Stopping DDoS Attacks: What your service provider
Transcripción
Stopping DDoS Attacks: What your service provider
Ataques DDoS y Trafico no deseado: Puntos Clave para una Primera Línea de Defensa InfoSecurity San Jose 18 de Junio de 2013 FIRST LINE OF DEFENSE Corero Network Security - Compañia “Corero es la Primera Línea de Defensa que bloquea Ataques DDoS y trafico no deseado antes de que llegue a sus infraestructuras” HQ en Massachusetts, EEUU; Oficinas en EMEA y Asia 2000+ clientes, +20 países Más de 15 años de experiencia en mitigación de amenazas avanzadas como Ataques DDoS (Red y aplicación), Exploits Cero Day y ataques dirigidos a servidores Algunos mecanismos de protección DDoS patentados desde 2001 Visionario en el Magic Quadrant de Gartner © 2013 Corero www.corero.com Y con clientes en Costa Rica… Centro de Datos, +11 años de experiencia en adoptar estándares para proveer de un servicio de calidad a los clientes de Centro América Posicionado como primer proveedor de América Central para alojamiento de e-commerce y empresas buscando una disponibilidad del 99,995% Corero es la Primera Línea de Defensa de TIER 4 Services. Se emplea para proteger a todos los clientes alojados en el datacenter de ataques DDoS y de trafico no deseado proveniente desde internet © 2013 Corero www.corero.com Agenda Por qué las protecciones actuales no son eficientes Tipos de ataques y medidas de protección Qué funcionalidades clave que debería tener una Primera Línea de Defensa © 2013 Corero www.corero.com Limitaciones de las protecciones actuales Que hacen, y que no hacen… Firewalls: ¿Su primera línea de defensa frente a ataques DDoS? “Firewalls don't cut it anymore as the first line of defense” IT Best Practices Alert By Linda Musthaler, Network World October 19, 2012 Porqué los Firewalls no pueden seguir siendo la primera Línea de Defensa Para un Firewall, todo el trafico HTTP parece legitimo Los firewalls statefull están limitados en el tamaño de sus tablas de estado “Visibles” a nivel 3, pueden ser objetivos de ataque No analizan el comportamiento de los usuarios que se conectan desde Internet, No protegen ante ataques DDoS © 2013 Corero www.corero.com Defensa DDoS – Más que un Checkbox Problema: Muchas soluciones de Seguridad perimetral dicen disponer de protección DDoS La mayoría tiene una sola configuración = DDoS On/DDoS Off Los sistemas Anti-DDoS actuales tampoco ofrecen flexibilidad en cuanto a configuraciones de protección Recomendación: Despliega Tecnologías: – Que tienen granularidad en cuanto a políticas DDoS – Capaces de defender ante todos los vectores de ataque DDoS, en todo momento, sin cambio de configuración en caso de ataque – Capaces de soportar carga cuando están bajo ataque y no verse afectados por un ataque DDoS – Que inspeccionan todos y cada uno de los paquetes (sin sampling) – Que ofrecen inspección bidireccional del trafico © 2013 Corero www.corero.com Ataques a su presencia Web Categorías de ataques – De mayor a menor volumen Tipos de ataques y medidas de protección Network Level DDoS Attacks Reflective DDoS Attacks Outbound DDoS Attacks Application Layer DDoS Attacks Specially Crafted Packet Attacks Pre-Attack Recon (Scans) Advanced Evasion Techniques (AET) Defense Technique Defense Technique Defense Technique Defense Technique Defense Technique Defense Technique Defense Technique IP Threat-Level Assessment Stateful Flow Awareness Bi-Directional Flood Detection Behavior Analysis Protocol Analysis Scan Obfuscation Advanced Evasion Detect Corero’s On-Premise – First Line of Defense Always ON “ Cloud” anti-DDoS Service On Demand Las soluciones Anti DDoS no son exclusivas Las organizaciones pueden beneficiarse de ambas tecnologías para tener una cobertura completa © 2013 Corero www.corero.com Y el tráfico no deseado… Las organizaciones están experimentando cada vez mayor cantidad de tráfico no deseado (ataques DDoS, escaneos, exploits, paquetes malformados, etc). Este tráfico no deseado tiene dos consecuencias principales: – Las peticiones de los clientes legítimos están ralentizadas por una cantidad cada vez mayor de tráfico no deseado – Las organizaciones tienen que sobredimensionar sus infraestructuras TI como Firewalls, balanceadores, sistemas, etc… ¿De qué cantidad de trafico hablamos..? © 2013 Corero www.corero.com Los humanos generan solo el 49% del tráfico en Internet Motores de búsqueda descubriendo y actualizando información – Genera un 20% Búsqueda de información competitiva - Genera un 19% Herramientas de descubrimiento de vulnerabilidades – Genera un 5% Raspado de pantalla (Screen Scraping) realizando Copia de contenido web, posts automatizados - Genera un 5% Spammers - Genera un 2% © 2013 Corero www.corero.com http://www.incapsula.com/the-incapsula-blog/item/225-what-google-doesnt-show-you-31-of-website-traffic-can-harm-your-business ¿Cual es la recomendación? Como defenderse sin morir en el intento Diez consejos para implementar una primera línea de defensa en 2013 Los atacantes buscan conseguir su objetivo con cualquier método de ataque. Estos 10 consejos están orientados a proporcionarle una protección integral. Application Layer Attacks State Exhaustion Attacks DNS Amplified Attacks Advanced Evasion Techniques Specially Crafted Packets Volumetric Network Attacks © 2013 Corero Pre-Attack Recon (Scans) Malware & Targeted Exploits www.corero.com Diez consejos para implementar una primera línea de defensa en 2013 Su Primera línea de defensa tiene que identificar y bloquear: 1. Direcciones IP conocidas como maliciosas : Disponer y actualizar en tiempo real listas de reputación – Botnets, IP’s anónimas, IP’s participando en ataques DDoS, etc… © 2013 Corero www.corero.com Diez consejos para implementar una primera línea de defensa en 2013 Su Primera línea de defensa tiene que identificar y bloquear: 2. Países no deseados en los que no haces negocios: Disponer y actualizar constantemente información de geo localización aplicando políticas granulares (no solo autorizar o bloquear países) © 2013 Corero www.corero.com Diez consejos para implementar una primera línea de defensa en 2013 Su Primera línea de defensa tiene que identificar y bloquear: 3. Botnets con máquinas infectadas y atacantes DDoS: Monitorear el comportamiento de todos los usuarios, tanto en la red interna como desde Internet (protección bidireccional en todo momento) © 2013 Corero www.corero.com Diez consejos para implementar una primera línea de defensa en 2013 Su Primera línea de defensa tiene que identificar y bloquear: 4. Abusos de aplicaciones y comportamientos no deseados: Garantizar el uso correcto de las aplicaciones bloqueando en tiempo real aquellas conexiones cuyo comportamiento sea anómalo o malicioso © 2013 Corero www.corero.com Diez consejos para implementar una primera línea de defensa en 2013 Su Primera línea de defensa tiene que identificar y bloquear: 5. Puertos y protocolos innecesarios: Inspección Profunda bidireccional de todo el trafico entrante y saliente, bloqueando los puertos/servicios no permitidos © 2013 Corero www.corero.com Diez consejos para implementar una primera línea de defensa en 2013 Su Primera línea de defensa tiene que identificar y bloquear: 6. Anomalías y violaciones de protocolo: Hacer cumplir las normas y RFCs así como los estándares de la industria, bloqueando el trafico que las incumpla © 2013 Corero www.corero.com Diez consejos para implementar una primera línea de defensa en 2013 Su Primera línea de defensa tiene que identificar y bloquear: 7. Técnicas de evasión avanzadas: Proteger ante ataques basados en tácticas de evasión incluyendo fragmentación / ofuscación,… © 2013 Corero www.corero.com Diez consejos para implementar una primera línea de defensa en 2013 Su Primera línea de defensa tiene que identificar y bloquear: 8. Exploits diseñados para dañar su visibilidad en internet: Bloquear ataques dirigidos a sistemas críticos basados en explotación de vulnerabilidades en los servidores © 2013 Corero www.corero.com Diez consejos para implementar una primera línea de defensa en 2013 Su Primera línea de defensa tiene que identificar y bloquear: 9. Intentos de Fuerza bruta a contraseñas: Registrar y alertar de cualquier actividad sospechosa en sistemas que requieren autenticación © 2013 Corero www.corero.com Diez consejos para implementar una primera línea de defensa en 2013 Su Primera línea de defensa tiene que identificar y bloquear: 10.Información sobre el trafico en su perímetro: Ser capaz de identificar que trafico está atravesando su sistemas y disponer de información completa sobre el trafico bloqueado en tiempo real © 2013 Corero www.corero.com Las organizaciones necesitan una “nueva” Primera Línea de Defensa FIRST LINE OF DEFENSE Topología típica de red bajo ataque Internet Tierra de nadie Botnets Usuarios y Servicios no deseados IPS “Atacantes” Ataques DDoS SLB “Usuarios legítimos” AETs y Abusos de Protocolo WAF Exploits a servidores Tráfico legítimo Tráfico legítimo Tráfico legítimo Impactos: degradación de servicios, tiempo de inactividad, exposición a amenazas, sobrecarga de la infraestructura, daños a la marca, pérdida de negocios,… © 2013 Corero www.corero.com Solución: Corero Primera Línea de Defensa Internet’s Tierra de nadie Botnets Usuarios y Servicios no deseados “Atacantes” Atacantes frustrados Ataques DDoS SLB “Attackers” “Usuarios legítimos” IPS AETs y Abusos de Protocolo WAF Exploits a servidores “Good Users” Tráfico legítimo Tráfico legítimo Tráfico legítimo Corero protege su infraestructura TI bloqueando el trafico no deseado © 2013 Corero www.corero.com Corero’s DDoS Defense System (DDS) Trafico no deseado Puntos Clave de Protección Usuarios y Servicios no deseados Bloquea direcciones IP maliciosas y ciertas zonas geográficas Autoriza solo puertos y servicios deseados Autorizar solo el trafico ESPERADO Ataques DDoS en capa de Aplicación Evalúa la CANTIDAD de trafico Violaciones de Protocolo y AETs Asegura que el trafico sea CORRECTO Ataques dirigidos a Servidores Analiza INTEGRIDAD del trafico Limita peticiones y conexiones excesivas Detiene los abusos y violaciones de protocolo (RFC) Previene AETs (Tácticas de Evasión Avanzadas) Inspeccione tráfico y bloquea intrusiones, desbordamientos de búfer, inyecciones de código y exploits Proporciona VISIBILIDAD sobre el trafico no deseado ¿Quién está atacando, a qué velocidad, y con qué vectores de ataque? © 2013 Corero www.corero.com Restringuir el Acceso Limitar la Tasa Validar Protocolo Prevenir Intrusiones Incrementar visibilidad Próximos Pasos Podemos ayudarles a Proteger y Garantizar la disponibilidad de sus Redes y Servicios Evaluación de la Solución – Permítanos demostrar la efectividad y sencillez de nuestras soluciones de protección DDoS/DoS a través de una evaluación, desplegando un dispositivo y un modulo de reporting en su infraestructura. Para solicitar información, o un piloto, escribe a [email protected] o solicita un equipo a Network1 Más información : www.corero.com y www.corero.com/es Nuestros Partners: http://www.corero.com/en/partners/partner_locator © 2013 Corero www.corero.com Contactos: Alain Karioty [email protected] Álvaro Villalba Poncet [email protected] FIRST LINE OF DEFENSE Muchas Gracias! Enrique Santiago [email protected]