Por su parte, Alfonso Ramírez de Kaspersy Labs, propone las siguientes medidas: “A nivel de perímetro, tener un IPS de última generación que descubra patrones de tráfico fuera de lo común, mientras qye en los equipos, por un lado escaneo y parcheo de vulnerabilidades, así como un sistema que bloquee las vulnerabilidades desconocidas. Kaspersky Lab ha desarrollado AEP (Automatic Exploit Prevention) que busca patrones de comportamiento típicos o sospechosos y evita la ejecución de cualquier código malicioso descargado”.
Protocolo a seguir en caso de sufrir un ataque Zero Day
Como primer paso, A10 Network recomienda avisar al proveedor de antivirus de la existencia de una vulnerabilidad, proporcionándole la mayor información posible para recibir la mejor asistencia técnica y negociar el precio de la renovación. “Es recomendable insistir para que el ataque sea incluido en una BBDD”, advierte Alain Karioty.
“Por lo general, los creadores del programa dan rápidamente con una solución que mejora la protección del sistema. Sin embargo, a veces los hackers se enteran de ese defecto antes y lo explotan con rapidez. Cuando sucede esto, la protección frente a un ataque es mínima porque el defecto de software es demasiado reciente”, asegura Ramírez de Kaspersky Labs.
Por este motivo, Alain Karioty, revela que investigar este tipo de ataques supondrá en un futuro poder llegar a tener defensas contra ellos. “El protocolo a seguir ante estos ataques es, principalmente, aislar el ataque, reproducirlo y analizar su comportamiento. No es el trabajo de un cliente hacer esto, ya que se requiere de capacidades de análisis forense y se debe hacer en una red aislada para evitar un contagio”, advierte Karioty.