¿Qué es la mitigación de DDoS?

Ahora que comprendemos los riesgos asociados a la vulnerabilidad frente a ataques DDoS, incluyendo la amenaza a datos y aplicaciones críticos para el negocio, es evidente la importancia de implementar una solución de mitigación DDoS. A continuación, revisaremos los diferentes tipos de mitigación de DDoS, lo que le permitirá identificar la mejor solución adaptada a sus necesidades específicas.

Existen varios tipos de soluciones y medidas locales que una organización puede aplicar para reducir el riesgo de ataques de DDoS. Algunas de ellas pueden utilizarse además de las basadas en la nube para crear una postura de defensa general más sólida.

• Refuerzo de la infraestructura de red: Esta solución consiste en reforzar la infraestructura de red para resistir los ataques de DDoS, lo que incluye aumentar el ancho de banda, añadir enlaces redundantes y actualizar los dispositivos de red.
• Limitación de velocidad y conformado del tráfico: Esta solución consiste en limitar la cantidad de tráfico que puede entrar en la red. Puede aplicarse estableciendo límites de velocidad en los dispositivos de red o utilizando técnicas de conformado del tráfico para priorizarlo.
• Cortafuegos y sistemas de prevención de intrusiones (IPS): Esta solución consiste en utilizar cortafuegos y dispositivos IPS para filtrar el tráfico malintencionado. Los cortafuegos pueden bloquear el tráfico basándose en direcciones IP, puertos y protocolos, mientras que los dispositivos IPS pueden detectar y bloquear ataques basándose en sus firmas.

Trasladar los esfuerzos de mitigación de DDoS a la nube o a una solución híbrida ayuda a aumentar la eficiencia, la escalabilidad y la eficacia. Algunas soluciones basadas en la nube pueden integrarse con soluciones locales. Las soluciones de mitigación de DDoS basadas en la nube operan en redes de entrega en la nube, o CDN.

• El enrutamiento anycast distribuye el tráfico al centro de datos más cercano que pueda gestionarlo. Funciona anunciando la misma red en distintas partes de la red, para reducir el «tiempo de viaje» hasta llegar a ella. Cuando una red CDN utiliza el enrutamiento anycast, distribuye el tráfico de forma más estratégica, lo que aumenta la superficie de la red receptora y ayuda a redirigir grandes volúmenes de tráfico a más centros de datos.
• Los centros de depuración de tráfico son centros de datos diseñados para filtrar el tráfico malintencionado del legítimo. Se utilizan para mitigar los ataques de DDoS filtrando el tráfico de ataque y reenviando el tráfico limpio a los servidores del cliente. Cuando se produce un ataque DDoS, el tráfico pasa por el centro de depuración, donde se analiza y filtra. A continuación, el tráfico limpio se reenvía a los servidores del cliente.

Trasladar los esfuerzos de mitigación de DDoS a una solución híbrida puede aportar lo mejor de la seguridad de la nube pública y la nube privada o la gestión local. Un modelo híbrido puede permitir a las empresas adaptar aún más su postura de seguridad a sus necesidades de datos únicas.

Una estrategia integral de mitigación de DDoS suele incluir varios componentes clave.

El primer paso en la mitigación de DDoS es detectar problemas o riesgos potenciales. Los dos métodos principales para identificar y alertar sobre amenazas son la detección basada en firmas y la detección basada en anomalías.

La detección basada en firmas se basa en una lista preprogramada de indicadores de compromiso (IOC) conocidos para identificar amenazas. Estos IOC podrían incluir comportamientos malintencionados de ataques de red, contenido de líneas de asunto de correo electrónico, hashes de archivos, secuencias de bytes conocidas o dominios malintencionados, entre otras cuestiones. La detección basada en firmas tiene una alta velocidad de procesamiento para ataques conocidos y bajas tasas de falsos positivos, pero no puede detectar vulnerabilidades de día cero.

La detección basada en anomalías, en cambio, es capaz de alertar sobre comportamientos sospechosos desconocidos. La detección basada en anomalías implica entrenar primero al sistema con una línea de base normalizada y luego comparar la actividad con esa línea de base; en cuanto detecta algo fuera de lo normal, se activa una alerta. La detección basada en anomalías puede tener tasas de falsos positivos más altas.

Proteger los recursos DNS es fundamental para la empresa. Dos soluciones de desvío de tráfico en tiempo real pueden ayudarle.

• La redirección DNS consiste en redirigir las consultas DNS de un nombre de dominio a otro. Esto puede ser útil en situaciones en las que un sitio web se ha trasladado a un nuevo nombre de dominio o cuando una empresa desea redirigir el tráfico de un nombre de dominio a otro. La redirección DNS puede implementarse utilizando un registro CNAME en el archivo de zona DNS. Cuando se recibe una consulta DNS para el nombre de dominio original, el servidor DNS responde con un registro CNAME que apunta al nuevo nombre de dominio. A continuación, el cliente envía una nueva consulta DNS para el nuevo nombre de dominio.
• BGP Anycast consiste en anunciar la misma dirección IP desde varias ubicaciones en Internet. En BGP Anycast, se utiliza Border Gateway Protocol (BGP) para anunciar la dirección IP desde varias ubicaciones. Cuando un cliente envía una consulta DNS a una dirección IP Anycast, la consulta se enruta a la ubicación más cercana que esté anunciando la dirección IP. Esto puede ayudar a mejorar el rendimiento y la disponibilidad de los servicios DNS al reducir la latencia. BGP Anycast suele utilizarse por grandes organizaciones que tienen varios centros de datos ubicados en diferentes regiones geográficas.

Cuando considere la solución de mitigación de DDoS adecuada para las necesidades de su organización, querrá sopesar los siguientes factores teniendo en cuenta la trayectoria de crecimiento de su empresa y la posible superficie de riesgo. Y cuando y si está considerando un servicio en la nube, ahora tiene la opción de elegir entre varias nubes públicas (AWS, Google Cloud, Microsoft Azure y Alibaba Cloud), así como empresas de nube privada.

Una solución integral de mitigación de DDoS ayuda a cubrir su red de forma preventiva, con respuesta a incidentes en tiempo real y pruebas y revisiones continuas para garantizar el máximo rendimiento.

Diseño de la arquitectura de red: Una arquitectura de red bien diseñada puede ayudar a prevenir los ataques DDoS garantizando que la red sea resistente y pueda soportar grandes volúmenes de tráfico. Por ejemplo, una red diseñada con múltiples capas de seguridad, incluidos cortafuegos, sistemas de detección de intrusiones y otras medidas de seguridad, puede ayudar a evitar que los ataques de DDoS penetren en la red. Además, la segmentación de la red puede ayudar a limitar el impacto de un ataque aislando las zonas afectadas de la red.

Equilibrio de carga: El equilibrio de carga puede ayudar a prevenir ataques de DDoS distribuyendo el tráfico entre varios servidores, lo que puede ayudar a evitar que un servidor se vea desbordado. Esto puede ayudar a garantizar que la red siga disponible incluso durante un ataque de DDoS. Los equilibradores de carga también pueden ayudar a detectar y bloquear el tráfico malintencionado, lo que puede ayudar a evitar que los ataques de DDoS tengan éxito.

Acuerdos de nivel de servicio (SLA) detallados del proveedor: Al considerar a un tercero para la protección contra ataques de DDoS, es fundamental comprender las capacidades del proveedor en cada escenario de DDoS, así como tener protocolos, acciones y respuestas incorporados en el SLA.

Pasos de la gestión de incidentes de DDoS: Hay seis pasos clave para responder rápida y eficazmente a un incidente DDoS, aunque es importante señalar que estos pasos no se dan de forma lineal, sino en bucle.

1. Preparación: Establecer contactos, definir procedimientos y reunir herramientas para ahorrar tiempo durante un ataque.
2. Detección: Detectar el incidente, determinar su alcance e implicar a las partes apropiadas.
3. Análisis: Analizar el tráfico de ataque para determinar sus características e identificar el objetivo.
   
4. Contención: Contener el ataque filtrando el tráfico y bloqueando el tráfico malintencionado.
   
5. Erradicación: Erradicar el ataque eliminando el tráfico malintencionado de la red.
   
6. Recuperación: Recuperarse del ataque restableciendo los servicios y revisando el incidente.
   

Protocolos de comunicación con el proveedor de mitigación durante un incidente de DDoS: Desde el principio, es clave que una empresa y su proveedor de mitigación sigan un protocolo de comunicación estricto. Estas son las mejores prácticas recomendadas para la comunicación durante un incidente:

• Establecer un plan de comunicación: Establezca un plan de comunicación con su proveedor de mitigación de DDoS antes de que se produzca un ataque. Este plan debe incluir información de contacto del personal clave, procedimientos de escalada y canales de comunicación.
• Proporcionar información detallada: Proporcione a su proveedor de mitigación de DDoS información detallada sobre el ataque, incluido el tipo de ataque, el objetivo y la duración del ataque. Esta información puede ayudar a su proveedor a desarrollar una estrategia de mitigación eficaz.
• Colaborar con su proveedor: Colabore estrechamente con su proveedor de mitigación de DDoS para desarrollar una estrategia de mitigación adaptada a las necesidades de su organización, que puede incluir el ajuste del enrutamiento del tráfico, el filtrado del tráfico o el bloqueo del tráfico malintencionado.
  
• Supervisar la situación: Supervise la situación de cerca y proporcione actualizaciones periódicas a su proveedor de mitigación de DDoS. Esto puede ayudar a su proveedor a ajustar su estrategia de mitigación según sea necesario.
  
• Revisar el incidente: Una vez mitigado el ataque, revise el incidente con su proveedor de mitigación DDoS para determinar áreas de mejora y actualizar su plan de respuesta a incidentes según sea necesario.