FIRST LINE OF DEFENSE

Ataques DDoS y Trafico no deseado: Puntos Clave para una Primera Línea de Defensa

InfoSecurity San Jose18 de Junio de 2013

© 2013 Corero www.corero.com

Corero Network Security - Compañia

“Corero es la Primera Línea de Defensa que bloquea Ataques DDoS y trafico no deseado

antes de que llegue a sus infraestructuras”

HQ en Massachusetts, EEUU; Oficinas en EMEA y Asia

2000+ clientes, +20 países

Más de 15 años de experiencia en mitigación de amenazas avanzadas como Ataques DDoS (Red y aplicación), Exploits Cero Day y ataques dirigidos a servidores

Algunos mecanismos de protección DDoSpatentados desde 2001

Visionario en el Magic Quadrant de Gartner

© 2013 Corero www.corero.com

Y con clientes en Costa Rica…

Centro de Datos, +11 años de experiencia en adoptar estándares para proveer de un servicio de calidad a los clientes de Centro América

Posicionado como primer proveedor de América Central para alojamiento de e-commerce y empresas buscando una disponibilidad del 99,995%

Corero es la Primera Línea de Defensa de TIER 4 Services. Se emplea para proteger a todos los clientes alojados en el datacenter de ataques DDoS y de trafico no deseado proveniente desde internet

© 2013 Corero www.corero.com

Agenda

Por qué las protecciones actuales no son eficientes

Tipos de ataques y medidas de protección

Qué funcionalidades clave que debería tener una Primera Línea de Defensa

Limitaciones de las protecciones

actuales

Que hacen, y que no hacen…

© 2013 Corero www.corero.com

Firewalls: ¿Su primera línea de defensa frente a ataques DDoS?

“Firewalls don't cut itanymore as the first line of

defense”IT Best Practices Alert

By Linda Musthaler, Network WorldOctober 19, 2012

Para un Firewall, todo el trafico HTTP parece legitimo

Los firewalls statefull están limitados en el tamaño de sus tablas de estado

“Visibles” a nivel 3, pueden ser objetivos de ataque

No analizan el comportamiento de los usuarios que se conectan desde Internet, No protegen ante ataques DDoS

Porqué los Firewalls no pueden seguir siendo la primera Línea de Defensa

© 2013 Corero www.corero.com

Defensa DDoS – Más que un Checkbox

Problema:

Muchas soluciones de Seguridad perimetral dicen disponer de protección DDoS

La mayoría tiene una sola configuración = DDoS On/DDoS Off

Los sistemas Anti-DDoS actuales tampoco ofrecen flexibilidad en cuanto a configuraciones de protección

Recomendación:

Despliega Tecnologías:

– Que tienen granularidad en cuanto a políticas DDoS

– Capaces de defender ante todos los vectores de ataque DDoS, en todo momento, sin cambio de configuración en caso de ataque

– Capaces de soportar carga cuando están bajo ataque y no verse afectados por un ataque DDoS

– Que inspeccionan todos y cada uno de los paquetes (sin sampling)

– Que ofrecen inspección bidireccional del trafico

Ataques a su presencia Web

Categorías de ataques –De mayor a menor

volumen

© 2013 Corero www.corero.com

Tipos de ataques y medidas de protección

Las soluciones Anti DDoS no son exclusivas

Las organizaciones pueden beneficiarse de ambas tecnologías para tener una cobertura completa

Corero’s On-Premise – First Line of Defense

Always ON

Network

Level

DDoS

Attacks

Reflective

DDoS

Attacks

Outbound

DDoS

Attacks

Application

Layer

DDoS

Attacks

Specially

Crafted

Packet

Attacks

Pre-Attack

Recon

(Scans)

Advanced

Evasion

Techniques

(AET)Defense Technique

IP Threat-Level Assessment

Defense Technique

Stateful Flow Awareness

Defense Technique

Bi-Directional Flood Detection

Defense Technique

Behavior Analysis

Defense Technique

Protocol Analysis

Defense Technique

Scan Obfuscation

Defense Technique

Advanced Evasion Detect

“ Cloud” anti-DDoS Service

On Demand

© 2013 Corero www.corero.com

Y el tráfico no deseado…

Las organizaciones están experimentando cada vez mayor cantidad de tráfico no deseado (ataques DDoS, escaneos, exploits, paquetes malformados, etc).

Este tráfico no deseado tiene dos consecuencias principales:

– Las peticiones de los clientes legítimos están ralentizadas por una cantidad cada vez mayor de tráfico no deseado

– Las organizaciones tienen que sobredimensionar sus infraestructuras TI como Firewalls, balanceadores, sistemas, etc…

¿De qué cantidad de trafico hablamos..?

© 2013 Corero www.corero.com

Los humanos generan solo el 49% del tráfico en Internet

Motores de búsqueda descubriendo y actualizando información – Genera un 20%

Búsqueda de información competitiva - Genera un 19%

Herramientas de descubrimiento de vulnerabilidades – Genera un 5%

Raspado de pantalla (Screen Scraping) realizando Copia de contenido web, posts automatizados - Genera un 5%

Spammers - Genera un 2%

http://www.incapsula.com/the-incapsula-blog/item/225-what-google-doesnt-show-you-31-of-website-traffic-can-harm-your-business

¿Cual es la recomendación?

Como defenderse sin morir en el intento

© 2013 Corero www.corero.com

Diez consejos para implementar una primera línea de defensa en 2013

Volumetric Network Attacks

DNS Amplified Attacks

State Exhaustion

Attacks

Application Layer

Attacks

Pre-Attack Recon (Scans)

Advanced Evasion

Techniques

Specially Crafted Packets

Malware & Targeted Exploits

Los atacantes buscan conseguir su objetivo con cualquier método de ataque. Estos 10 consejos están orientados a proporcionarle una protección integral.

© 2013 Corero www.corero.com

Diez consejos para implementar una

primera línea de defensa en 2013

1. Direcciones IP conocidas como maliciosas :

Disponer y actualizar en tiempo real listas de reputación – Botnets, IP’s anónimas, IP’sparticipando en ataques DDoS, etc…

Su Primera línea de defensa tiene que identificar y bloquear:

© 2013 Corero www.corero.com

Diez consejos para implementar una

primera línea de defensa en 2013

2. Países no deseados en los que no haces negocios:

Disponer y actualizar constantemente información de geo localización aplicando políticas granulares (no solo autorizar o bloquear países)

Su Primera línea de defensa tiene que identificar y bloquear:

© 2013 Corero www.corero.com

Diez consejos para implementar una

primera línea de defensa en 2013

3. Botnets con máquinas infectadas y atacantes DDoS:

Monitorear el comportamiento de todos los usuarios, tanto en la red interna como desde Internet (protección bidireccional en todo momento)

Su Primera línea de defensa tiene que identificar y bloquear:

© 2013 Corero www.corero.com

Diez consejos para implementar una

primera línea de defensa en 2013

4. Abusos de aplicaciones y comportamientos no deseados:

Garantizar el uso correcto de las aplicaciones bloqueando en tiempo real aquellas conexiones cuyo comportamiento sea anómalo o malicioso

Su Primera línea de defensa tiene que identificar y bloquear:

© 2013 Corero www.corero.com

Diez consejos para implementar una

primera línea de defensa en 2013

5. Puertos y protocolos innecesarios:

Inspección Profunda bidireccional de todo el trafico entrante y saliente, bloqueando los puertos/servicios no permitidos

Su Primera línea de defensa tiene que identificar y bloquear:

© 2013 Corero www.corero.com

Diez consejos para implementar una

primera línea de defensa en 2013

6. Anomalías y violaciones de protocolo:

Hacer cumplir las normas y RFCs así como los estándares de la industria, bloqueando el trafico que las incumpla

Su Primera línea de defensa tiene que identificar y bloquear:

© 2013 Corero www.corero.com

Diez consejos para implementar una

primera línea de defensa en 2013

7. Técnicas de evasión avanzadas:

Proteger ante ataques basados en tácticas de evasión incluyendo fragmentación / ofuscación,…

Su Primera línea de defensa tiene que identificar y bloquear:

© 2013 Corero www.corero.com

Diez consejos para implementar una

primera línea de defensa en 2013

8. Exploits diseñados para dañar su visibilidad en internet:

Bloquear ataques dirigidos a sistemas críticos basados en explotación de vulnerabilidades en los servidores

Su Primera línea de defensa tiene que identificar y bloquear:

© 2013 Corero www.corero.com

Diez consejos para implementar una

primera línea de defensa en 2013

9. Intentos de Fuerza bruta a contraseñas:

Registrar y alertar de cualquier actividad sospechosa en sistemas que requieren autenticación

Su Primera línea de defensa tiene que identificar y bloquear:

© 2013 Corero www.corero.com

Diez consejos para implementar una

primera línea de defensa en 2013

10.Información sobre el trafico en su perímetro:

Ser capaz de identificar que trafico está atravesando su sistemas y disponer de información completa sobre el trafico bloqueado en tiempo real

Su Primera línea de defensa tiene que identificar y bloquear:

FIRST LINE OF DEFENSE

Las organizaciones necesitan una “nueva” Primera Línea de Defensa

© 2013 Corero www.corero.com

Tráfico legítimo Tráfico legítimo

Topología típica de red bajo ataque

Ataques DDoS

AETs y Abusos de Protocolo

Usuarios y Servicios no deseados

IPS

SLB

WAF

Exploits a servidores

Tráfico legítimo

Impactos: degradación de servicios, tiempo de inactividad, exposición a amenazas,

sobrecarga de la infraestructura, daños a la marca, pérdida de negocios,…

“Usuarios legítimos”

“Atacantes”

Internet

Tierra de nadie

Botnets

© 2013 Corero www.corero.com

Solución: Corero Primera Línea de Defensa

“Good Users”

“Attackers”

IPS

SLB

WAF

IPS

SLB

WAF“Usuarios legítimos”

Internet’s

Tierra de nadie

“Atacantes”

Atacantes

frustrados

Tráfico legítimo Tráfico legítimoTráfico legítimo

Ataques DDoS

AETs y Abusos de Protocolo

Usuarios y Servicios no deseados

Exploits a servidores

Corero protege su infraestructura TI bloqueando el trafico no deseado

Botnets

© 2013 Corero www.corero.com

Corero’s DDoS Defense System (DDS)

Puntos Clave de Protección

Autorizar solo el trafico ESPERADOBloquea direcciones IP maliciosas y ciertas zonas geográficas

Autoriza solo puertos y servicios deseados

Evalúa la CANTIDAD de trafico

Limita peticiones y conexiones excesivas

Asegura que el trafico sea CORRECTODetiene los abusos y violaciones de protocolo (RFC)

Previene AETs (Tácticas de Evasión Avanzadas)

Analiza INTEGRIDAD del traficoInspeccione tráfico y bloquea intrusiones, desbordamientos de

búfer, inyecciones de código y exploits

Restringuir el Acceso

Limitar la Tasa

ValidarProtocolo

Prevenir Intrusiones

Trafico no deseado

Usuarios y Servicios no

deseados

Ataques DDoS en capa de Aplicación

Violaciones de Protocolo

y AETs

Ataques dirigidos a Servidores

Proporciona VISIBILIDAD sobre el trafico no deseado¿Quién está atacando, a qué velocidad, y con qué vectores de ataque?

Incrementar visibilidad

© 2013 Corero www.corero.com

Próximos Pasos

Podemos ayudarles a Proteger y Garantizar la disponibilidad de sus Redes y Servicios

Evaluación de la Solución

– Permítanos demostrar la efectividad y sencillez de nuestras soluciones de protección DDoS/DoS a través de una evaluación, desplegando un dispositivo y un modulo de reporting en su infraestructura.

Para solicitar información, o un piloto, escribe a info_es@corero.com o solicita un equipo a Network1

Más información : www.corero.com y www.corero.com/es

Nuestros Partners: http://www.corero.com/en/partners/partner_locator

FIRST LINE OF DEFENSE

Muchas Gracias!

Enrique Santiagoesantiago@sidif.com

Contactos:

Alain KariotyAlain.karioty@corero.com

Álvaro Villalba PoncetAlvaro.villalba@corero.com