Se buscan propuestas innovadoras para luchar contra DDoS. ¿Tiene usted alguna?

  • Opinión

Como si de un concurso se tratara, DARPA, la Agencia de Investigación de Proyectos Avanzados de Defensa estadounidense, acaba de lanzar el programa "Extreme DDoS Defense" (apodado "XD3") a través del cual solicita propuestas de investigación transformadoras para luchar contra los ataques de Denegación de Servicio Distribuida (DDoS). Dicho programa apunta a la innovación como garante de éxito.

Pero, ¿qué está buscando realmente DARPA?

Bajo la perspectiva de que los sistemas de defensa actuales encierran múltiples deficiencias, DARPA demanda nuevas propuestas que integren mayor capacidad de resistencia frente a ataques DDOS, a través de una serie de contextos más amplios que los aportados por los enfoques actuales, o las extensiones evolutivas de los mismos.

Así las cosas, esta agencia estima que las estrategias actuales de seguridad contra DDOS se fundamentan en una poco efectiva combinación de filtrado basado en red, desvío de tráfico y lavado, o en la replicación de los datos almacenados como medio para diluir los ataques volumétricos y/o para proporcionar acceso diverso para los usuarios legítimos. En general, estos enfoques de defensa están muy por debajo de las capacidades deseadas, por incluir determinadas insuficiencias que merman la capacidad para mantener la información a salvo.

Dichos inconvenientes fundamentales hacen referencia a respuestas frente a ataques demasiado lentas y gestionadas de forma manual; uso de técnicas de filtrado inline para el bloqueo de ataques de bajo volumen; o utilización de mecanismos que dependen de la inspección inline de flujos de datos, los cuales pueden ser problemáticos para el manejo de túneles cifrados, además de plantear desafíos para la escalabilidad en tanto en cuanto el ancho de banda de la red sigue aumentando.

De igual forma, destaca la necesidad de que los métodos defensivos sean aplicados en tiempo real, abarcando éstos a su vez nuevos escenarios, como los servicios transaccionales (mando y control militar) y la computación en la nube. Las técnicas que únicamente son útiles para la protección del almacenamiento y la difusión de datos cuasi estáticos son insuficientes.

Un nuevo enfoque de defensa basado en la interoperabilidad e integración

El programa XD3 destaca tres grandes áreas de oportunidad para mejorar la resistencia contra los ataques DDoS: Dispersión razonable de Ciber-recursos, para mitigar vulnerabilidades; Maniobra en Red (Networked Maneuver), de cara a minimizar los daños; y Respuesta y Detección Adaptativa de los Endpoint (Adaptive Endpoint Sensing and Response) a fin de mitigar puntos de ataque y ataques DDoS de bajo volumen que alcanzan sus objetivos.

Cada uno de estos campos se ocupa de un aspecto común de la infraestructura cibernética actual que, según DARPA, limita inherentemente la capacidad de defensa frente a los ataques DDoS.

Asimismo, la agencia considera que estos tres conceptos van más allá de cómo nos defendemos contra los ataques DDoS y pueden aplicarse a una variedad de escenarios (proveedores comerciales de servicios de red, proveedores de servicio de almacenamiento y cloud computing y empresas de todos los tamaños) y a una amplia gama de redes (empresariales, WAN, inalámbricas o SDN) y servicios, como la computación en la nube.

El objetivo primordial del programa XD3 es producir las mejores tecnologías posibles para permitir la resistencia contra los ataques DDoS. El gobierno estadounidense tiene la intención de que XD3 se convierta en un programa de colaboración en el que todos los actores interactúen de manera constructiva con los demás. Así, un objetivo fundamental del programa es establecer una arquitectura plug-and-play abierta, basada en estándares, de múltiples fuentes, y  que permita la interoperabilidad y la integración.

 

Protección en Tiempo Real

DDoS es una amenaza mutable que el negocio conectado a Internet no puede permitirse el lujo de ignorar.

Utilizar una infraestructura de seguridad tradicional o servicios upstream para protegerse contra los ataques DDoS cada vez más frecuentes y sofisticados, no es una solución definitiva. Con un 96% de los ataques DDoS que duran 30 minutos o menos, una defensa bajo demanda se inicia demasiado tarde, cuando el daño ya es irremediable.

Ante este panorama, desde Corero abogamos por una protección en tiempo real como única manera de combatir de forma proactiva los ataques DDoS dirigidos contra los negocios. Una tecnología de protección DDoS dedicada e implementada en el mismo perímetro de la red o de interconexión a Internet, puede inspeccionar efectivamente todo el tráfico de Internet y mitigar ataques DDoS en tiempo real, eliminando las amenazas antes de que estas puedan causar daño.

 

Sobre el autor…

Álvaro Villalba,
Regional sales manager de Corero Network Security Iberia