AMENAZAS Y SOLUCIONES GUÍA PARA LA SEGURIDAD WEB … · • Robo de datos, como las inyecciones...

Seguridad web multicapa | 1

GUÍA PARA LA SEGURIDAD WEB MULTICAPA multicapa

AMENAZAS Y SOLUCIONES

http://akamai.com


TABLA DE CONTENIDO

INTRODUCCIÓN: De la fortaleza al fuego .......................................................................................4

CAPÍTULO 1 - Definición de las amenazas web actuales ................................................................5

• Ataques DoS/DDoS contra la red ........................................................................................... 6

- Inundación simple ........................................................................................................... 8

- Ataques de amplificación ............................................................................................... 9

- Herramientas para lanzar ataques DDoS ........................................................................ 10

• Ataques DoS/DDoS en la capa de aplicación ........................................................................ 13

- Ataques de alto ancho de banda .................................................................................. 13

- Ataques de bajo ancho de banda .................................................................................. 14

• Ataques de robo de datos ................................................................................................... 15

• Ataques DNS ....................................................................................................................... 17

CAPÍTULO 2 - Enfoque multicapa para la protección de aplicaciones web .................................19

• Defensa frente a ataques DoS en la capa de red .................................................................. 20

• Protección de aplicaciones frente a ataques DoS y robo de datos ......................................... 21


CAPÍTULO 3 - Explore sus opciones ................................................................................................22

• Hardware en las instalaciones propias ............................................................................. 23

• Servicios basados en la nube ........................................................................................... 24

CAPÍTULO 4 - Cómo elegir una solución ........................................................................................26

• Protección contra ataques DoS/DDoS en la capa de red .................................................. 27

• Protección contra ataques en la capa de aplicación ......................................................... 30

• Protección contra ataques DNS ....................................................................................... 33

CAPÍTULO 5 - Limpieza de Internet: Vulnerabilidades de las aplicaciones web comunes y cómo tratarlas ............................................34

• ¿Cuáles son las vulnerabilidades más frecuentes? ........................................................... 35

• Cómo corregir las vulnerabilidades de las aplicaciones web más comunes ........................ 36

CONCLUSIÓN ....................................................................................................................... 40

APÉNDICE: • Principales expertos en seguridad web ............................................................................ 42

• Lecturas complementarias .............................................................................................. 43

�Volver a la tabla de contenido Seguridad web multicapa | 4

¿POR QUÉ DEBERÍA LEER ESTA GUÍA?

El perímetro del centro de datos ha muerto, aunque su recuerdo sigue vivo en la forma en que muchos departamentos de TI siguen protegiendo su infraestructura. El meteórico ascenso de Internet ha traído consigo un panorama en constante cambio de nuevos ataques y desfasados modelos de custodia de la infraestructura de TI de empresas totalmente desorganizadas. Anteriormente, los activos de información que necesitaban protección se guardaban en una fortaleza controlada por recursos de TI, es decir, un centro de datos seguro. Por lo general, los ataques procedían del exterior del centro de datos o de los usuarios internos que abusaban de sus privilegios. Las empresas establecieron protecciones, como los firewalls, en los puestos fronterizos y se protegieron contra los ataques internos mediante estrictos roles y privilegios de acceso.

INTRODUCCIÓN - De la fortaleza al fuego

CAPÍTULO 1 Análisis de los tipos de amenazas de seguridad que encontrará online.

CAPÍTULO 2 Descripción de los componentes necesarios para proteger sitios web y aplicaciones.

CAPÍTULO 3 Análisis de los tipos de soluciones disponibles.

CAPÍTULO 4 Qué buscar en una solución de seguridad web.

CAPÍTULO 5 Descripción de lo que puede hacer para reducir la vulnerabilidad en sus sitios web y aplicaciones.

Sin embargo, cada vez más sitios web y aplicaciones se encuentran en la nube, fuera del centro de datos.

Entonces, ¿cómo se puede proteger un perímetro que ya no existe? En primer lugar, necesita saber cuáles de sus activos se encuentran en mayor situación de riesgo y determinar la tolerancia de su empresa al riesgo. A continuación, necesita gestionar este riesgo extendiendo los controles de seguridad hasta la nube y protegiéndola contra los tipos de ataques que se producen a través de Internet. En esta guía, se analizarán en detalle las amenazas más comunes para los sitios y las aplicaciones web, y lo que usted puede hacer para mitigarlas.


COSTE DE LA DELINCUENCIA CIBERNÉTICA Ponemon Institute, octubre de 2013 (en inglés)

1 288 710 $ Mínimo

11 559 057 $ Promedio

58 094 571 $ Máximo

Los ataques cibernéticos más costosos son los causados por la denegación de servicio, el código malicioso y los ataques basados en la Web. Representan más del 55 % de todos los costes anuales por delitos cibernéticos para las organizaciones.

ENLACE }

CAPÍTULO 1

El aumento vertiginoso de la popularidad de los sitios web y las aplicaciones basadas en la Web ha ocasionado su correspondiente incremento de la cantidad, tipo, magnitud y coste de los ataques dirigidos específicamente a las vulnerabilidades de estos sistemas. En general, estos ataques se dividen en dos categorías:

• Denegación de servicio (DoS) o denegación de servicio distribuido (DDoS)

• Robo de datos, como las inyecciones SQL y otros ataques de inyección de comandos

El CAPÍTULO 1 de este libro electrónico define estos ataques, cómo funcionan y su repercusión en los sistemas y los usuarios.

Definición de las AMENAZAS WEB ACTUALES

http://media.scmagazine.com/documents/54/2013_us_ccc_report_final_6-1_13455.pdf


El tamaño de los ataques DoS y DDoS volumétricos ha registrado un crecimiento exponencial.

Uno de los primeros ataques DoS documentados públicamente tuvo lugar el 6 de septiembre de 1996 contra Panix, un proveedor de servicios de Internet de Nueva York. Unos atacantes desconocidos utilizaron una inundación SYN para agotar las conexiones de red disponibles e impedir a los usuarios legítimos conectarse a los servidores de Panix. En el ataque, se utilizaron tres ordenadores para generar un tráfico de red de 48 Kbps.

Por otro lado, un grupo hacktivista conocido como Izz ad-Din al-Qassam Cyber Fighters (QCF) lanzó una serie de ataques contra instituciones financieras de Estados Unidos que comenzó el 5 de marzo de 2013 y usó 3200 bots para alcanzar un pico de tráfico de red de 190 Gbps.

Akamai pronostica que, en el año 2020, un ataque DDoS de tamaño promedio generará un tráfico de red de 1,5 Tbps.

Patrikakis, Charalampos, Masikos, Michalis, Zouraraki, Olga (diciembre de 2004). Distributed Denial of Service Attacks. The Internet Protocol Journal – Volumen 7, Número 4. Fuente: http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-4/dos_attacks.html

Litan, Avivah (marzo de 2013). Are the ongoing DDoS attacks against U.S. banks just the calm before the storm? Gartner. Fuente: http://blogs.gartner.com/avivah-litan/2013/03/14/are-the-ongoing-ddos-attacks-against-u-s-banks-just-the-calm-before-the-storm/

DoS/DDoS Ataques contra la red

Los ataques DoS se encuentran entre las amenazas más comunes para el

funcionamiento de Internet. Estos ataques saturan el ancho de banda de la

red, de manera que no esté disponible para los usuarios legítimos. Consisten

en el bombardeo de un sitio con suficiente tráfico para inundar las conexiones

entre Internet y la empresa. A menudo, se usan varios nodos para enviar

tráfico a un sitio en un ataque distribuido de denegación de servicio (DDoS).

Los ataques DDoS reducen la cantidad de tráfico que un sistema atacante debe

enviar y aumentan el impacto sobre el objetivo.

Una increíble cantidad de ataques DoS y DDoS se produce en la capa de red.

Estos ataques se pueden agrupar en dos grandes categorías: las inundaciones

simples y los ataques de amplificación. Existen varias herramientas que

automatizan el proceso de creación de ambos tipos de ataques, lo que permite

a personas sin conocimientos técnicos amenazar el sitio web que deseen de

forma rápida y fácil.

EL CRECIENTE TAMAÑO DE LOS ATAQUES DOS/DDOS Ponemon Institute, octubre de 2013 (en inglés)


¿Quién está lanzando ataques DoS/DDoS y por qué? Para proteger su infraestructura estratégicamente, debe saber quién es más probable que le ataque y qué tácticas usará. Entre los distintos tipos de adversarios, se incluyen:

• EXTORSIONISTAS. Los extorsionistas amenazan con inutilizar (o inutilizan) un sitio web y, a continuación, piden un rescate para evitar (o detener) un ataque.

• EXFILTRADORES. Los exfiltradores utilizan un ataque DoS para desviar la atención de su verdadero objetivo, que no es otro que robar información de la que puedan obtener un provecho económico, independientemente de que se trate de una propiedad intelectual o de números de tarjetas de crédito.

• HACKTIVISTAS. Los hacktivistas son diferentes de otros tipos de atacantes. Están enfadados y tratan de hacer una declaración política o denunciar una causa. Sus ataques pueden parecer aleatorios y frecuentemente provocados por una noticia determinada. No obstante, usted es el centro de su ira, lo que significa que, cuando se topen con sus controles de seguridad, es poco probable que den marcha atrás y busquen un blanco más fácil. A veces, los hacktivistas se utilizan como chivo expiatorio, lo que permite a otros tipos de adversarios esconderse detrás de sus ataques de base política.

• LA COMPETENCIA. Sus competidores pueden inutilizar su sitio para obtener cierta ventaja, o bien pueden extraer información expuesta en su sitio web, por ejemplo, para conocer sus precios y mejorarlos.

"Si conoces a los demás y te conoces a ti mismo, ni en cien batallas correrás peligro... Si no conoces a los demás ni te conoces a ti mismo, correrás peligro en cada batalla."

Sun Tzu, El arte de la guerra

En 2013, la mitad de las empresas que respondieron a una reciente encuesta de Ponemon Institute declaró haber sufrido un ataque de denegación de servicio, lo que supone un aumento del 29 % con respecto a 2012.

Los ataques DoS representaban el 21 % del coste total anualizado de los delitos cibernéticos.

ESTUDIO DEL COSTE DE LOS DELITOS CIBERNÉTICOS DE 2013: Estados Unidos

Ponemon Institute, octubre de 2013 (en inglés)

ENLACE al informe }

Si su empresa ha sido blanco de un ataque DDoS, hay una posibilidad entre cuatro (25 %) de que le ataquen de nuevo en un plazo de tres meses, y más de una posibilidad entre tres

(36 %) de que le ataquen otra vez en el plazo de un año.

- Equipo de investigación de Akamai

�Volver al índice

http://media.scmagazine.com/documents/54/2013_us_ccc_report_final_6-1_13455.pdf


Inundaciones simplesLa mayoría de los ataques DoS inundan la red o la infraestructura. Las inundaciones aprovechan ciertos protocolos, como TCP, UDP o ICMP, para enviar grandes cantidades de solicitudes a un objetivo y sobrecargar las capacidades de la red.

Algunos de los modos en que los ataques DoS causan estragos son:

• Consumiendo el ancho de banda de la red• Saturando los recursos informáticos disponibles, la memoria, el espacio

en el disco o el tiempo del procesador• Alterando la información de configuración, como la información de

enrutamiento• Interrumpiendo la información de estado, por ejemplo, restableciendo

las sesiones TCP

Ataques de inundación DNSEl sistema de nombres de dominio (DNS) se ha convertido en el blanco favorito de los ataques de inundación de DoS. El DNS asigna nombres de dominio que un ser humano pueda entender a la dirección IP que utilizan los ordenadores para buscar los recursos que necesitan. Cada vez que se accede a un sitio web, un servidor DNS busca la dirección IP del nombre del dominio. Los servidores DNS son de dos tipos: servidores autoritativos, que contienen una base de datos de direcciones IP, y servidores recursivos, que consultan el servidor autoritativo en nombre del cliente. Muchas organizaciones implementan solo una pequeña cantidad de servidores DNS. Esto hace que el DNS sea especialmente vulnerable a los ataques volumétricos. Cuando los agresores inundan un DNS, no necesitan anular ningún servidor web. En su lugar, dejan sin conexión al servidor DNS, lo que impide a los usuarios encontrar los sitios web que están buscando.

La inundación SYN TCP es un ejemplo muy conocido de un ataque de inundación simple. En una inundación SYN de TCP, el sistema atacante envía una solicitud SYN de TCP con una dirección IP de origen falsificada a un host. Aunque estas solicitudes SYN de TCP parecen legítimas, la dirección falsificada hace referencia a un cliente que no existe, por lo

que el mensaje ACK final nunca se envía al host víctima. El resultado son conexiones inacabadas en el sitio de la víctima. Una cola acumulada almacena estas conexiones inacabadas, que vinculan los recursos del servidor para que no se puedan realizar nuevas conexiones legítimas, lo que ocasiona una denegación de servicio.

SYN-ACK

SYN

?

SYN

Anatomía de un ataque de inundación simple


Ataques de amplificación Los atacantes están buscando constantemente nuevos modos de aumentar el tamaño de las inundaciones. Se suelen usar dos métodos para amplificar ataques que aprovechan los protocolos DNS y NTP:

Ataques de amplificación y reflejo de DNSLos servidores DNS tienen tres características que los hacen particularmente vulnerables a los ataques de amplificación y reflejo:

• Algunos servidores recursivos responden a las consultas de cualquier cliente.

• El DNS se basa en el protocolo de datagramas de usuario (UDP), un protocolo sin conexión que no valida las direcciones IP de origen, lo que contribuye a que estas direcciones sean fáciles de falsificar.

• Una pequeña solicitud DNS puede requerir grandes cantidades de datos en una respuesta.

Para llevar a cabo un ataque, un adversario envía un conjunto de consultas DNS al servidor recursivo, de modo que cambia la dirección de origen de las solicitudes por la del objetivo elegido. Las solicitudes están diseñadas para tener una respuesta mucho más amplia y dirigir al objetivo unas ocho veces más cantidad de tráfico del que reciben. Para obtener más información sobre los ataques distribuidos de denegación de servicio de reflejo y amplificación (DrDoS), consulte el caso práctico sobre ataques DDoS globales del tercer trimestre de 2013 de Prolexic. Consulte el informe aquí.

Ataques de amplificación de NTPA comienzos de 2014, los ataques basados en NTP surgieron como una herramienta importante en el arsenal de ataques DDoS. NTP es el protocolo de tiempo de redes que las máquinas conectadas a Internet utilizan para configurar sus relojes. Al igual que el DNS, NTP es un sencillo protocolo basado en UDP propenso a los ataques de amplificación porque responde a un paquete con una dirección IP con un origen falsificado y porque uno de sus comandos integrados envía respuestas largas a las solicitudes breves. El comando monlist, que se puede enviar a un servidor NTP para fines de supervisión, devuelve las direcciones de las últimas 600 máquinas con las que el servidor NTP ha interactuado. Si el servidor responde con el número máximo de direcciones, una solicitud de 234 bytes podría generar una respuesta de 100 paquetes con un total de más de 48 K, lo que supone un factor de amplificación de 206 unidades.

En febrero de 2014, los agresores lanzaron un ataque de reflejo de NTP para llevar a cabo uno de los mayores ataques DDoS registrados de la historia (de casi 400 Gb/s).

ENLACE }

Lucian Constantin, "Slew of spoofs used in massive, record-breaking DDoS attack", PC World, 11 de febrero de 2014.

http://www.prolexic.com/knowledge-center-dos-and-ddos-attack-reports.html


http://www.pcworld.com/article/2096720/attackers-use-ntp-reflection-in-huge-ddos-attack.html


Herramientas para lanzar ataques DDoSPrácticamente cualquier persona puede lanzar un ataque DDoS en segundos con una de las muchas herramientas disponibles y fáciles de usar. Estas herramientas pueden usarse para iniciar ataques tanto de inundación simple como de amplificación.

BotnetsUna botnet es una red de ordenadores infectados con malware y controlados de forma centralizada por un botmaster. El botmaster dirige esas máquinas esclavas mediante un comando y un servidor de control, que es una ubicación central desde la que las máquinas infectadas reciben instrucciones. Las máquinas infectadas en una botnet pueden contarse fácilmente por miles o decenas de miles. El botmaster puede emplearlas todas para enviar tantas solicitudes como sea posible a un solo ordenador con Internet o servicio, y sobrecargarlo y evitar así que atienda las solicitudes legítimas de prestación de servicio.

Low Orbit Ion CannonInicialmente, Praetox Technologies desarrolló Low Orbit Ion Cannon (LOIC) como herramienta de código abierto para pruebas de estrés de red, poniéndola después a disposición del público. LOIC facilita y acelera la creación de un ataque DoS. El software ofrece a los posibles atacantes una interfaz de usuario gráfica e intuitiva. El pirata informático utiliza la interfaz gráfica de usuario para introducir una URL, escoger un método de ataque (TCP, UDP o HTTP) y enviar la solicitud. Solo se necesitan 60 segundos para descargar la herramienta y usarla para abrir varias conexiones al servidor objetivo y enviar

Una botnet ataca a su víctima

ENLACE }

Víctima

Atacante

Masters

Esclavos

http://www.insecure.in/images/ddos.gif


una secuencia de mensajes continua. Esta herramienta fue el arma que escogió el famoso grupo de piratas informáticos Anonymous, que reivindicó la responsabilidad de los ataques contra Sony, el FBI y otros cuerpos de seguridad estadounidenses. También se usó LOIC en ataques muy publicitados contra PayPal, MasterCard y Visa.

High Orbit Ion CannonHigh Orbit Ion Cannon (HOIC) es una potente actualización de LOIC. En lugar de enviar repetidamente una solicitud a un sitio desde un usuario falso, HOIC se dirige a las páginas secundarias. Los usuarios falsos de HOIC visitan las páginas de bienvenida, de ayuda, las páginas con artículos y cualquier otra página del sitio de la víctima. Esta táctica impide que algunos firewalls reconozcan como un ataque lo que está sucediendo. Incluso si el firewall lo detecta, tendrá problemas para cerrar la conexión, ya que HOIC envía distintos usuarios falsos a muchas páginas dentro de un dominio. Puede descargar un informe de amenazas sobre HOIC en el sitio web de Akamai. }

BrobotLa Operación Ababil, una iniciativa de DDoS presuntamente cometida por el grupo hacktivista Izz ad-Din al-Qassam Cyber Fighters, utiliza un kit de herramientas de script ruso modificado conocido como Brobot para atacar a bancos de Estados Unidos. El grupo identifica extensiones de software vulnerables en los ordenadores conectados a sitios web con alto ancho de banda y centros de datos de alojamiento web. A continuación, compromete y controla estos equipos introduciendo un código incrustado, casi invisible, en el HTML de estas extensiones. Estos ordenadores esclavos

IMPACTO ECONÓMICO DE LOS ATAQUES DDOS

Cuando un proveedor de servicios en la nube aloja la aplicación, la infraestructura en la nube puede ampliarse para manejar ráfagas de tráfico durante un ataque de DDoS. Normalmente, se paga por el ancho de banda que se utilice. Si un ataque DDoS consume una cantidad de recursos importante, sus servidores podrían resistir, pero quizá usted no pueda permitirse mantenerlos en funcionamiento. El coste de la CPU o el ancho de banda en entornos alojados, como Amazon Web Services, puede ser enorme.

http://www.prolexic.com/knowledge-center-dos-and-ddos-threat-advisories.html



de la botnet, con un gran ancho de banda, pueden bombardear los sitios web de los bancos con ataques DDoS de una potencia de 190 Gb/s. Puede descargar un informe de amenazas sobre el kit de herramientas itsoknoproblembro con reglas de detección para identificar servidores web infectados (bRobots) aquí.}

Las 10 tendencias principales de DDoS en 2013

2013 supuso un récord en la actividad de ataques distribuidos de denegación de servicio (DDoS), como se muestra en la infografía de

tendencias de DDoS.

En comparación con el año anterior, el volumen de ataques

DDoS aumentó un 32 % según la investigación

de Prolexic.



Los clientes de Akamai denunciaron 768 ataques a la capa de aplicación durante 2012 y 1153 en 2013, un incremento del 50 % con respecto al año anterior.

Para obtener más información, consulte el informe sobre el estado de Internet de Akamai: http://www.akamai.com/stateofthe internet/

ENLACE }

Veracode predice que tres de cada cuatro empresas serán blanco, en algún momento, de ataques a sus aplicaciones web, y que el 54 % de las filtraciones de datos por pirateo tiene lugar a través de estas aplicaciones.

DuPaul, Neil (julio de 2013). The Real Cost of a Data Breach Infographic. Fuente: http://www.veracode.com/

blog/2013/07/the-real-cost-of-a-databreach-infographic/

La capa de red ya no es el único blanco de los ataques DoS. Los ataques a la capa de aplicación, cada vez más populares, se presentan como solicitudes legítimas, pero provocan la denegación de servicio por agotamiento de la capacidad de los servidores de aplicaciones web. Estos ataques pueden provocar que el servidor utilice importantes recursos informáticos para cada solicitud, que funcione por debajo del nivel óptimo o que devuelva resultados diferentes para cada solicitud para evitar el almacenamiento en caché en el servidor.

Ataques de alto ancho de bandaPor lo general, los ataques de alto ancho de banda en la capa de aplicación bombardean las páginas que contienen muchos recursos con solicitudes GET o POST, y restablecen la conexión una y otra vez para agotar la sesión del servidor y la capacidad de la memoria. Por otra parte, envían solicitudes complejas, que hacen un uso intensivo de recursos informáticos, o solicitan archivos de gran tamaño, como PDF, a sitios web. El resultado es un consumo excesivo de recursos que colapsa los servidores y les impide responder al tráfico legítimo. Por ejemplo, se incluyen ataques que:

DoS/DDoS Ataques a la capa de aplicación

http://www.akamai.com/stateoftheinternet/


que requieren muchos menos nodos de ataque y menos ancho de banda. Por otra parte, como los atacantes a menudo se aprovechan de las características de la aplicación legítima, no siempre está claro qué constituye un ataque y qué es tráfico legítimo. Esto complica mucho más la defensa.

Algunos ejemplos de ataques de bajo ancho de banda son aquellos que mantienen los recursos abiertos y los ataques a los carritos de la compra:

Ataques que mantienen los recursos abiertos Algunos ataques mantienen los recursos abiertos en el servidor para agotar los recursos y los grupos de conexiones del servidor. Este enfoque es mucho más eficaz que la inundación GET. Solo requiere cientos de solicitudes a intervalos regulares, en lugar de miles de forma continua, y, además, un único dispositivo puede tumbar un sitio de grandes dimensiones. Por ejemplo:

• Slowloris: envía lentamente encabezados de solicitud, lo que obliga al servidor web a mantener abiertas las conexiones sin completar las solicitudes. Esto agota rápidamente el grupo de conexiones del servidor.

• Método HTTP POST LENTO: entrega el cuerpo del mensaje lentamente para agotar los recursos del servidor web.

• Lectura lenta: reduce la ventana de TCP en el lado del cliente. Esto obliga al servidor a enviar datos al cliente muy lentamente. El servidor debe mantener las conexiones y otros recursos abiertos para garantizar el envío de los datos, lo que ocasiona que pueda saturarse rápidamente.

• Se dirigen contra SSL. El tráfico de algunas páginas, como la página de inicio de sesión, debe estar cifrado mediante SSL para proteger las credenciales, en tránsito, del usuario. Se necesitan nueve pasos para establecer un protocolo de negociación SSL y alguno de ellos requiere operaciones complejas de criptografía y generación de claves. Si el atacante utiliza una botnet para establecer muchas sesiones SSL al mismo tiempo, la aplicación no está disponible, ya que el sistema se bloquea al procesar las solicitudes anteriores.

• Saturan la base de datos. Una página que funciona con una base de datos, como un localizador de tiendas, debe buscar en la base de datos para cada solicitud. Normalmente, esto implica un gran número de transacciones de base de datos diferentes y complejas, así como la validación a nivel de campo y otras técnicas para defenderse de otros ataques en la capa de aplicación. El envío de dichas solicitudes de manera reiterada saturará el servidor de la base de datos.

• Atacan una página de formulario. Las páginas con formularios necesitan acceder a una base de datos con cada solicitud. Los atacantes pueden causar procesamientos innecesarios en la base de datos, por ejemplo, utilizando números aleatorios, en lugar del código postal real, o enviando contraseñas enormes.

Ataques de bajo ancho de banda En muchos ataques a la capa de aplicación, los hackers aprovechan sus conocimientos de la aplicación y de cómo asaltarla. Estos ataques pueden ser mucho más eficientes que los bombardeos a la red, ya


En un ataque de alto perfil, un grupo hacktivista

usó una inyección SQL para robar información de

más de 1,6 millones de cuentas pertenecientes

a organizaciones gubernamentales, incluidos la

NASA, el FBI y el Pentágono.

VII. Newton, Casey (diciembre de 2012). GhostShell claims breach of 1.6M accounts at FBI, NASA, and more. Fuente: http://news.cnet.com/8301-1009_3-57558338-83/ghostshell-claims-breach-of-1.6m-accounts-at-fbi-nasa-and-more/

A veces, los ataques DoS se utilizan de forma conjunta con los ataques a datos, de modo que actúan como un elemento de distracción mientras el ciberdelincuente roba los datos. Dell SecureWorks Counter Threat Unit informó de que un conocido kit de herramientas DDoS llamado Dirt Jumper se estaba usando para desviar la atención de los empleados bancarios de intentos de realizar transferencias fraudulentas de hasta 2,1 millones de dólares.

Brenner, Bill (agosto de 2013), DDoS Attacks Used as a Cover for Other Crimes.

ENLACE }

Uso indebido de los carritos de la compra Un atacante podría colocar varios elementos en un carrito de la compra, abandonarlo por un tiempo y, a continuación, volver y actualizarlo, de modo que se pospondría la caducidad de la sesión y se obligaría a la base de datos a cargar de nuevo el carro. Si el atacante pone muchos productos en el carro, esto consume bastantes recursos.

Ataques de robo de datos Mientras que los ataques DoS/DDoS dejan el sitio inutilizable, los ataques de robo de datos también pueden tener una repercusión directa en los resultados de la empresa. Las organizaciones se enfrentan a una cantidad cada vez mayor de ataques diseñados para robar datos. Estos ataques suelen aprovechar las vulnerabilidades de las aplicaciones web y pueden resultar difíciles de detectar, ya que generan tráfico de aplicaciones que parece legítimo a las herramientas tradicionales de seguridad de la capa de red.

Los intentos de robo de datos son los que adoptan más a menudo la forma de ataques de inyección de comandos. Con este tipo de ataques, un pirata informático inyecta comandos en una aplicación vulnerable. A continuación, el atacante puede ejecutar estos comandos para ver los datos, eliminarlos o tomar el control del equipo. Los defectos de inyección se producen cuando la aplicación carece de un sistema de validación apropiado de los datos de entrada, lo que permite al atacante manipular la entrada e incluir datos que no son de confianza en un comando o consulta. Los tipos más comunes de ataque de inyección de comandos son las inyecciones SQL, la inclusión de archivos remotos y la inclusión de archivos locales:

https://blogs.akamai.com/2013/08/DDoS-Attacks-Used-As-Cover-For-Other-Crimes.html


Inyección SQL En los ataques por inyección SQL, los hackers aprovechan la codificación incorrecta de las aplicaciones web para inyectar comandos SQL, por ejemplo, en un formulario de inicio de sesión, lo que les permite consultar directamente los datos presentes en un sitio web. Funciones como las páginas de inicio de sesión, los formularios de soporte y solicitud de productos, los formularios de comentarios, las páginas de búsqueda y los carritos de la compra son susceptibles a los ataques con inyecciones SQL.

Inclusión de archivos remotos La inclusión de archivos remotos (RFI) es una vulnerabilidad de sitio web que permite a un atacante utilizar una secuencia de comandos para incluir un archivo remoto en el servidor web. Esto permite al pirata informático hacer cualquier cosa ejecutando código en el servidor web, desde robar datos temporales hasta controlar un servidor vulnerable.

Inclusión de archivos locales La inclusión de archivos locales (LFI) es similar a la vulnerabilidad de inclusión de archivos remotos, excepto que en vez de incluir archivos remotos, solo se pueden incluir los archivos locales, es decir, los archivos del servidor actual.

Ataques con rastreadores de cuentas Los rastreadores de cuentas constituyen otro ataque muy extendido cuyo objetivo son los datos de los clientes. Estos ataques se producen cuando los ciberdelincuentes utilizan herramientas de

ataque automatizado y secuencias de comandos, denominadas rastreadores de cuentas, para determinar combinaciones válidas de usuario y contraseña. Una vez que se ha podido entrar en la cuenta, el atacante recopila los datos personales del usuario y la información de su tarjeta de crédito para su uso en nuevos fraudes. Los atacantes ocultan sus ataques rotando por una lista de proxies abiertos. Los ataques con rastreadores de cuentas también pueden causar un estado DDoS si el atacante no configura correctamente sus herramientas. Las herramientas intentarán usar nombres de usuario y contraseñas lo más rápidamente posible y saturarán los servidores de destino.


En el tercer trimestre de 2013, el Ejército Electrónico

Sirio (SEA, por sus siglas en inglés), un grupo de

hacktivistas partidario del régimen del presidente sirio

Bashar Hafez al-Assad, reivindicó el lanzamiento de

una serie de ataques de suplantación de identidad

contra los registradores de DNS de varias empresas.

Uno de esos ataques comprometió una cuenta

administrativa de un motor de descubrimiento de

contenidos de terceros. Como parte del ataque, se

inyectó código malicioso en el contenido distribuido

a los clientes. Estos ataques permitieron al SEA

redirigir el tráfico de los dominios legítimos a los

que estaban bajo su control. Todos los visitantes

de los sitios web afectados eran redirigidos

a syrianelectronicarmy.com, una página de

propaganda del SEA.

Informe sobre el estado de Internet de Akamai correspondiente al tercer

trimestre de 2013

ENLACE }

Ataques DNS El DNS es un eslabón débil en seguridad web. Además de los ataques DDoS y de amplificación, el DNS está sujeto a amenazas que incluyen el secuestro de registros y el redireccionamiento o el envenenamiento de caché.

Secuestro de registrosEl registrador de nombres de dominio gestiona la reserva de los nombres de dominio de Internet. Los ataques de secuestro de registros usan la ingeniería social contra el personal de soporte al cliente del registrador. Si un atacante puede utilizar un ataque de suplantación de identidad que comprometa la cuenta de una organización con su registrador, obtiene el control sobre el nombre del dominio y puede dirigirlo a los servidores de su elección, incluidos nombres de servidores, servidores web, servidores de correo electrónico, etc. El dominio podría incluso transferirse a un nuevo propietario.

Redirección o envenenamiento de cachéEn los ataques de redirección de DNS, el atacante redirige las consultas de nombres DNS a servidores que están bajo su control, indicando un falso protocolo de enrutamiento para redirigir el tráfico a sus propios servidores. Alternativamente, los atacantes contaminan la caché de un servidor DNS con datos erróneos para dirigir las consultas futuras a los servidores bajo su control.



1,5 T B P S DE TRÁFICO DE RED

AKAMAI PRONOSTICA QUE, EN EL AÑO 2020, UN ATAQUE DDOS DE TAMAÑO PROMEDIO GENERARÁ


Los ataques DoS/DDoS a la capa de red y a la

capa de aplicación utilizan distintas técnicas.

Su empresa necesita defenderse de ambas.

Independientemente de la herramienta que use,

su empresa necesita adoptar un enfoque multicapa

para proteger las aplicaciones web de ataques

DoS y del robo de datos. Los mecanismos para

reducir las vulnerabilidades de las aplicaciones

le protegerán contra los ataques DoS en la capa

de aplicación y contra el robo de datos.

CAPÍTULO 2

Enfoque multicapa PARA LA PROTECCIÓN DE APLICACIONES WEB


La defensa contra los ataques DoS en la capa de red exige

un enfoque de doble vía. En primer lugar, necesita suficiente

ancho de banda de red para gestionar con facilidad un gran

volumen de tráfico. También necesita un mecanismo para

filtrar y descartar el tráfico de ataque que autorice, a la vez,

el tráfico legítimo.

Defensa contra los ataques DoS en la capa de red


Puede eliminar muchas vulnerabilidades en la capa de aplicación

si mantiene unas buenas prácticas para las aplicaciones web y usa

un ciclo de vida de desarrollo de software seguro. Por ejemplo,

debería reforzar cada aplicación mediante una configuración

segura y actualizaciones y parches puntuales. Los desarrolladores

deben tener en cuenta la seguridad en todas las fases del

desarrollo de la aplicación, desde el análisis de los requisitos hasta

la arquitectura y el diseño. También deben integrar sistemas

de seguridad en el software, como una validación de datos de

entrada suficiente, para asegurarse de que no se puede atacar

a la aplicación con técnicas de inyección de comandos. Se

deberían probar todas las configuraciones y las aplicaciones en

busca de posibles vulnerabilidades. Para obtener más información

sobre cómo garantizar el buen estado de las aplicaciones web,

consulte el Capítulo 5.

Sin embargo, la limpieza en Internet rara vez es perfecta. Tiene

Protección de aplicaciones frente a los ataques DoS y al robo de datos

sentido protegerse contra cualquier vulnerabilidad utilizando

también un firewall de aplicaciones web (WAF). El WAF puede

proporcionar parches virtuales. Es posible programar reglas

en el WAF para protegerse contra nuevas vulnerabilidades

hasta que el personal de TI pueda aplicar el parche real.

El WAF ofrece también otra línea de defensa contra las

amenazas a los datos (como los ataques de inyección SQL que

aprovechan las vulnerabilidades en la capa de aplicación) y los

ataques DoS en la capa de aplicación (como la manipulación

de sesiones de tipo Slowloris). Por supuesto, un WAF puede

verse tan saturado por un ataque DoS como cualquier otro

dispositivo. Esto significa que el WAF también necesita

capacidad para defenderse de los ataques DoS y protección

arquitectónica para blindarse frente a ataques de fuerza bruta.

Para obtener más información sobre lo que debe buscar en un

WAF, consulte el Capítulo 4.


Las soluciones de seguridad no son de talla única.

Es importante que conozca sus activos y sus riesgos

a fin de encontrar la solución adecuada para su empresa.

Hay soluciones comerciales que pueden ayudarle con los

diversos aspectos de seguridad de las aplicaciones web

y que se describen en el Capítulo 2 de esta guía. Entre

ellos, se incluyen el hardware en las instalaciones y los

servicios basados en la nube.

CAPÍTULO 3

Explore SUS OPCIONES


La seguridad de la mayoría de las organizaciones depende de hardware ubicado en las instalaciones de los centros de datos, como los firewalls de red, la mitigación de DDoS y un WAF. La instalación y la puesta en marcha de estos dispositivos en las instalaciones requieren grandes gastos de capital inicial con un ciclo de vida y una depreciación típicos del hardware de dos a tres años. Con la actual escasez de mano de obra cualificada, contratar expertos con las habilidades adecuadas para utilizar correctamente este hardware y mitigar estos ataques puede ser caro y difícil.

La defensa contra ataques en el nivel de aplicación puede necesitar recursos de forma intensiva. Los WAF requieren grandes cantidades de recursos informáticos y de procesamiento, lo que puede reducir el rendimiento.

La mayoría de los dispositivos representan un punto único de fallo; no pueden absorber los ataques DDoS sin fallar. Además, el hardware in situ, por definición, solo intenta detener un ataque DDoS una vez que ya ha entrado en el centro de datos. Esto presenta un único punto de fallo frente a una de las amenazas

de seguridad más frecuentes. Además, si su organización no cuenta con una conexión a Internet lo suficientemente grande, el ataque saturará el ancho de banda disponible y ocasionará una interrupción en todo el centro de datos. Por otra parte, un ataque puede anular otras infraestructuras del centro de datos, como enrutadores, firewalls de red o equilibradores de carga. Aún cuando las soluciones defienden frente a los ataques, los ataques que consumen un gran ancho de banda pueden degradar el rendimiento de los usuarios legítimos. A medida que la escala de los ataques de DDoS crece, las organizaciones tendrán que seguir abasteciendo más ancho de banda para garantizar una escalabilidad suficiente. Si se tienen varios centros de datos, los costes pueden aumentar exponencialmente.

Hardware en las instalaciones


Los servicios basados en la nube se encuentran fuera del centro de datos de la compañía con el fin de proteger el tráfico antes de que alcance la infraestructura de la empresa. Hay dos tipos principales de servicios frente a ataques Dos/DDoS basados en la nube: aquellos que dirigen el tráfico sospechoso a una ubicación centralizada donde se filtra el tráfico malicioso y los servicios de protección de sitios web que utilizan las redes de entrega de contenido (CDN) para absorber e inspeccionar el tráfico malicioso a través de una red distribuida de servidores para blindar los sitios web y las aplicaciones de la empresa.

Proveedores de mitigación de DDoSLos proveedores de mitigación de DDoS ponen en marcha "centros de barrido" que utilizan una combinación de equipos, normas técnicas e intervención humana directa para ofrecer protección frente a ataques DoS/DDoS. Estos centros de datos privados están equipados con un alto ancho de banda para procesar inundaciones de entrada y mantener los sitios disponibles.

Estas empresas proporcionan algunas de las protecciones más completas contra ataques de DoS/DDoS, ya que se ocupan de todos los tipos de ataques, desde inundaciones simples hasta

los que se aprovechan de los protocolos HTTP/S, FTP y otras aplicaciones no web.

Estos servicios funcionan de forma "siempre activa" o "a la carta".

• Servicios siempre activos: supervisan continuamente su tráfico en busca de actividades sospechosas que indiquen un ataque. La mitigación siempre activa es como un amortiguador que protege al cliente del primer golpe en su red cuando recibe un ataque de DDoS y, en consecuencia, proporciona una mayor protección frente al costoso tiempo de inactividad del sitio.

• Opciones a la carta: ofrecen un mejor rendimiento y son más asequibles. Al usar los protocolos de enrutamiento IP estándar, resulta fácil interceptar el tráfico entrante e inspeccionarlo en busca de anomalías con servicios de mitigación fuera de banda. El tráfico saliente no se inspecciona, sino que se le permite tomar su ruta habitual. El tráfico legítimo se identifica y se reenvía, mientras que el tráfico de ataques maliciosos se elimina o se "barre".

Servicios basados en la nube


Ambos tipos de servicios plantean posibles problemas que hay que tener en cuenta. Los servicios siempre activos del centro de operaciones de seguridad (SOC) son más caros y la inspección constante del tráfico degrada aún más rendimiento del sitio. Cuando se utiliza una solución a la carta, su empresa debe determinar cuándo es el momento de activar el servicio y ponerse en contacto con el proveedor para activarlo. Las soluciones a la carta tampoco son capaces de detectar los ataques que se producen a lo largo del tiempo, como las inyecciones SQL. Esto deja a las organizaciones expuestas a ataques de robo de datos o al deterioro de la imagen de la marca.

Servicios de protección del sitio web Los proveedores de servicios de protección de sitios web usan redes CDN para proporcionar seguridad en la capa de aplicación y de red en sitios web y aplicaciones. Como un proxy en la nube, estas redes se asientan en su infraestructura de TI y distribuyen el tráfico de sus usuarios finales a sus sitios web y aplicaciones. La plataforma en la nube analiza el tráfico de red en busca de patrones de ataque conocidos y solo deja pasar a la aplicación web el tráfico legítimo.

Estas soluciones funcionan en línea, por lo que su organización está protegida en todo momento, sin ninguna interacción humana. Pueden mitigar los ataques nuevos e inauditos. Algunos

servicios incluyen tecnología WAF y protegen contra ataques a aplicaciones, como las inyecciones SQL.

Las redes CDN, por su propia naturaleza, se construyen con una arquitectura distribuida, es decir, que están compuestas por servidores ubicados en todo el mundo. Para que un ataque DoS tenga éxito, debe dirigirse a todos los servidores y saturarlos simultáneamente. Las redes CDN se crean específicamente para administrar grandes volúmenes de tráfico, lo que dificulta la tarea de los atacantes. Al mismo tiempo, estas soluciones ofrecen servicios de aceleración para reducir el impacto en el rendimiento y mejorar simultáneamente el rendimiento de extremo a extremo de la aplicación web.

Un posible problema de las redes CDN es que algunas de estas soluciones provienen de proveedores pequeños, que no tienen la infraestructura necesaria para una protección global, o una protección contra ataques DDoS de gran magnitud. En los últimos años, varios proveedores han sufrido interrupciones importantes del servicio, y sus clientes se han visto afectados por grandes ataques DDoS dirigidos a otros clientes. Un servicio de atención al cliente limitado (o inexistente) también puede obligar a los clientes a gestionar sus propias respuestas a los ataques. Además, algunas redes CDN no incluyen tecnología WAF, y puede que otras que sí la incluyen no proporcionen suficiente protección frente a los distintos ataques a la capa de aplicación.


Cómo elegir UNA SOLUCIÓN

CAPÍTULO 4

Cada empresa es distinta. Necesita encontrar

la solución adecuada para la suya. Esta sección es

una guía para ayudarle a formular las preguntas

adecuadas para que pueda tomar las decisiones

correctas para su organización.


IDG Research concluyó que una

empresa tarda un promedio de diez

horas en comenzar a resolver un

ataque DDoS. De media, un ataque

DDoS no se detecta hasta 4,5 horas

después de su inicio, y pueden pasar

otras 4,9 horas antes de iniciar

la mitigación. Con unos costes

por interrupción del servicio que

suponen un promedio de 100 000 $

por hora, un ataque DDoS puede

costar a una empresa dependiente

de Internet 1 millón de dólares antes

de que comience a mitigar el ataque.

Fuente: http://www.infosecurity-magazine.com/view/35238/a-ddos-attack-could-cost-1-million-before-mitigation-even-starts

ENLACE }

La defensa contra los ataques DoS volumétricos que ocurren en la capa de red requiere una arquitectura de red flexible que pueda absorber grandes ráfagas de tráfico y que filtre todo el tráfico de manera que solo se permita el tráfico web en la red. Es necesario tener en cuenta los siguientes aspectos clave:

¿Ofrece una protección positiva?Muchos ataques DDoS en la capa de red pueden detenerse permitiendo solo el tráfico HTTP legítimo en la red (p. ej., el puerto 80 [HTTP] o el puerto 443 [HTTPS]). La solución debería eliminar todo el tráfico ajeno a las aplicaciones, como el exceso de paquetes SYN de TCP o las inundaciones de paquetes ICMP o UDP sin cargas de aplicaciones.

¿La solución absorbe todo el tráfico de ataque?No todos los ataques se dirigen contra aplicaciones web o servicios. Algunos intentarán infiltrarse a través del FTP o de puertos no web. Para obtener una protección integral, busque una solución que pueda evaluar todo su tráfico.

¿La solución está siempre activa?Los controles de seguridad solo protegen su sitio web o aplicación si están activos y en ejecución. Es necesario determinar el nivel de disponibilidad que promete la solución y la forma de distribución. ¿Es necesario adquirir varias versiones redundantes de un control de seguridad para garantizar la disponibilidad? ¿El proveedor de la solución garantiza la disponibilidad con un acuerdo de nivel de servicio?

Protección contra ataques DoS y DDoS en la capa de red

http://www.infosecurity-magazine.com/view/35238/a-ddos-attack-could-cost-1-million-before-mitigation-even-starts


¿La solución ofrece un ancho de banda escalable para administrar el volumen del ataque?Un ataque DDoS común y corriente podría producir la cantidad de tráfico que un sitio recibe, por lo general, en el transcurso de dos años. Para mantener el sitio web disponible, la solución necesita gestionar todo el tráfico. Si bien es posible que no pueda adquirir capacidad suficiente por su cuenta, porque no se utilizará la mayoría del tiempo, muchos proveedores de servicios en la nube le dan acceso al ancho de banda adicional que requiera para absorber un ataque cuando lo necesite. Pregunte al proveedor los flujos máximos que puede soportar.

¿La solución frustra ataques DDoS económicos limitando las tarifas de los picos de tráfico?Cuando los proveedores de servicios en la nube proporcionan un ancho de banda adicional a fin de frustrar un ataque DDoS, a menudo cobran una tarifa por todo el tráfico adicional. Por lo tanto, incluso si su

proveedor de servicios en la nube es capaz de proteger su sitio web, quizás usted no pueda permitirse el coste asociado. Busque un proveedor de servicios que limite las tarifas del servicio.

¿La solución detiene los ataques antes de que lleguen a su centro de datos?Tenga en cuenta las posibles consecuencias de un ataque en todo el centro de datos. Las soluciones en la nube están diseñadas para detener un ataque antes de que llegue a su centro de datos. Esto significa que no tiene que preocuparse por que los ataques DDoS afecten a su centro de datos. En contraposición, los dispositivos in situ le protegen una vez que el ataque llega al dispositivo, lo que significa que el ataque invadirá el centro de datos. Si dispone de alguna solución en sus instalaciones, tendrá que proporcionar suficientes recursos en toda la infraestructura del centro de datos (ancho de banda de la red, enrutadores y firewalls) para resistir un ataque.

Los ataques DDoS se han convertido

en una de las causas más comunes

de las interrupciones en los centros

de datos, que generan un 18 %

de los cortes experimentados en

los 67 centros de datos de Estados

Unidos que participaron en un

estudio realizado por Ponemon

Institute en diciembre de 2013.

Cuando Ponemon sondeó por

primera vez en 2010 los centros

de datos, solo el 2 % de las

interrupciones del servicio se

debían a ataques DDoS.

Fuente: http://www.networkcomputing.com/next-generation-data-center/news/servers/ddos-attacks-wreak-havoc-on-data-centers/240164503

ENLACE }

http://www.networkcomputing.com/next-generation-data-center/news/servers/ddos-attacks-wreak-havoc-on-data-centers/240164503


¿La solución repercute en el rendimiento?Las aplicaciones de comercio electrónico y streaming multimedia exigen un rendimiento excelente. Sin embargo, muchos controles de seguridad requieren un equilibrio entre la seguridad y el rendimiento. Por ejemplo, un firewall de aplicaciones web analiza todo el tráfico de aplicaciones desde cada uno de los usuarios hasta la aplicación. Cuanto más tráfico y más tipos de ataques haya, más reglas y hardware necesitará para procesar los paquetes sin que el rendimiento se vea afectado. Para mantener un buen rendimiento, busque una solución diseñada para garantizar tanto el rendimiento como la seguridad.

¿Es una solución en línea?Las soluciones en línea funcionan de forma continua para vigilar y proteger contra los ataques, independientemente de si usted es consciente de los ataques o no. Sin embargo, para reducir el impacto de los controles de seguridad en el

rendimiento, algunas organizaciones eligen una solución fuera de banda que solo entra en acción cuando usted se percata de que hay un ataque en curso. Estas soluciones fuera de banda no evitan proactivamente que los ataques afecten a sus sistemas. Además, como no siempre están disponibles, también fallan en la protección contra los ataques menos evidentes, como los de código malicioso que se inserta en los sistemas para robar datos.

¿Cuál es el coste total de propiedad?Muchos directores de seguridad miran el precio de una solución, pero no el coste total de propiedad. A la hora de determinar el coste total de propiedad, tenga en cuenta el coste del dispositivo, de los sistemas redundantes para garantizar la disponibilidad y de la gestión de la solución. Piense también en los gastos que supone un robo de datos en comparación con la eficacia de la solución al ofrecer protección contra ataques.

La firma británica de consultoría OVUM publicó recientemente un documento técnico titulado "Delivering Effective DDoS Protection" (Cómo ofrecer una protección eficaz contra los ataques DDoS). El autor, Andrew Kellett, analista principal de seguridad, observó que no todas las soluciones de seguridad son capaces de proporcionar el nivel necesario de protección frente a ataques DDoS. Andrew Kellett recomienda a las organizaciones que evalúen sus proveedores de mitigación de DDoS mediante 10 criterios empresariales:

1. Grado de experiencia 2. Disposición de la capacidad de red de

mitigación especializada 3. Capacidad probada y recursos mundiales

para mitigar los ataques de mayor calibre y más complejos de Internet

4. Innovación en tecnologías de mitigación de DDoS

5. Experiencia del personal en primera línea de batalla contra ataques DDoS

6. Garantías respecto a la velocidad de mitigación y el acuerdo de nivel de servicio (SLA)

7. Mitigación en la capa de SSL 8. Flexibilidad en la prestación de servicios 9. Inteligencia ante amenazas 10. Visibilidad de la red en tiempo real


Protección contra ataques en la capa de aplicación

Los ataques a la capa de aplicación requieren un enfoque más sutil que el de la defensa frente a los ataques a la capa de red. Muchos de los ataques a la capa de aplicación, tanto si son ataques DoS o tentativas de robo de datos, se basan en el tráfico legítimo. Por ejemplo, tanto los ataques DDoS a la capa de aplicación como las transacciones legítimas comienzan con una simple solicitud.

La mayoría de las organizaciones corrigen estos ataques de una de estas dos maneras:

1. Sellan las vulnerabilidades en las aplicaciones siguiendo un ciclo de vida de desarrollo de software seguro y unas buenas prácticas de limpieza de Internet, como se explica en el Capítulo 5.

2. Protegen las aplicaciones del front-end con un WAF.

¿Nuestra recomendación? Las dos.

Por supuesto, un WAF puede recibir un

ataque y saturarse, al igual que cualquier otro componente de red, por lo que necesita todas las soluciones y protecciones arquitectónicas frente a ataques DoS indicadas en la sección anterior.

Debe familiarizarse con las funciones y características de su WAF (ya sea un dispositivo interno o un servicio administrado por su ISP) y con la forma en que se comporta frente a diferentes tipos de vectores de ataque. También debe saber de qué modo repercutirá en el rendimiento de la red cuando utilice una inspección con estado, como las cookies SYN, en comparación con el bloqueo sin estado de su firewall in situ.

Tenga en cuenta que un firewall ofrecerá generalmente una protección limitada contra inundaciones UDP e ICMP, y ninguna protección frente a una inundación SYN de 2 o 3 Gbps o ataques a la capa de aplicación. Además, los firewalls proporcionan poca o ninguna protección frente a los ataques de baja

velocidad en la capa de aplicación que implican solicitudes de HTTP y HTTPS a través del firewall. Asimismo, la protección que brinda un firewall ISP basado en la nube tiene un límite. No todos los tipos de firewall ISP pueden gestionar todos los tipos de ataque DDoS, y ciertas listas de control de acceso (ACL) pueden fallar, sobre todo si se despliegan en un pequeño número de dispositivos cerca de su servidor.

Si tiene un firewall en sus instalaciones o usa ACL en la capa de ISP, la gestión de los firewalls como parte de una estrategia de defensa DDoS interna es un proceso complicado que requiere realizar muchos cambios de reglas complejas durante un ataque DDoS. Si traslada todos estos complejos procesos a un servicio de mitigación de DDoS basado en la nube, puede olvidarse de los largos procesos de reconfiguración del firewall e interrelación con su proveedor de servicios de Internet durante un ataque DDoS.


1. ¿Qué grado de flexibilidad y exhaustividad presentan las reglas del WAF?Los WAF analizan en profundidad los paquetes de solicitudes y respuestas HTTP/S, y su carga útil, para identificar ataques como las inyecciones SQL, RFI, etc. y blindarse frente a ellos. Las normas del WAF examinan los formatos de las solicitudes y las direcciones, y determinan si coinciden con ciertos patrones que se reconocen en un ataque. Si identifica estos patrones, el WAF los marca o los bloquea. Busque un WAF que ofrezca los siguientes tipos de reglas:

}Reglas que identifican problemas conocidosMuchos de los ataques llevan produciéndose desde hace mucho tiempo y están bien definidos, como es el caso de las inyecciones SQL o las solicitudes que provienen de herramientas automatizadas que no utilizan navegadores. La mayoría de las soluciones cuentan con normas para los ataques más establecidos.

}Reglas para los ataques emergentesLos ataques evolucionan constantemente. Ninguna empresa con un sitio web puede ver todos los ataques y desarrollar reglas para defenderse de todos estos ataques emergentes. Sin embargo, algunos proveedores de servicios en la nube ven importantes cantidades de tráfico y, por lo tanto, pueden detectar nuevos tipos de ataques en cuanto aparecen, crear nuevas reglas para diagnosticarlos y ponerlas a disposición de todos sus clientes en todo el mundo.

}Reglas personalizadas y parches virtualesLas organizaciones siempre deben instalar las versiones y los parches nuevos de su software. Sin embargo, estos parches deben probarse antes de instalarse, lo que puede llevar mucho tiempo. Una solución que le permita crear reglas personalizadas puede servir de "parche virtual" que impida que los atacantes aprovechen una determinada vulnerabilidad hasta que pueda poner el parche en su lugar.

}Reglas de WAF para reconocimiento de la situaciónEn algunos casos, no querrá bloquear necesariamente una determinada actividad, pero puede ser sospechosa y requerir una mayor investigación cuando se combina con otras acciones. Es posible que desee crear reglas que le alerten acerca de estos casos. Supongamos que sabemos que una determinada aplicación de comercio electrónico tiene una vulnerabilidad en basket.php. Mientras que una búsqueda de Google normal no levantará sospechas, puede interesarle si una búsqueda web dirige a "nurl:basketphp" porque la búsqueda podría indicar que un atacante está buscando aprovecharse de la vulnerabilidad de basket.php. Debe ser capaz de configurar el firewall para permitir el paso a quien haya realizado una búsqueda inocua en Google, pero bloquear a quien haya buscado "nurl:basket.php".

Entre los aspectos que hay que tener en cuenta al seleccionar un WAF, se incluyen los siguientes:


2. ¿Qué tipos de controles en la capa de red ofrece el WAF? ¿Proporciona el WAF controles en la capa de red para permitir o restringir las solicitudes de determinadas direcciones IP y proteger al servidor de origen de ataques a la capa de aplicación? Busque un WAF que ofrezca los siguientes tipos de controles:

}Listas negrasUn modelo de seguridad negativo que apuesta por "aceptar todo, salvo lo que se deniega explícitamente". ¿El WAF le permite definir una lista de direcciones IP que se deben bloquear?

}Listas blancasUn modelo de seguridad positivo que apuesta por "denegar todo, salvo aquello en lo que se confíe explícitamente". ¿El WAF admite la posibilidad de definir una lista de direcciones IP o rangos de direcciones IP para autorizar?

}Bloqueo geográficoEl bloqueo geográfico filtra el tráfico procedente de puntos geográficos específicos para mitigar los ataques localizados de DDoS. Cuando se identifican ciertas direcciones IP,

se puede bloquear o restringir el tráfico de dichas direcciones antes de que llegue a la aplicación. ¿El WAF admite el bloqueo geográfico?

3. ¿El WAF proporciona controles de comportamiento?La mayoría de sistemas WAF bloquean el tráfico en función de determinadas firmas o reglas. No obstante, las reglas de un WAF basado en el comportamiento analizan y responden al comportamiento de un solicitante, una dirección IP o un usuario en el presente y a lo largo del tiempo. Por ejemplo, puede escribir una regla basada en el comportamiento para ver cuántas solicitudes realiza un usuario en un periodo de tiempo determinado y bloquear a los usuarios que realizan más de un número determinado de solicitudes durante ese tiempo. También se puede bloquear a los usuarios que realizan más de un número determinado de solicitudes que tengan como resultado una página con el mensaje de error 404 de "página no encontrada".

4. ¿Ofrece ocultación de origen?Una puerta trasera a un servidor web aparece cuando alguien sabe su dirección IP y la introduce directamente. Una solución

que ofrece "ocultación de origen" protege el sitio web o el servidor de aplicaciones desde Internet, de manera que se impide que los usuarios puedan conectarse directamente. En su lugar, el proveedor de servicios solo permitirá al origen conectarse directamente a los servidores de la propia red del proveedor. Las ACL del WAF del cliente determinan los servidores que están autorizados para enviar tráfico al origen.


Para hacer frente a los ataques DDoS contra servidores DNS y a los ataques de reflejo y amplificación de DNS, puede utilizar los mismos controles de seguridad que sirven para mitigar cualquier otro ataque DDoS basado en red. No obstante, tratar con el envenenamiento de caché y el secuestro de registros requiere dos funciones adicionales:

¿La solución es compatible con la seguridad de DNS?Los autores de ataques de redireccionamiento o envenenamiento de caché pueden secuestrar cualquier paso del proceso de búsqueda del DNS y tomar el control de una sesión, por ejemplo, para dirigir a los usuarios a sus propios sitios web engañosos y hacerse con sus cuentas y contraseñas. La solución es la implementación integral de las extensiones de seguridad DNS (DNSSEC). Las DNSSEC sirven para firmar digitalmente los datos a fin de garantizar

su validez, y se distribuyen en cada paso del proceso de búsqueda para asegurarse de que el usuario final se conecte a la página web o servicio que corresponde a un nombre de dominio en particular. Para aprovechar las ventajas de las DNSSEC, necesita un sistema de gestión de claves internas o un proveedor de servicios que ofrezca la gestión de claves y que pueda dar servicio al tráfico de las DNSSEC.

¿El proveedor de servicios usa un registrador de confianza?Muchos registradores no tienen procesos empresariales infalibles para protegerse contra los ataques de suplantación de identidad que se producen en un sitio que se está trasladando en el registro. Busque un proveedor de seguridad de aplicaciones web basado en la nube que ofrezca sus propios servicios de registro con estrictos controles para evitar ataques de ingeniería social.

Para obtener más información sobre los sistemas WAF:

1. "Nubificación" de ataques DDoS web: https://blogs.akamai.com/2014/04/cloudification-of-web-ddos-attacks.html/

2. Qué aspecto tiene un ataque web según el equipo de servicios profesionales de Akamai: https://blogs.akamai.com/2014/03/what-a-web-attack-looks-like-to-akamais-professional-services-team-lessons-from-the-defense-of-a-rec.html/

3. Lista de verificación de ataques DDoS: https://blogs.akamai.com/2014/03/a-ddos-checklist.html/

Protección contra ataques DNS

https://blogs.akamai.com/2014/%2003/what-a-web-attack-looks-like-to-akamais-professional-services-team-lessons-from-the-defense-of%20-a-rec.html/












https://blogs.akamai.com/2014/03/a-ddos-%20checklist.html/





CAPÍTULO 5

No hay ninguna solución capaz de resolver todos los

problemas de seguridad. Necesitará adoptar un enfoque

multicapa. Las mejores soluciones de seguridad de Internet

combinan soluciones de terceros con medidas internas para

minimizar las vulnerabilidades en los sitios web y en las

aplicaciones.

LIMPIEZA DE INTERNET: Vulnerabilidades de las aplicaciones web comunes y cómo tratarlas


El primer paso para corregir las vulnerabilidades de las aplicaciones web es comprender de dónde provienen y cuáles es más probable que afecten a sus sistemas. Las vulnerabilidades se pueden encontrar tanto en aplicaciones personalizadas (desarrolladas internamente) como en software de terceros.Vulnerabilidades en aplicaciones personalizadasLas organizaciones que programan sus propias aplicaciones están sujetas a vulnerabilidades de diseño o de ejecución inseguros. Se hace referencia a estas vulnerabilidades como desconocidas o específicas de la aplicación porque son desconocidas para los ciberdelincuentes antes de que interactúen con la aplicación.Vulnerabilidades en el software de tercerosAunque los piratas informáticos podrían buscar vulnerabilidades en el software personalizado, es mucho más fácil atacar las vulnerabilidades del software de terceros. La mayoría de las aplicaciones web utilizan software estándar como, por ejemplo,

plugins, software para foros web o software para blogs, que presenta vulnerabilidades. Los investigadores de seguridad descubren las debilidades de estos conocidos productos, notifican al proveedor y, a continuación, hacen público un informe sobre el problema.

Cualquier persona, incluidos los piratas informáticos, pueden tener acceso a estas publicaciones. Los ciberdelincuentes toman nota de estos problemas conocidos y rastrean Internet en busca de máquinas que los presenten, en especial vulnerabilidades a inyección SQL, inclusión de archivos remotos e inclusión de archivos locales. Dado que los administradores y los propietarios de los sitios web suelen tardar un tiempo en reparar sus sitios, los atacantes siempre pueden encontrar máquinas vulnerables.

Recientemente, los piratas informáticos han descubierto que tiene más sentido controlar los servidores web (en lugar de las máquinas de usuario) porque poseen un mayor ancho de banda y pueden usarse para generar volúmenes de ataque mucho mayores.

OWASP (proyecto abierto de seguridad de aplicaciones web) es una comunidad abierta dedicada a ayudar a las organizaciones a desarrollar, adquirir y mantener aplicaciones de confianza. La lista Top 10 de OWASP identifica los riesgos más graves a los que se enfrentan las organizaciones hoy en día.

1. Inyección

2. Autenticación y gestión de sesiones comprometidas

3. Secuencias de comandos en sitios cruzados (XSS)

4. Referencias directas e inseguras a objetos

5. Configuración de seguridad incorrecta

6. Exposición de datos confidenciales

7. Falta de control de acceso a las funciones

8. Falsificación de solicitudes entre sitios (CSRF)

9. Uso de componentes vulnerables conocidos

10. Redirecciones y reenvíos sin validar

¿Cuáles son las vulnerabilidades más frecuentes?


Para minimizar las vulnerabilidades en sus aplicaciones web, es importante mejorar la limpieza en Internet. Esto implica seguir las prácticas recomendadas para diseñar, implementar, configurar, probar y mantener la aplicación:

Mantenga el software actualizado e instale los parches más recientesNingún código es perfecto. Tarde o temprano los defectos saldrán a la luz. De estos defectos, los más graves son los problemas de seguridad. La primera línea de defensa contra los ataques de software malicioso es disponer de la versión más actualizada del software del servidor web y del servidor de aplicaciones, e instalar los parches de seguridad lo más rápidamente posible.

Los plugins y los complementos (como los de WordPress) pueden ser especialmente vulnerables, ya que a menudo los desarrollan programadores inexpertos o provienen de fuentes que no siempre siguen las directrices de codificación. Utilice solo los plugins que necesite y asegúrese de que están al día.

Defina configuraciones seguras Las configuraciones de seguridad incorrectas se pueden dar en cualquier nivel de la pila de aplicaciones, incluida la plataforma, el servidor web, el servidor de aplicaciones, la base de datos y el código personalizado. Los desarrolladores y los administradores de sistemas necesitan trabajar juntos para garantizar que toda la pila esté correctamente configurada.

Elementos que hay que tener en cuenta para una configuración segura:• Uso del cifrado de datos (tanto en tránsito

como en el servidor)• Eliminación de cuentas innecesarias• Desactivación o eliminación de los servicios

innecesarios• Aplicación del principio de mínimo

privilegio Es fácil configurar de forma incorrecta un servidor web y permitir que los usuarios maliciosos lleguen a lugares a los que no desea que lleguen: páginas de administración, listados de directorios, cosas que los usuarios normales no deberían ver y que permiten a los piratas informáticos

desplegar ataques más graves. Un sistema bien configurado solo permitirá a los usuarios acceder a lo que sea absolutamente necesario.

Desarrollar una configuración estándar y un proceso de refuerzo repetible acelerará y facilitará la implementación de los sistemas y asegurará que estén correctamente protegidos. Los entornos de desarrollo, control de calidad y producción deben configurarse de manera idéntica mediante un proceso automatizado que minimice el esfuerzo necesario para definir un nuevo entorno de seguridad. Analice y audite el sistema periódicamente para detectar errores de configuración.Programe un código seguroTenga en cuenta la seguridad, tanto al desarrollar software desde cero como al programar complementos para el software existente. Encontrar y corregir problemas de seguridad en las primeras etapas del ciclo de desarrollo resulta menos costoso que reparar el código una vez que la aplicación está en producción.

Cómo corregir las vulnerabilidades de las aplicaciones web más comunes


Requisitos

Despliegue Diseño

Pruebas Codificación

Puede evitar la mayoría de los fallos y las debilidades implementando los sistemas de seguridad, meticulosa y sistemáticamente, durante las fases de análisis de los requisitos de la aplicación, arquitectura y diseño. Por ejemplo, piense en las amenazas con anticipación para identificar las páginas con más lógica y, por tanto, con tiempos de carga más largos, que podrían necesitar defensas de DoS adicionales. Asegúrese de que formar a las personas que distribuyen las aplicaciones web para establecer medidas de seguridad en el ciclo de vida de desarrollo de software (SDLC) y poner en marcha procesos que marquen las pautas de su trabajo.Entre las protecciones más eficaces para incluir en el software, implemente los siguientes elementos: • Validación de entrada. La mayoría de

las vulnerabilidades se deben a la ausencia de un sistema adecuado de validación y saneamiento de los datos que introduce el usuario. No confíe jamás en las entradas de los usuarios. En su lugar, incluya validaciones de entrada en los campos de formulario para mitigar los desbordamientos de búfer, las inyecciones de código y otros ataques que pueden romper la lógica de la aplicación.

• Cifrado. Cifre los datos, tanto si se encuentran en tránsito como en el centro de datos, con los últimos estándares de cifrado del sector.

Un ciclo de vida de desarrollo de software seguro

Fuente: http://resources.infosecinstitute.com/intro-secure-software-development-life-cycle/

Para asegurarse de que sus

aplicaciones son seguras, es

mucho más sencillo integrar

la seguridad desde el principio.

Tenga en cuenta la seguridad

a lo largo de cada fase del

ciclo de vida del desarrollo de

software, que se muestra aquí.


Analice el código y los pluginsNo importa el cuidado que ponga al diseñar y desarrollar una aplicación; siempre habrá puntos débiles en el código. A menudo, estos no son evidentes, y muchos se propagan cuando los desarrolladores incorporan fragmentos del código existente en distintas aplicaciones. El análisis de vulnerabilidades ofrece una manera de encontrar puertas traseras a la aplicación, código malicioso y otras amenazas que puedan existir en software adquirido y en las aplicaciones desarrolladas internamente.

Dos tipos de análisis de vulnerabilidades disponibles son las pruebas estáticas y las pruebas dinámicas.

• Pruebas estáticas: las pruebas estáticas exploran el código fuente de la aplicación y le indican en qué punto es la aplicación vulnerable a entradas malintencionadas como las inyecciones SQL. Las pruebas estáticas se centran en cada una de las líneas de código e identifican la ubicación exacta de cualquier debilidad. Las herramientas automatizadas pueden proporcionar recomendaciones para su

mitigación, de manera que se reduce el tiempo de investigación. Sin embargo, los resultados son muy teóricos y tienden a contener falsos negativos y falsos positivos. En otras palabras, obtendrá una larga lista de vulnerabilidades que los hackers probablemente no detectarán, y también es probable que las herramientas pasen por alto algunas vulnerabilidades.

• Pruebas dinámicas: las pruebas dinámicas identifican vulnerabilidades en el entorno de ejecución imitando el comportamiento de un pirata informático. Estos analizadores recorren los sitios web, rellenan formularios, envían solicitudes y analizan la estructura de la aplicación. A continuación, empiezan a bombardear la aplicación con entradas malintencionadas tratando de encontrar vulnerabilidades. La ventaja es que este tipo de pruebas encuentra vulnerabilidades reales e identifica aquellas que puedan haber pasado por alto las herramientas estáticas. El inconveniente es que presentan limitaciones. Las aplicaciones web son muy complejas, y a los analizadores les resulta difícil atravesar toda la aplicación, de modo

que obtiene menos cobertura de la que consigue con pruebas estáticas.

La mejor solución para encontrar la mayoría, si no todas, las vulnerabilidades es el uso de una combinación de ambos tipos de análisis. Algunos proveedores de análisis ofrecen ambas funciones en la misma solución.

Instale un WAFLa instalación de un WAF le otorga más tiempo para corregir vulnerabilidades. Puede utilizar un WAF para reparar virtualmente la aplicación mediante el desarrollo de una regla para bloquear la nueva vulnerabilidad hasta que encuentre una solución permanente.

Cuando implemente un WAF, asegúrese de comprobar, supervisar y actualizar la configuración predeterminada con reglas adaptadas a su entorno de aplicaciones específico. Recuerde que no hay ninguna herramienta de seguridad que pueda "instalar y olividarse". Las mejores prácticas exigen que se revisen y actualicen sus reglas como mínimo cada trimestre o, de forma óptima, una vez al mes.


Analice la precisión del WAFAsegúrese de analizar la precisión del WAF. Evalúe el WAF en cuanto a su capacidad para bloquear ataques y permitir el paso del tráfico válido determinando:

• Cuántos ataques reales ha bloqueado (positivos auténticos)

• Cuántas solicitudes válidas ha dejado pasar (negativos auténticos)

• Cuánto tráfico válido ha bloqueado de forma inadecuada (falsos positivos)

• Cuántos ataques ha dejado pasar (falsos negativos)

• Obtenga información sobre el coeficiente de correlación de Matthews y cómo se aplica en su WAF (http://en.wikipedia.org/wiki/Matthews_correlation_coefficient).

Busque (o cree) una solución de pruebas de WAF para evaluar la precisión de su implementación. La herramienta debe enviar tráfico válido y ataques reales, además de permitirle agregar fácilmente casos de prueba, tanto de tráfico válido como de ataques. Debe recopilar estadísticas con precisión y proporcionar mucha información acerca de cada una de las pruebas, incluidas la solicitud completa, la respuesta, el comportamiento esperado y la naturaleza de la solicitud. También debe proporcionar funciones de generación de informes.

http://en.wikipedia.org/wiki/Matthews_correlation_coefficient





A medida que se sigan trasladando datos y servicios a Internet, ya no se podrá confiar en una protección del perímetro para mantener la seguridad de los sistemas y los datos. Necesita soluciones diseñadas específicamente para solucionar las amenazas a la seguridad de Internet, especialmente los ataques DoS/DDoS en las capas de red y de aplicación, y los intentos de robo de datos.

En este documento electrónico se han descrito los tipos de amenazas que acosan a los

recursos de Internet, los elementos necesarios de una solución y las opciones que tiene

a su disposición. Elija la solución que elija, aproveche las ventajas que ofrece un enfoque

multicapa que proporcione suficiente ancho de banda en la capa de red y que autorice

solo el tráfico HTTP en la red. En la capa de aplicación, siga unos procesos de desarrollo

seguros y unas buenas prácticas de limpieza de Internet, además de implementar un WAF

exhaustivo para “aplastar cualquier ataque que pueda infiltrarse por las grietas”. Si pone

en práctica un amplio conjunto de controles de seguridad, su organización podrá reducir

al mínimo los riesgos de mantener su presencia en Internet.

Para obtener la información más actualizada sobre el panorama de ataques DDoS, descargue el informe de ataques trimestral más reciente aquí Para obtener más información sobre el panorama de seguridad general e Internet, descargue el informe de Akamai sobre el estado de Internet

CONCLUSIÓN

http://www.prolexic.com/knowledge-center-dos-and-ddos-attack-reports.html%20



Comience ahora su plan de seguridad de aplicaciones web:

Siga estos 5 pasos para mejorar la seguridad de sus aplicaciones web:

1. Evalúe los riesgos de seguridad que pueden tener mayor repercusión en sus sitios y aplicaciones web.

2. Elabore un inventario de los controles de seguridad existentes y analice los controles de seguridad adicionales necesarios para mitigar sus riesgos.

3. Evalúe las vulnerabilidades de las aplicaciones web y siga las mejores prácticas de limpieza de Internet para corregirlas.

4. Investigue sus opciones.

5. Implemente su solución multicapa.

El panorama de la seguridad cibernética está en constante evolución. Akamai seguirá liderando las tendencias del mercado y le mantendrá informado de las nuevas corrientes.

Para estar al día en el sector de la seguridad, VISITE NUESTRO BLOG } http://blogs.akamai.com.

Además, si desea hablar con un representante de Akamai LLAME AL 1.877.425.2624 o

PÓNGASE EN CONTACTO CON NUESTRO EQUIPO DE VENTAS } hoy mismo en: http://www.akamai.com/html/forms/sales_form.html ?utm_campaign=error-pages&utm_source=404&utm_content=email-us

http://blogs.akamai.com


http://www.akamai.com/html/forms/sales_form.html

http://www.akamai.com/html/forms/sales_form.html


http://www.akamai.com/html/forms/sales_form.html?utm_campaign=error-pages&utm_source=404&utm_content=email-us




RECURSOS ÚTILES:12 expertos en seguridad que debe conocer. ¿Necesita ayuda para comprender mejor las tendencias más recientes en seguridad cibernética? Los expertos que aparecen a continuación son algunos de los principales del sector, cada uno con su propia presencia en las redes sociales.

Sígalos para obtener su dosis de datos de InfoSec y otros comentarios ingeniosos.

ANDY ELLIS ....................................................................... Director jefe de Seguridad de Akamai ..................................................................... Twitter: @CSOAndy

ANDREW JAQUITH ....................................................... Director de Tecnología de SilverSky ......................................................................... Twitter: @arj

BILL BRENNER ................................................................. Divulgador de Seguridad de Akamai ...................................................................... Twitter: @BillBrenner70

BRIAN KREBS ................................................................... Periodista de investigación ........................................................................................... Twitter: @BrianKrebs

CHRIS HOFF ........................................................................ Vicepresidente de Estrategia y Planificación, Juniper Networks .................... Twitter: @Beaker

JACK DANIEL ..................................................................... Gestor de proyectos técnicos, Tenable ................................................................... Twitter: @jack_daniel

JOSHUA CORMAN ....................................................... Director de Tecnología en Sonatype ........................................................................ Twitter: @JoshCorman

MARTIN MCKEAY ......................................................... Divulgador de Seguridad de Akamai ...................................................................... Twitter: @Mckeay

MICHAEL SMITH ............................................................ Director del CSIRT de Akamai ..................................................................................... Twitter: @rybolov

MIKE ROTHMAN ........................................................... Presidente, Securosis ..................................................................................................... Twitter: @securityincite

RICH MOGULL .................................................................. Director ejecutivo, Securosis ...................................................................................... Twitter: @RMogull

STEPHANIE BALAOURAS .......................................... Vicepresidenta y directora de investigación, Forrester Research ................... Twitter: @sbalaouras

APÉNDICE 1


LECTURAS COMPLEMENTARIAS: Informe sobre ataques DDoS globales Manténgase al día con las tendencias sobre seguridad cibernética.

Casos prácticos de clientes Descubra cómo otras empresas protegen sus sitios web de los

ataques DDoS.

Informes de PLXsert sobre amenazas Obtenga más información sobre las amenazas y los ataques DDoS

actuales y las medidas que hay que tomar para protegerse.

El hombre, la máquina y la mitigación de DDoS Descubra la importancia del factor humano en la seguridad cibernética ante el panorama actual de amenazas DDoS

Ovum: Cómo ofrecer una protección eficaz contra los ataques DDoS Lea este informe que explica por qué la protección frente

a ataques DDoS debería formar parte de su plan de respuesta de seguridad.

APÉNDICE 2


http://www.akamai.com/html/ms/security.html



http://www.prolexic.com/knowledge-center-white-paper-man-machine-and-ddos-mitigation.html

http://www.prolexic.com/knowledge-center-analyst-report-ovum-delivering-effective-ddos-protection.html

AMENAZAS Y SOLUCIONES GUÍA PARA LA SEGURIDAD WEB … · • Robo de datos, como las inyecciones...

Documents

Transcript of AMENAZAS Y SOLUCIONES GUÍA PARA LA SEGURIDAD WEB … · • Robo de datos, como las inyecciones...