En los últimos meses, los ataques DDoS, de denegación de servicio, han sido cada vez más frecuentes y han tenido una mayor duración. Esto pone de manifiesto la necesidad de reforzar la seguridad para hacer frente a esta amenaza que se ha convertido en uno de los grandes retos de seguridad que deben abordar las organizaciones.
Ante la proliferación de los ataques DDoS, son muchas las empresas que están buscando ayuda con servicios de mitigación especializados en estas amenazas. Sin embargo, no todos los recursos garantizan un mismo grado de resistencia y una solución de terceros no siempre es suficiente.
Repasamos 10 claves a tener muy en cuenta para mejorar la capacidad de protección frenta a ataques DDoS.
Involucrar a especialistas en seguridad en la etapa de diseño
Reparar las vulnerabilidades en los productos terminados es más costoso que mitigarlas en la etapa de diseño. Por eso también es importante involucrar a especialistas en seguridad de la información durante la fase de concepto.
Auditar la aplicación y crear un plan de protección DDoS
Es probable que la aplicación tenga varios componentes. Cada uno requiere un nivel diferente de protección DDoS. Entender cada componente permitirá crear un bucle de seguridad sólido, proteger todas las capas del modelo OSI (Open System Interconnection), el modelo de interconexión de sistemas abiertos,y planificar cómo usar los firewalls.
Crear una hoja de ruta para la fase inicial y de desarrollo a medio plazo ayudará a implementar sistemáticamente la protección DDoS a medida que crece la aplicación.
Decidir si podemos divulgar claves privadas SSL
Es más fácil crear una protección para ataques DDoS cuando se divulgan las claves SSL. Pero si la aplicación es para servicios financieros o maneja datos privados, es mejor mantenerlas en privado. Esto garantizará el cumplimiento del estándar PCI-DSS.
También se puede adoptar un enfoque híbrido, usando un par de claves de certificado creadas específicamente para protegerse contra ataques DDoS.
Dar instrucciones al proveedor de seguridad sobre el filtrado de tráfico
Es importante proporcionar al proveedor encargado de mitigar los ataques DDoS exactamente toda la documentación sobre cómo filtrar el tráfico y preparar las reglas que deben regirlo. Esto ayudará a detectar solicitudes de clientes falsos.
Compartir una descripción de la arquitectura de la aplicación con el proveedor
Una vez completada la auditoría de la aplicación, hay que organizar la información recopilada en el proceso y enviarla al partner de seguridad. En concreto hay que crear una lista de ubicaciones desde las que los clientes que no utilizan navegadores pueden acceder a la aplicación: API, AJAX, aplicaciones móviles y otras.
A continuación, hay que describir la arquitectura de la aplicación, los protocolos que utiliza, cómo interactúan los componentes entre sí y los sistemas externos. Proporcionar la mayor cantidad de información posible sobre aplicaciones móviles o bots legítimos que interactúan con su aplicación será de gran utilidad para mejorar la precisión del filtrado de tráfico.
Ocultar la dirección IP del servidor
Los ataques dirigidos son muy habituales hoy en día. Si los ciberdelincuentes consiguen encontrar una de las direcciones IP de la aplicación, seguirán insistiendo con sus ataques.
Por eso es importante asegurarse de que la dirección IP del servidor real sea invisible desde el exterior. Hay que comprobar que no se puede extraer de los encabezados de correo, puertos abiertos u otros servicios.
Deshabilitar los servicios no utilizados y cerrar los puertos innecesarios
Si una casa tiene una puerta delantera y otra trasera, hay que mantener ambas cerradas, incluso si una nunca se utiliza. Con las aplicaciones online ocurre lo mismo.
Hay que revisar todos los recursos y apagar todos los servicios y puertos no utilizados y asegurarse de que solo se puede acceder al servicio a través de la dirección IP proporcionada por el proveedor anti-DDoS.
Optimizar los componentes del servidor
Desafortunadamente, los productos de protección DDoS no son 100% precisos. Durante el filtrado de paquetes, siempre hay algún desbordamiento. Pero si el recurso no está optimizado, cuando se enfrenta, por ejemplo, a un ataque de terabits por segundo, incluso esta pequeña imprecisión puede ser suficiente para derribarlo.
No obstante, esto se puede evitar optimizando algunos aspectos. Hay que intentar aumentar la capacidad del servidor para procesar las solicitudes entrantes, así como prestar especial atención al rendimiento con los motores CMS. Además, optimizar el rendimiento del DBMS, el sistema de gestión de bases de datos, si la aplicación lo usa puede ayudar.
Pero, si no se controla el servidor, será clave analizar la optimización del rendimiento con el equipo de soporte técnico del proveedor de alojamiento.
Asegurarse de que los servicios DNS son resistentes a DDoS
Por muchas medidas de protección frente a ataques DDoS que se implementen, no serán de ayuda si la aplicación depende de recursos vulnerables. En particular, los proveedores de DNS pueden ser un eslabón débil.
Si los ciberdelincuentes los atacan con éxito, el sitio web no estará disponible para los usuarios. En el mejor de los casos, la conexión se volverá muy inestable.
Al elegir un proveedor, es importante preguntar sobre la capacidad de protección DDoS en su nivel de precios. Los servidores deben contar con medidas contra ataques en todos los niveles.
Realizar pruebas de estrés con regularidad
Tras completar una auditoría, crear una hoja de ruta de protección, eliminar vulnerabilidades y trabajar con el partner de seguridad para conseguir una mayor resistencia DDoS, el nivel de protección ha aumentado. Pero esto no exime de sufrir este tipo de ataques.
Lo cierto es que no se sabe si todas estas medidas funcionan hasta que no se prueban. De ahí que las pruebas de estrés sean tan importantes, por lo que hay que intentar aprovecharlas para encontrar deficiencias en sus defensas.
Simule ataques durante los fines de semana y días festivos para validarlas esta protección frente a los ataques DDoS y repetir la prueba después de cada actualización importante, será fundamental.