Los ataques de denegación de servicio distribuido (DDoS) son, lamentablemente, más comunes de lo que nos gustaría. Es por eso que las organizaciones deben protegerse activamente contra ellas y también contra otras amenazas. Y si bien este tipo de ataques pueden ser desagradables y tener un gran impacto en sus sistemas, también son relativamente fáciles de detectar.
En esta publicación, analizaremos las formas en que puede proteger sus activos contra los ataques DDoS y revisaremos algunos productos que pueden ayudarlo con eso.
Comenzaremos describiendo qué son los ataques DDoS. Como está a punto de descubrir, su principio de funcionamiento es tan simple como su impacto potencial es alto. También exploraremos cómo estos ataques se clasifican a menudo y cómo se diferencian realmente los distintos tipos de ataques. A continuación, analizaremos cómo protegerse contra los ataques DDoS. Veremos cómo las redes de distribución de contenido pueden mantener a los atacantes lejos de sus servidores y cómo los equilibradores de carga pueden detectar un ataque y alejar a los atacantes. Pero para esos ataques raros que logran llegar a sus servidores, necesita protección local. Aquí es donde los sistemas de gestión de eventos e información de seguridad (SIEM) pueden ayudar, por lo que nuestra próxima orden del día será revisar algunos de los mejores sistemas SIEM que podamos encontrar.
Sobre DDoS
Un ataque de denegación de servicio (DoS) es un intento malintencionado de afectar la disponibilidad de un sistema objetivo, como un sitio web o una aplicación, para sus usuarios finales legítimos. Por lo general, los atacantes generan grandes volúmenes de paquetes o solicitudes que, en última instancia, abruman al sistema de destino. Un ataque de denegación de servicio distribuido (DDoS) es un tipo específico de ataque DoS en el que el atacante utiliza múltiples fuentes comprometidas o controladas para generar el ataque. Los ataques DDoS a menudo se clasifican según la capa del modelo OSI que atacan, y la mayoría de los ataques ocurren en la capa de red (capa 3), el transporte (capa 4), la presentación (capa 6) y la capa de aplicación (capa 7). ).
Los ataques en las capas inferiores (como 3 y 4) se clasifican normalmente como ataques de capa de infraestructura. Son, con mucho, el tipo más común de ataque DDoS e incluyen vectores como las inundaciones SYN y otros ataques de reflexión como las inundaciones UDP. Estos ataques suelen ser de gran volumen y tienen como objetivo sobrecargar la capacidad de la red o los servidores de aplicaciones. Lo bueno (por mucho que haya algo bueno en estar bajo ataque) es que son un tipo de ataque que tiene firmas claras y son más fáciles de detectar.
En cuanto a los ataques en las capas 6 y 7, a menudo se clasifican como ataques en la capa de aplicación. Aunque estos ataques son menos frecuentes, también tienden a ser más sofisticados. Estos ataques suelen ser de pequeño volumen en comparación con los ataques de la capa de infraestructura, pero tienden a centrarse en partes particulares y costosas de la aplicación. Ejemplos de este tipo de ataques incluyen una avalancha de solicitudes HTTP a una página de inicio de sesión o una API de búsqueda costosa, o incluso inundaciones XML-RPC de WordPress, que también se conocen como ataques de pingback de WordPress.
DEBE LEER: Los 7 mejores sistemas de prevención de intrusiones (IPS)
Protección contra ataques DDoS
Para protegerse eficazmente contra un ataque DDoS, el tiempo es fundamental. Este es un tipo de ataque en tiempo real, por lo que requiere una respuesta en tiempo real. ¿O lo hace? De hecho, una forma de protegerse contra los ataques DDoS es enviar a los atacantes a otro lugar que no sea sus servidores.
Una forma de lograrlo es distribuyendo su sitio web a través de algún tipo de red de distribución de contenido (CDN). Al usar una CDN, los usuarios de su sitio web (tanto los legítimos como los atacantes potenciales) nunca llegan a sus servidores web, sino a los de la CDN, protegiendo así sus servidores y asegurando que cualquier ataque DDoS solo afectará a un subconjunto relativamente pequeño de sus clientes.
Otra forma de evitar que los ataques DDoS lleguen a sus servidores es mediante el uso de equilibradores de carga. Los equilibradores de carga son dispositivos que se utilizan normalmente para dirigir las conexiones entrantes del servidor a varios servidores. La principal razón por la que se utilizan es para proporcionar capacidad extra. Supongamos que un solo servidor puede manejar hasta 500 conexiones por minuto, pero su negocio ha crecido y ahora tiene 700 conexiones por minuto. Puede agregar un segundo servidor con un equilibrador de carga y las conexiones entrantes se equilibrarán automáticamente entre los dos servidores. Pero los balanceadores de carga más avanzados también tienen características de seguridad.que puede, por ejemplo, reconocer los síntomas de un ataque DDoS y enviar la solicitud a un servidor ficticio en lugar de sobrecargar potencialmente sus servidores. Si bien la eficiencia de estas tecnologías varía, constituyen una buena primera línea de defensa.
Información de seguridad y gestión de eventos al rescate
Los sistemas de gestión de eventos e información de seguridad (SIEM) son una de las mejores formas de protegerse contra los ataques DDoS. La forma en que operan permite que detecten casi cualquier tipo de actividad sospechosa y sus procesos típicos de remediación pueden ayudar a detener los ataques en seco. SIEM suele ser la última línea de defensa contra los ataques DDoS. Atraparán cualquier ataque que realmente llegue a sus sistemas, aquellos que han logrado eludir otros medios de protección.
Los elementos principales de SIEM
Estamos a punto de explorar con más detalle cada componente principal de un sistema SIEM. No todos los sistemas SIEM incluyen todos estos componentes e, incluso cuando lo hacen, podrían tener diferentes funcionalidades. Sin embargo, son los componentes más básicos que uno encontraría típicamente, de una forma u otra, en cualquier sistema SIEM.
Gestión y recopilación de registros
La recopilación y gestión de registros es el componente principal de todos los sistemas SIEM. Sin él, no hay SIEM. El sistema SIEM tiene que adquirir datos de registro de una variedad de fuentes diferentes. Puede tirar de él o diferentes sistemas de detección y protección pueden empujarlo al SIEM. Dado que cada sistema tiene su propia forma de categorizar y registrar datos, depende del SIEM normalizar los datos y hacerlos uniformes, sin importar cuál sea su fuente.
Después de la normalización, los datos registrados a menudo se compararán con patrones de ataque conocidos en un intento de reconocer el comportamiento malicioso lo antes posible. Los datos también se compararán a menudo con los datos recopilados anteriormente para ayudar a construir una línea de base que mejorará aún más la detección de actividad anormal.
LEA TAMBIÉN: Los mejores servicios de registro en la nube probados y revisados
Respuesta al evento
Una vez que se detecta un evento, se debe hacer algo al respecto. De esto se trata el módulo de respuesta a eventos del sistema SIEM. La respuesta al evento puede tomar diferentes formas. En su implementación más básica, se generará un mensaje de alerta en la consola del sistema. A menudo, también se pueden generar alertas por correo electrónico o SMS.
Pero los mejores sistemas SIEM van un paso más allá y, a menudo, iniciarán algún proceso de reparación. Nuevamente, esto es algo que puede tomar muchas formas. Los mejores sistemas tienen un sistema de flujo de trabajo de respuesta a incidentes completo que se puede personalizar para brindar exactamente la respuesta que desea. Y como era de esperar, la respuesta a incidentes no tiene que ser uniforme y diferentes eventos pueden desencadenar diferentes procesos. Los mejores sistemas le brindarán un control total sobre el flujo de trabajo de respuesta a incidentes. Tenga en cuenta que cuando busca protección contra eventos en tiempo real, como ataques DDoS, la respuesta a eventos es probablemente la característica más importante.
Tablero de mandos
Una vez que tenga el sistema de recopilación y gestión de registros y los sistemas de respuesta en su lugar, el siguiente módulo importante es el tablero. Después de todo, será su ventana al estado de su sistema SIEM y, por extensión, el estado de la seguridad de su red . Son un componente tan importante que muchas herramientas ofrecen múltiples paneles de control. Debido a que diferentes personas tienen diferentes prioridades e intereses, el tablero perfecto para un administrador de red será diferente al de un administrador de seguridad, y un ejecutivo también necesitará uno completamente diferente.
Si bien no podemos evaluar un sistema SIEM por la cantidad de paneles que tiene, debe elegir uno que tenga los paneles que necesita. Definitivamente, esto es algo que querrá tener en cuenta al evaluar a los proveedores. Muchos de los mejores sistemas le permitirán adaptar paneles integrados o crear paneles personalizados a su gusto.
Reportando
El siguiente elemento importante de un sistema SIEM son los informes. Es posible que aún no lo sepa y no lo ayudarán a prevenir o detener los ataques DDoS, pero eventualmente necesitará informes. La alta dirección necesitará que vean por sí mismos que su inversión en un sistema SIEM está dando sus frutos. Es posible que también necesite informes para fines de conformidad. El cumplimiento de estándares como PCI DSS, HIPAA o SOX se puede facilitar cuando su sistema SIEM puede generar informes de conformidad.
Si bien los informes pueden no ser el núcleo de un sistema SIEM, siguen siendo componentes esenciales. Y, a menudo, la presentación de informes será un factor de diferenciación importante entre los sistemas competidores. Los informes son como caramelos, nunca puedes tener demasiados. Y, por supuesto, los mejores sistemas le permitirán adaptar los informes existentes o crear informes personalizados.
Las mejores herramientas para protegerse contra ataques DDoS
Aunque existen varios tipos de herramientas que pueden ayudar a proteger contra los ataques DDoS, ninguna proporciona el mismo nivel de protección directa que las herramientas de gestión de eventos e información de seguridad. Esto es lo que todas las herramientas de nuestra lista son en realidad herramientas SIEM. Cualquiera de las herramientas de nuestra lista proporcionará algún grado de protección contra muchos tipos diferentes de amenazas, incluido DDoS. Enumeramos las herramientas en el orden de nuestras preferencias personales, pero, a pesar de su orden, los seis son sistemas excelentes que solo podemos recomendarle que los pruebe usted mismo y vea cómo se adaptan a su entorno.
1. Administrador de eventos de seguridad de SolarWinds (PRUEBA GRATUITA)
Es posible que haya oído hablar de SolarWinds antes. La mayoría de los administradores de red conocen el nombre y tienen razón. El producto insignia de la compañía, Network Performance Monitor es una de las mejores herramientas de monitoreo de ancho de banda de red disponibles. Pero eso no es todo, la compañía también es famosa por sus numerosas herramientas gratuitas, como su Calculadora de subred avanzada o su servidor SFTP .
SolarWinds tiene herramientas para prácticamente todas las tareas de administración de red y eso incluye SIEM. Aunque SolarWinds Security Event Manager (también llamado SEM ) se describe mejor como un sistema SIEM de nivel de entrada, es probable que sea uno de los sistemas SIEM de nivel de entrada más competitivos del mercado. El SolarWinds S EM tiene todo lo que ha llegado a esperar de un sistema SIEM. Tiene una excelente gestión de registros y funciones de correlación, un gran panel de control y un motor de informes impresionante.
El SolarWinds Gestor de eventos de seguridad le alertará a los comportamientos más sospechosas, lo que le permite centrarse más de su tiempo y recursos en otros proyectos críticos. La herramienta tiene cientos de reglas de correlación integradas para observar su red y recopilar datos de las diversas fuentes de registro para identificar amenazas potenciales en tiempo real. Y no solo obtiene reglas de correlación listas para usar para comenzar, la normalización de los datos de registro permite crear una combinación infinita de reglas. Además, la plataforma tiene una fuente de inteligencia de amenazas incorporada que funciona para identificar comportamientos que se originan en malos actores conocidos.
El daño potencial causado por un ataque DDoS a menudo está determinado por la rapidez con la que identifica la amenaza y comienza a abordarla. El SolarWinds Gestor de eventos de seguridad puede acelerar su respuesta mediante la automatización de ellos cuando se activan ciertas reglas de correlación. Las respuestas pueden incluir bloquear direcciones IP, cambiar privilegios, deshabilitar cuentas, bloquear dispositivos USB, eliminar aplicaciones y más. El avanzado sistema de respuesta en tiempo real de la herramienta reaccionará activamente a cada amenaza. Y dado que se basa en el comportamiento más que en la firma, está protegido contra amenazas desconocidas o futuras. Esta característica por sí sola la convierte en una gran herramienta para la protección DDoS.
El SolarWinds director de eventos de seguridad está autorizado por el número de nodos que envían información de registro y evento. En ese contexto, un nodo es cualquier dispositivo (servidor, dispositivo de red, computadora de escritorio, computadora portátil, etc.) desde el cual se recopilan datos de registro y / o eventos. El precio comienza en $ 4 665 por 30 dispositivos, incluido el primer año de mantenimiento. Hay otros niveles de licencia disponibles para hasta 2500 dispositivos. Si desea probar el producto antes de comprarlo, se encuentra disponible para descargar una versión de prueba gratuita y completamente funcional de 30 días .
2. RSA NetWitness
Desde 2016, NetWitness se ha centrado en productos que respaldan el "conocimiento profundo de la situación de la red en tiempo real y la respuesta ágil de la red". Historia de la compañía es un poco complejo: Después de ser adquirida por EMC que luego se fusionó con Dell , el Ne tW itness negocio es ahora parte de la RSA rama de Dell , que es una gran noticia como RSA goza de una sólida reputación en la seguridad de TI.
RSA NetWitness es un gran producto para organizaciones que buscan una solución completa de análisis de redes. La herramienta incorpora información sobre su negocio que ayuda a priorizar las alertas. Según RSA , el sistema " recopila datos en más puntos de captura, plataformas informáticas y fuentes de inteligencia de amenazas que otras soluciones SIEM ". También hay una detección de amenazas avanzada que combina análisis de comportamiento, técnicas de ciencia de datos e inteligencia de amenazas. Y finalmente, el sistema de respuesta avanzado cuenta con capacidades de orquestación y automatización para ayudar a deshacerse de las amenazas antes de que afecten a su negocio.
Uno de los principales inconvenientes de RSA NetWitness es que no es el producto más fácil de usar y configurar. Sin embargo, existe una gran cantidad de documentación completa disponible que puede ayudarlo a configurar y utilizar el producto. Este es otro producto de nivel empresarial y deberá comunicarse con el departamento de ventas de RSA para obtener información detallada sobre precios.
3. Administrador de seguridad empresarial de ArcSight
ArcSight Enterprise Security Manager ayuda a identificar y priorizar las amenazas de seguridad, organizar y rastrear las actividades de respuesta a incidentes y simplificar las actividades de auditoría y cumplimiento. Este es otro producto con una historia algo complicada. Anteriormente vendido bajo la marca HP , ahora se ha fusionado con Micro Focus , otra subsidiaria de HP .
El ArcSight Enterprise Security Manager es una herramienta SIEM inmensamente popular que ha existido durante más de quince años. La herramienta recopila datos de registro de varias fuentes y realiza un análisis de datos exhaustivo en busca de signos de actividad maliciosa. Y para facilitar la identificación de amenazas rápidamente, la herramienta le permite ver los resultados del análisis en tiempo real.
En cuanto a características, este producto no deja mucho que desear. Tiene una potente correlación de datos distribuidos en tiempo real, automatización del flujo de trabajo, orquestación de seguridad y contenido de seguridad impulsado por la comunidad. El ArcSight Enterprise Security Manager también se integra con otros ArcSight productos tales como la Plataforma de Datos ArcSight y el gestor de eventos o ArcSight Investigar . Este es otro producto de nivel empresarial que, como casi todas las herramientas SIEM de calidad, requerirá que se comunique con el equipo de ventas para obtener información detallada sobre precios.
4. Seguridad empresarial de Splunk
Splunk Enterprise Security, o Splunk ES , como se le llama a menudo, es posiblemente uno de los sistemas SIEM más populares y es particularmente famoso por sus capacidades analíticas. La herramienta monitorea los datos de su sistema en tiempo real, buscando vulnerabilidades y signos de actividad anormal.
La respuesta de seguridad es otro de los puntos fuertes de Splunk ES y eso es importante cuando se trata de ataques DDoS. El sistema utiliza lo que Splunk llama Adaptive Response Framework ( ARF ) que se integra con equipos de más de 55 proveedores de seguridad. El ARF realiza una respuesta automática, lo que acelera las tareas manuales. Esto le permitirá ganar rápidamente la ventaja. Agregue a eso una interfaz de usuario simple y ordenada y tendrá una solución ganadora. Otras características interesantes incluyen la función Notables que muestra alertas personalizables por el usuario y el Asset Investigator para marcar actividades maliciosas y prevenir problemas adicionales.
Splunk ES es un producto de nivel empresarial y, como tal, viene con una etiqueta de precio de tamaño empresarial. Como suele ser el caso de los sistemas de nivel empresarial, no puede obtener información sobre precios en el sitio web de Splunk . Deberá ponerse en contacto con el departamento de ventas para obtener una cotización. Pero a pesar de su precio, este es un gran producto y es posible que desee ponerse en contacto con Splunk y aprovechar una prueba gratuita disponible.
5. McAfee Enterprise Security Manager
McAfee es otro nombre familiar en el campo de la seguridad de TI y probablemente no requiera presentación. Sin embargo, es más conocido por sus productos de protección antivirus. El McAfee Empresa S eguridad M anager no es sólo software. En realidad, es un dispositivo que puede obtener de forma virtual o física.
En términos de sus capacidades de análisis, muchos consideran que McAfee Enterprise Security Manager es una de las mejores herramientas SIEM. El sistema recopila registros en una amplia gama de dispositivos. En cuanto a sus capacidades de normalización, también es de primera categoría. El motor de correlación compila fácilmente fuentes de datos dispares, lo que facilita la detección de eventos de seguridad a medida que ocurren, una característica importante cuando se intenta protegerse contra eventos en tiempo real, como ataques DDoS.
Sin embargo, hay más en la solución de McAfee que solo su Enterprise Security Manager . Para obtener una solución SIEM verdaderamente completa, también necesita Enterprise Log Manager y Event Receiver . La buena noticia es que los tres productos se pueden empaquetar en un solo dispositivo, lo que facilita un poco los procesos de adquisición y configuración. Para aquellos de ustedes que quieran probar el producto antes de comprarlo, hay una prueba gratuita disponible.
El mercado de software de gestión de red está muy concurrido. Acceda a su búsqueda siguiendo nuestras recomendaciones de las mejores herramientas de administración de red.
Los barridos de ping se pueden utilizar para su beneficio de muchas maneras. Siga leyendo mientras discutimos cómo y presentamos las 10 mejores herramientas de barrido de Ping que puede encontrar.
Los sitios web son importantes y deben ser monitoreados de cerca constantemente para un rendimiento adecuado. Estas son algunas de las mejores herramientas para monitorear sitios web.
Aquí hay un vistazo a algunas de las mejores herramientas de implementación de software para aliviar el dolor de administrar cualquier cantidad de máquinas.
Si está en la industria de la salud o de alguna manera está involucrado con TI en esa industria, es probable que haya oído hablar de HIPAA. La portabilidad del seguro médico
sFlow es un protocolo de análisis de flujo integrado en numerosos dispositivos de red. Repasamos los cinco mejores analizadores y recolectores de flujo gratuitos.
Dado que Linux se está volviendo cada vez más popular en los centros de datos, estamos analizando la supervisión del ancho de banda en Linux y también estamos revisando las mejores herramientas.
La seguridad del correo electrónico es una tarea importante de los proveedores de servicios gestionados. Estamos revisando SolarWinds Mail Assure, una de las mejores herramientas para ese propósito.
Si es un usuario avanzado de Windows, probablemente sepa y comprenda cómo realizar varias operaciones en su PC puede tener más de un enfoque y
El monitor de red de Windows requiere herramientas con requisitos limitados. Hoy, estamos echando un vistazo a las mejores herramientas de monitoreo de red para Windows 10.
