Proveedores de servicios de Internet denuncian ataques masivos (10-20 Gbps) en los últimos 12 meses


    Conclusiones recopiladas del segundo Informe Mundial Anual sobre
    Seguridad de Infraestructura de Arbor Networks

    Arbor Networks(R), un proveedor de seguridad de red núcleo a
    núcleo y desempeño operativo para redes mundiales de negocios, publicó
    hoy su segundo Informe Mundial Anual sobre Seguridad de
    Infraestructura, en cooperación con la comunidad de operaciones de
    seguridad de redes de Internet. Este informe es la segunda edición de
    una serie de estudios anuales de seguridad operativa destinados a
    ayudar a los operadores de redes a tomar decisiones fundamentadas
    sobre el uso de la tecnología de seguridad de redes para proteger su
    infraestructura crítica. El informe de Arbor se refiere al segundo
    semestre de 2005 e incluye aportes de 55 operadores de redes IP
    autoclasificados como de nivel 1, nivel 2 e híbridos, de América del
    Norte, Europa y Asia.

    Principales hallazgos: Ataques en aumento

    Esta segunda edición del estudio halló que los ataques de
    Denegación de servicio distribuida (DDoS) son todavía la mayor amenaza
    para los proveedores de servicios de Internet (ISP). De hecho, seis
    años después de la agitación inicial por los difundidos ataques de
    DDoS, la mayoría de los operadores encuestados invierten más recursos
    para enfrentar la DDoS que cualquier otra amenaza de seguridad,
    incluso gusanos y otros ataques de botnets (redes de robots).
    Después de los ataques de DDoS, en general ejecutados por botnets,
    lo que más preocupa a los operadores de redes son otras actividades
    maliciosas que emplean botnets. Se trata del phishing, el spam, el
    robo de identidad y el registro en formularios. Entre aquellos
    operadores que respondieron que las amenazas de botnets eran una
    preocupación primordial para ellos, Arbor identificó las siguientes
    tendencias:

    -- Los canales de comando y control son más difíciles de
    infiltrar y se pueden controlar mejor mediante "botherder";

    -- Hay más "bots" (robots), más botnets (redes de robots) y mayor
    potencia de ataque, porque siguen surgiendo variaciones de
    antiguos bots.

    -- Los bots se ocultan mejor, son más difíciles de eliminar y
    están más organizados, y

    -- Las botnets están más difíciles de desmontar, tienen mayor
    capacidad, son más flexibles y están en mejores condiciones de
    resistir su detección o análisis.

    "Una de las razones por las que hoy es más difícil detectarlas es
    porque ya no se utilizan para actividades maliciosas evidentes",
    comentó Craig Labovitz, director de arquitectura de redes de Arbor
    Networks. "Es decir, en lugar de solo arrojar a la red toneladas de
    datos de ataques fácilmente discernibles, actualmente las botnets
    tienden a volar `bajo el radar de los ISP', lo que hace muchísimo más
    difícil su detección y mitigación".

    Otros hallazgos clave del estudio son:

    -- La potencia de los ataques está en aumento. La información
    brindada por los ISP señala que continúan en aumento la
    frecuencia y la magnitud de los ataques de DDoS de varios
    gigabits, por encima de la espina dorsal de las redes. Los ISP
    denuncian ahora con regularidad ataques que exceden la
    capacidad de los circuitos del núcleo de la espina dorsal, en
    la escala de 10 a 20 Gbps. Esto fue impulsado por la
    proliferación mundial de la conectividad de banda ancha a
    Internet y la convergencia de redes.

    -- Dominio de los zombis. Pese a los mejores esfuerzos de los
    vendedores de firewalls, sistemas de detección de intrusos y
    sistemas operativos, no hay un fin previsible al surgimiento
    de millones de sistemas finales comprometidos, con
    disponibilidad para participar en DDoS u otras actividades
    ilegales.

    -- Los ISP terminan el trabajo. A falta de
    infraestructura/herramientas más avanzadas, la mayoría de los
    ISP mitigan los ataques, principalmente filtrando todo tráfico
    hacia la víctima. Aunque esto logra proteger las espinas
    dorsales de los ISP del derrumbe por DDoS, la "cura" puede ser
    peor que la DDoS original.

    -- Pocos ataques se notifican a las autoridades. Aunque hay un
    promedio de 40 ataques mensuales que impactan en el cliente,
    los ISP no notifican la mayoría de los ataques a las
    organizaciones ejecutoras de las leyes.

    -- La economía corrupta sigue creciendo. Se ha registrado un
    aumento en el empleo de botnets para fines de generación de
    ingresos. Las condiciones del juego cambian junto con el
    negocio de las botnets.

    -- Los ISP siguen necesitando vías de ingresos. Los operadores de
    redes temen que, a medida que se renueve la atención en el
    rendimiento de las inversiones, los ISP se encuentren en una
    posición muy difícil en lo relativo a infraestructura de
    seguridad, y a las botnets en particular. Aunque una leve
    mayoría de ISP cree que podría estar en condiciones de
    defenderse contra hosts comprometidos, también cree que le
    será extremadamente difícil hacerlo sin generar primero nuevas
    oportunidades de ingresos para financiar ese esfuerzo.

    Nuevas amenazas

    Debido al surgimiento de nuevas amenazas a la seguridad de las
    redes, el estudio planteó varias preguntas sobre esas amenazas, que
    atacan desde sistemas de nombres de dominio hasta VoIP (voz por IP).
    Cerca de la mitad de los ISP encuestados declararon que habían
    desplegado mecanismos para detectar tanto amenazas a sistemas de
    nombre de dominio como a VoIP. Aunque muchos proveedores se encuentran
    todavía en las primeras etapas de planificación o despliegue de
    servicios comerciales de VoIP y se han denunciado pocos ataques contra
    infraestructura de VoIP, los proveedores se muestran cada vez más
    cautelosos frente a esta nueva y emergente amenaza de seguridad.
    "La buena noticia es que los ISP despliegan actualmente sistemas
    de mitigación de ataques más avanzados que nunca", comentó Danny
    McPherson, director de investigaciones de Arbor Networks. "Ante el
    surgimiento de nuevas amenazas de seguridad y otras (como los ataques
    de botnets) que se vuelven más complejas, destructivas e invasivas,
    esperamos que las conclusiones de estos informes anuales ayuden a los
    ISP a tomar decisiones sobre formas de proteger su infraestructura
    crítica. Nuestro objetivo último es brindar a los resultados del
    estudio elementos procesables que los operadores de redes puedan
    aplicar de inmediato a sus programas de seguridad".

    Metodología

    Esta edición del estudio consistió en 65 preguntas de múltiple
    opción y libre respuesta (frente a 32 preguntas en la edición
    anterior) sobre los principales problemas de seguridad operativa que
    enfrentan los operadores de seguridad de redes en la actualidad. Las
    preguntas incluyeron temas relacionados con las amenazas observadas
    contra infraestructuras de espina dorsal y clientes individuales,
    técnicas empleadas para proteger infraestructuras de redes, y
    mecanismos utilizados para detectar y responder a incidentes de
    seguridad. Además de ISP de nivel 1, proveedores de contenido amplio y
    anfitriones, y una vasta sección transversal de redes de nivel 2, la
    encuesta incluyó a una gran cantidad de operadores de redes
    "híbridas". Las redes híbridas son redes de gran escala distribuidas
    en todo el mundo con múltiples interconexiones de acceso a Internet, y
    brindan a su organización tanto servicios tradicionales de usuario
    final como conectividad de red.
    Para descargar una copia del segundo Informe Mundial Anual sobre
    Seguridad de Infraestructura de Arbor Networks, diríjase al sitio
    www.arbornetworks.com/security-report.

    Acerca de Arbor Networks

    Arbor Networks(R) ofrece desempeño operativo y seguridad de red
    núcleo a núcleo para redes mundiales de negocios. Las soluciones
    Network Behavioral Analysis (NBA) de Arbor se basan en la plataforma
    Arbor Peakflow(R) y brindan perspectivas en tiempo real de la
    actividad de la red, lo que permite a las organizaciones protegerse en
    forma instantánea de gusanos, ataques de DDoS, uso interno incorrecto
    e inestabilidad de tráfico y direccionamiento, además de segmentar y
    reforzar las redes preparándolas para futuras amenazas.
    Hoy, la base de clientes de Arbor Networks está compuesta por una
    amplia gama de proveedores de servicio y clientes empresariales
    provenientes de diversas industrias de todo el mundo. Esto demuestra
    la profundidad y el alcance de los conocimientos de Arbor Networks en
    materia de seguridad. Todos confían en la plataforma Arbor Peakflow
    para evitar costosos tiempos de inactividad, permitir la limpieza de
    la red y aumentar la confianza de los clientes.
    Para obtener más información sobre Arbor Networks, visite el sitio
    web http://www.arbornetworks.com. Para obtener más información sobre
    Arbor Security Engineering & Response Team (ASERT), la división de
    investigación de seguridad de la empresa, visite el blog de ASERT:
    http://asert.arbornetworks.com.

    Nota a los editores: Arbor Networks y Peakflow son marcas
    registradas y el logotipo de Arbor Networks y ArbOS son marcas de
    fábrica de Arbor Networks, Inc. en Estados Unidos y otros países.
    Todas las otras marcas pertenecen a sus respectivos propietarios.