Ataques DDoS y Trafico no deseado: Puntos Clave para una Primera Línea de Defensa. InfoSecurity San Jose 18 de Junio de 2013 FIRST LINE OF DEFENSE

Transcripción

1 Ataques DDoS y Trafico no deseado: Puntos Clave para una Primera Línea de Defensa InfoSecurity San Jose 18 de Junio de 2013 FIRST LINE OF DEFENSE

2 Corero Network Security - Compañia Corero es la Primera Línea de Defensa que bloquea Ataques DDoS y trafico no deseado antes de que llegue a sus infraestructuras HQ en Massachusetts, EEUU; Oficinas en EMEA y Asia clientes, +20 países Más de 15 años de experiencia en mitigación de amenazas avanzadas como Ataques DDoS (Red y aplicación), Exploits Cero Day y ataques dirigidos a servidores Algunos mecanismos de protección DDoS patentados desde 2001 Visionario en el Magic Quadrant de Gartner

3 Y con clientes en Costa Rica Centro de Datos, +11 años de experiencia en adoptar estándares para proveer de un servicio de calidad a los clientes de Centro América Posicionado como primer proveedor de América Central para alojamiento de e-commerce y empresas buscando una disponibilidad del 99,995% Corero es la Primera Línea de Defensa de TIER 4 Services. Se emplea para proteger a todos los clientes alojados en el datacenter de ataques DDoS y de trafico no deseado proveniente desde internet

4 Agenda Por qué las protecciones actuales no son eficientes Tipos de ataques y medidas de protección Qué funcionalidades clave que debería tener una Primera Línea de Defensa

5 Limitaciones de las protecciones actuales Que hacen, y que no hacen

6 Firewalls: Su primera línea de defensa frente a ataques DDoS? Firewalls don't cut it anymore as the first line of defense IT Best Practices Alert By Linda Musthaler, Network World October 19, 2012 Porqué los Firewalls no pueden seguir siendo la primera Línea de Defensa Para un Firewall, todo el trafico HTTP parece legitimo Los firewalls statefull están limitados en el tamaño de sus tablas de estado Visibles a nivel 3, pueden ser objetivos de ataque No analizan el comportamiento de los usuarios que se conectan desde Internet, No protegen ante ataques DDoS

7 Defensa DDoS Más que un Checkbox Problema: Muchas soluciones de Seguridad perimetral dicen disponer de protección DDoS La mayoría tiene una sola configuración = DDoS On/DDoS Off Los sistemas Anti-DDoS actuales tampoco ofrecen flexibilidad en cuanto a configuraciones de protección Recomendación: Despliega Tecnologías: Que tienen granularidad en cuanto a políticas DDoS Capaces de defender ante todos los vectores de ataque DDoS, en todo momento, sin cambio de configuración en caso de ataque Capaces de soportar carga cuando están bajo ataque y no verse afectados por un ataque DDoS Que inspeccionan todos y cada uno de los paquetes (sin sampling) Que ofrecen inspección bidireccional del trafico

8 Ataques a su presencia Web Categorías de ataques De mayor a menor volumen

9 Tipos de ataques y medidas de protección Network Level DDoS Attacks Defense Technique IP Threat-Level Assessment Reflective DDoS Attacks Defense Technique Stateful Flow Awareness Outbound DDoS Attacks Defense Technique Bi-Directional Flood Detection Application Layer DDoS Attacks Defense Technique Behavior Analysis Specially Crafted Packet Attacks Defense Technique Protocol Analysis Pre-Attack Recon (Scans) Defense Technique Scan Obfuscation Advanced Evasion Techniques (AET) Defense Technique Advanced Evasion Detect Corero s On-Premise First Line of Defense Always ON Cloud anti-ddos Service On Demand Las soluciones Anti DDoS no son exclusivas Las organizaciones pueden beneficiarse de ambas tecnologías para tener una cobertura completa

10 Y el tráfico no deseado Las organizaciones están experimentando cada vez mayor cantidad de tráfico no deseado (ataques DDoS, escaneos, exploits, paquetes malformados, etc). Este tráfico no deseado tiene dos consecuencias principales: Las peticiones de los clientes legítimos están ralentizadas por una cantidad cada vez mayor de tráfico no deseado Las organizaciones tienen que sobredimensionar sus infraestructuras TI como Firewalls, balanceadores, sistemas, etc De qué cantidad de trafico hablamos..?

11 Los humanos generan solo el 49% del tráfico en Internet Motores de búsqueda descubriendo y actualizando información Genera un 20% Búsqueda de información competitiva - Genera un 19% Herramientas de descubrimiento de vulnerabilidades Genera un 5% Raspado de pantalla (Screen Scraping) realizando Copia de contenido web, posts automatizados - Genera un 5% Spammers - Genera un 2%

12 Cual es la recomendación? Como defenderse sin morir en el intento

13 Diez consejos para implementar una primera línea de defensa en 2013 Los atacantes buscan conseguir su objetivo con cualquier método de ataque. Estos 10 consejos están orientados a proporcionarle una protección integral. State Exhaustion Attacks Application Layer Attacks Pre-Attack Recon (Scans) Advanced Evasion Techniques DNS Amplified Attacks Specially Crafted Packets Volumetric Network Attacks Malware & Targeted Exploits

14 Diez consejos para implementar una primera línea de defensa en 2013 Su Primera línea de defensa tiene que identificar y bloquear: 1. Direcciones IP conocidas como maliciosas : Disponer y actualizar en tiempo real listas de reputación Botnets, IP s anónimas, IP s participando en ataques DDoS, etc

15 Diez consejos para implementar una primera línea de defensa en 2013 Su Primera línea de defensa tiene que identificar y bloquear: 2. Países no deseados en los que no haces negocios: Disponer y actualizar constantemente información de geo localización aplicando políticas granulares (no solo autorizar o bloquear países)

16 Diez consejos para implementar una primera línea de defensa en 2013 Su Primera línea de defensa tiene que identificar y bloquear: 3. Botnets con máquinas infectadas y atacantes DDoS: Monitorear el comportamiento de todos los usuarios, tanto en la red interna como desde Internet (protección bidireccional en todo momento)

17 Diez consejos para implementar una primera línea de defensa en 2013 Su Primera línea de defensa tiene que identificar y bloquear: 4. Abusos de aplicaciones y comportamientos no deseados: Garantizar el uso correcto de las aplicaciones bloqueando en tiempo real aquellas conexiones cuyo comportamiento sea anómalo o malicioso

18 Diez consejos para implementar una primera línea de defensa en 2013 Su Primera línea de defensa tiene que identificar y bloquear: 5. Puertos y protocolos innecesarios: Inspección Profunda bidireccional de todo el trafico entrante y saliente, bloqueando los puertos/servicios no permitidos

19 Diez consejos para implementar una primera línea de defensa en 2013 Su Primera línea de defensa tiene que identificar y bloquear: 6. Anomalías y violaciones de protocolo: Hacer cumplir las normas y RFCs así como los estándares de la industria, bloqueando el trafico que las incumpla

20 Diez consejos para implementar una primera línea de defensa en 2013 Su Primera línea de defensa tiene que identificar y bloquear: 7. Técnicas de evasión avanzadas: Proteger ante ataques basados en tácticas de evasión incluyendo fragmentación / ofuscación,

21 Diez consejos para implementar una primera línea de defensa en 2013 Su Primera línea de defensa tiene que identificar y bloquear: 8. Exploits diseñados para dañar su visibilidad en internet: Bloquear ataques dirigidos a sistemas críticos basados en explotación de vulnerabilidades en los servidores

22 Diez consejos para implementar una primera línea de defensa en 2013 Su Primera línea de defensa tiene que identificar y bloquear: 9. Intentos de Fuerza bruta a contraseñas: Registrar y alertar de cualquier actividad sospechosa en sistemas que requieren autenticación

23 Diez consejos para implementar una primera línea de defensa en 2013 Su Primera línea de defensa tiene que identificar y bloquear: 10.Información sobre el trafico en su perímetro: Ser capaz de identificar que trafico está atravesando su sistemas y disponer de información completa sobre el trafico bloqueado en tiempo real

24 Las organizaciones necesitan una nueva Primera Línea de Defensa FIRST LINE OF DEFENSE

25 Topología típica de red bajo ataque Internet Tierra de nadie Botnets Atacantes Usuarios y Servicios no deseados Ataques DDoS IPS SLB Usuarios legítimos AETs y Abusos de Protocolo WAF Exploits a servidores Tráfico legítimo Tráfico legítimo Tráfico legítimo Impactos: degradación de servicios, tiempo de inactividad, exposición a amenazas, sobrecarga de la infraestructura, daños a la marca, pérdida de negocios,

26 Solución: Corero Primera Línea de Defensa Internet s Tierra de nadie Botnets Atacantes Atacantes frustrados Attackers Usuarios y Servicios no deseados Ataques DDoS IPS SLB Usuarios legítimos Good Users Tráfico legítimo AETs y Abusos de Protocolo Exploits a servidores Tráfico legítimo WAF Tráfico legítimo Corero protege su infraestructura TI bloqueando el trafico no deseado

27 Corero s DDoS Defense System (DDS) Trafico no deseado Usuarios y Servicios no deseados Ataques DDoS en capa de Aplicación Violaciones de Protocolo y AETs Ataques dirigidos a Servidores Puntos Clave de Protección Autorizar solo el trafico ESPERADO Bloquea direcciones IP maliciosas y ciertas zonas geográficas Autoriza solo puertos y servicios deseados Evalúa la CANTIDAD de trafico Limita peticiones y conexiones excesivas Asegura que el trafico sea CORRECTO Detiene los abusos y violaciones de protocolo (RFC) Previene AETs (Tácticas de Evasión Avanzadas) Analiza INTEGRIDAD del trafico Inspeccione tráfico y bloquea intrusiones, desbordamientos de búfer, inyecciones de código y exploits Restringuir el Acceso Limitar la Tasa Validar Protocolo Prevenir Intrusiones Proporciona VISIBILIDAD sobre el trafico no deseado Quién está atacando, a qué velocidad, y con qué vectores de ataque? Incrementar visibilidad

28 Próximos Pasos Podemos ayudarles a Proteger y Garantizar la disponibilidad de sus Redes y Servicios Evaluación de la Solución Permítanos demostrar la efectividad y sencillez de nuestras soluciones de protección DDoS/DoS a través de una evaluación, desplegando un dispositivo y un modulo de reporting en su infraestructura. Para solicitar información, o un piloto, escribe a info_es@corero.com o solicita un equipo a Network1 Más información : y Nuestros Partners:

29 Contactos: Alain Karioty Muchas Gracias! Enrique Santiago Álvaro Villalba Poncet FIRST LINE OF DEFENSE