EDoS: la próxima gran amenaza para su nube
¿Qué es EDoS?
La Negación Económica de la Sostenibilidad (EDoS, por sus siglas en inglés) es una amenaza de ciberseguridad dirigida a los entornos de nube. Los ataques EDoS aprovechan la elasticidad de las nubes, en particular las capacidades de escalado automático, para inflar la facturación de un usuario de la nube hasta que la cuenta llega a la bancarrota o se retira el servicio a gran escala.
Los ataques EDoS aprovechan las economías de escala de la nube para interrumpir o interrumpir la disponibilidad de los servicios y la infraestructura de la nube que respaldan las aplicaciones, los sistemas y las redes corporativas. Por lo general, involucra bots controlados de forma remota que envían solicitudes falsas de manera encubierta. Si estas solicitudes eluden los controles de seguridad, el servicio en la nube proporciona recursos adicionales y cobra al usuario de la nube.
Tradicional estrategias de respuesta a incidentes están mal equipados con amenazas EDoS por varias razones:
- El tráfico EDoS utiliza la suplantación de IP y es difícil de detectar utilizando las técnicas de análisis de red existentes, a menos que los atacantes estén utilizando IP mal conocidas.
- La aplicación y los usuarios finales no se ven afectados inicialmente por los ataques EDoS. Los recursos de la nube se amplían para satisfacer el tráfico adicional, al menos hasta que se agote el presupuesto, por lo que las métricas de rendimiento de la aplicación no se pueden utilizar para detectar el ataque.
- Técnicas de endurecimiento del sistema. no son efectivos contra EDoS porque el tráfico no explota ningún tipo de vulnerabilidad en el sentido tradicional.
- Incluso una vez que se detecta un ataque EDoS, los respondedores de incidentes no pueden reaccionar con las herramientas existentes. Deben establecer una interfaz para costo de la nube-metro sistemas de gestion para poder cortocircuitar los mecanismos de escala automática.
DoS vs DDos vs EDoS
Exploremos la diferencia entre los ataques «..oS» más familiares y el nuevo chico en el bloque: EDoS.
DoS
En un ataque de denegación de servicio (DoS), los atacantes envían solicitudes falsas que pueden impedir que los usuarios legítimos accedan al sistema, utilicen recursos, como la potencia de procesamiento del servidor, la memoria y el ancho de banda de la red y, en algunos casos, bloqueen el sistema de destino.
En términos generales, hay dos variantes de ataque DoS. Un ataque DoS de inundación aprovecha el hecho de que los búferes del servidor no pueden procesar paquetes cuando hay demasiadas solicitudes entrantes, lo que provoca la degradación del servicio o el rechazo del tráfico. Un ataque DoS de «bloqueo» construye paquetes corruptos o solicitudes que aprovechan las vulnerabilidades en el sistema de destino, lo que hace que se bloquee o falle.
DDoS
Un ataque de denegación de servicio distribuido (DDoS) es una versión evolucionada de un ataque DoS. Los atacantes suelen utilizar este tipo de ataque como una cortina de humo, ocupando los equipos de seguridad, mientras que, en segundo plano, los atacantes penetran en la red de una organización.
Los ataques DDoS son posibles gracias a botnets masivos, creados por atacantes que instalan malware en miles o incluso millones de sistemas informáticos. Estos sistemas pueden ser tan pequeños como dispositivos de usuario final, dispositivos de Internet de las cosas (IoT) o entidades más grandes, como servidores o cualquier otro sistema conectado a Internet. Todos estos dispositivos se «conducen» a una red de robots, bajo el control central del atacante que opera el servidor de Comando y Control (C&C).
Los ataques DDoS tienen como objetivo una característica particular de la arquitectura del protocolo de Internet. Una técnica común utilizada por los atacantes es la falsificación de IP, en la que los atacantes envían paquetes utilizando una dirección IP de origen fraudulento, lo que hace que el tráfico parezca legítimo, lo que dificulta su detección, seguimiento y bloqueo.
EDoS
Los ataques EDoS aprovechan la rápida escalabilidad y la resiliencia disponibles en los entornos de nube. Los atacantes tienen como objetivo hacer que la cuenta en la nube de la víctima sea financieramente insostenible.
Los atacantes se dirigen principalmente a soluciones de infraestructura como servicio (IaaS). Los ataques EDoS utilizan un patrón común de métodos de ataque DDoS: explotar las vulnerabilidades del sistema en la nube, como versiones de software antiguas, protocolos inseguros y direcciones IP expuestas públicamente para instalar software malicioso. Se apoderan de dispositivos o recursos de la nube, que siguen las instrucciones del atacante y envían paquetes de tráfico falsos a un sistema o servicio de destino. Este tráfico adicional hace que el servicio en la nube se amplíe hasta que se vuelva económicamente insostenible.
Por qué los atacantes utilizan estos métodos para dañar una empresa
Los ataques EDoS, como los primeros ataques DDoS, tienen como objetivo interrumpir un negocio y causar pérdidas financieras. No tienen beneficio directo para los atacantes. Para los ciberdelincuentes individuales, estos ataques pueden ser una «demostración de fuerza» o la venganza personal del atacante contra una organización. Para los hacktivistas, podrían usarse para sabotear organizaciones opuestas a la causa del hacktivista. Para los grupos criminales más grandes patrocinados por estados nacionales hostiles, podrían ser una forma de interrumpir la actividad económica en una población objetivo.
Hoy DDoS es un negocio de miles de millones de dólares, con plataformas DoS disponibles como un servicio, y los atacantes generan ingresos exigiendo rescate y otros medios. Predigo que los ataques EDoS se volverán más frecuentes, por lo tanto, es probable que un modelo comercial y un ecosistema criminal también evolucionen a su alrededor.
Protección EDoS
El concepto de ataques EDoS se describió en una investigación hace más de una década. El principal desafío en la protección EDoS es detectar el ataque, porque para una herramienta de seguridad tradicional, parecería lo mismo que un evento de escalado regular en un sistema en la nube. Tan pronto como se detecta el ataque, los operadores pueden deshabilitar los mecanismos de escalado automático y así finalizar el ataque.
Se han sugerido varios marcos teóricos para detectar ataques EDoS. Sin embargo, estos enfoques sufrieron inconvenientes y, como resultado, no se implementaron en herramientas de seguridad ampliamente utilizadas:
- Máquinas de vectores de soporte (SVM) y mapas autoorganizados (SOM) – estos son modelos de Machine Learning (ML) que tienen éxito en la detección de un ataque EDoS. Sin embargo, son comparativamente lentos y, por lo tanto, no pueden procesar datos en tiempo real en un ataque a gran escala.
- Red neuronal totalmente conectada (FCNN) – este método de aprendizaje profundo es más eficaz que los algoritmos de ML, porque puede extraer características de manera más eficiente utilizando múltiples capas neuronales. Sin embargo, su precisión es relativamente baja porque EDoS es un proceso continuo que requiere un análisis de series de tiempo, mientras que una FCNN no tiene capacidad de «memoria» (analiza cada evento o paquete de datos por separado).
- Red neuronal recurrente (RNN) y memoria a corto plazo (LSTM) – RNN tiene más éxito en la detección de EDoS porque puede analizar una secuencia de eventos. Es más preciso cuando está equipado con celdas LSTM que pueden capturar una memoria de eventos recientes y tenerla en cuenta al analizar un evento actual. Sin embargo, los modelos RNN son nuevamente ineficientes cuando se aplican a datos en tiempo real.
Un enfoque novedoso fue sugerido en una investigación reciente por Parque Vinh Quoc Ta y Minho.
Sugieren un marco que hace que las etapas de entrenamiento y predicción sean más rápidas que LSTM, utilizando una estrategia de procesamiento paralelo. El enfoque funciona de la siguiente manera:
- Aproveche las células de atención de LSTM para predecir una unidad en una secuencia de tráfico de ataque determinando qué tan fuerte está correlacionada con otras unidades.
- Calcular una puntuación de atención aprovechando el ampliamente utilizado Transformador Codificador-Decodificador modelo. Sin embargo, el modelo de detección de EDoS usa solo un módulo codificador para calcular las entradas en paralelo. Esto mejora drásticamente el rendimiento al tiempo que conserva la precisión de los modelos LSTM anteriores.
- Considere puntuaciones relativas de un paquete de red en comparación con otros en un flujo, lo que ayuda al modelo a «recordar» características históricas de unidades anteriores en la secuencia.
- Utilice una puntuación para varias funciones para mejorar la eficiencia computacional. En otras palabras, cuando el modelo analiza un paquete, utiliza la puntuación de todos los paquetes relacionados para reducir el tiempo de procesamiento.
- Capaz de clasificar salidas de ataques de día cero mediante una estrategia de aprendizaje no supervisado.
- Actualizaciones en tiempo real al modelo le permite volver a entrenarse con datos en vivo y ajustar los parámetros para adaptarse a los cambios en los ataques.
Los investigadores probaron el modelo en ataques de inundación realistas utilizados para realizar acciones EDoS y encontraron que era capaz de detectar ataques y procesar datos con suficiente rendimiento.
Conclusión
La elasticidad y flexibilidad de la nube reducen el potencial de ataques DDoS tradicionales. Sin embargo, los atacantes pueden bombardear los sistemas con tráfico adicional, lo que hace que los sistemas se amplíen indefinidamente hasta que la víctima incurra en costos económicos insostenibles.
Aunque los ataques EDoS son difíciles de detectar con las herramientas de seguridad tradicionales, existen métodos alternativos disponibles para permitir una mitigación temprana.
Lo importante que hay que entender es que, si bien la amenaza es real, las herramientas para defenderse de ella tardan en desarrollarse. Este artículo debería servir para ayudarlo a comprender el nuevo panorama de amenazas, adoptar nuevos enfoques de seguridad a medida que se presentan e incluso desarrollar sus propios enfoques prácticos para detener los ataques EDoS.