Conclusiones recopiladas del segundo Informe Mundial Anual sobre
Seguridad de Infraestructura de Arbor Networks
Arbor Networks(R), un proveedor de seguridad de red núcleo a
núcleo y desempeño operativo para redes mundiales de negocios, publicó
hoy su segundo Informe Mundial Anual sobre Seguridad de
Infraestructura, en cooperación con la comunidad de operaciones de
seguridad de redes de Internet. Este informe es la segunda edición de
una serie de estudios anuales de seguridad operativa destinados a
ayudar a los operadores de redes a tomar decisiones fundamentadas
sobre el uso de la tecnología de seguridad de redes para proteger su
infraestructura crítica. El informe de Arbor se refiere al segundo
semestre de 2005 e incluye aportes de 55 operadores de redes IP
autoclasificados como de nivel 1, nivel 2 e híbridos, de América del
Norte, Europa y Asia.
Principales hallazgos: Ataques en aumento
Esta segunda edición del estudio halló que los ataques de
Denegación de servicio distribuida (DDoS) son todavía la mayor amenaza
para los proveedores de servicios de Internet (ISP). De hecho, seis
años después de la agitación inicial por los difundidos ataques de
DDoS, la mayoría de los operadores encuestados invierten más recursos
para enfrentar la DDoS que cualquier otra amenaza de seguridad,
incluso gusanos y otros ataques de botnets (redes de robots).
Después de los ataques de DDoS, en general ejecutados por botnets,
lo que más preocupa a los operadores de redes son otras actividades
maliciosas que emplean botnets. Se trata del phishing, el spam, el
robo de identidad y el registro en formularios. Entre aquellos
operadores que respondieron que las amenazas de botnets eran una
preocupación primordial para ellos, Arbor identificó las siguientes
tendencias:
-- Los canales de comando y control son más difíciles de
infiltrar y se pueden controlar mejor mediante "botherder";
-- Hay más "bots" (robots), más botnets (redes de robots) y mayor
potencia de ataque, porque siguen surgiendo variaciones de
antiguos bots.
-- Los bots se ocultan mejor, son más difíciles de eliminar y
están más organizados, y
-- Las botnets están más difíciles de desmontar, tienen mayor
capacidad, son más flexibles y están en mejores condiciones de
resistir su detección o análisis.
"Una de las razones por las que hoy es más difícil detectarlas es
porque ya no se utilizan para actividades maliciosas evidentes",
comentó Craig Labovitz, director de arquitectura de redes de Arbor
Networks. "Es decir, en lugar de solo arrojar a la red toneladas de
datos de ataques fácilmente discernibles, actualmente las botnets
tienden a volar `bajo el radar de los ISP', lo que hace muchísimo más
difícil su detección y mitigación".
Otros hallazgos clave del estudio son:
-- La potencia de los ataques está en aumento. La información
brindada por los ISP señala que continúan en aumento la
frecuencia y la magnitud de los ataques de DDoS de varios
gigabits, por encima de la espina dorsal de las redes. Los ISP
denuncian ahora con regularidad ataques que exceden la
capacidad de los circuitos del núcleo de la espina dorsal, en
la escala de 10 a 20 Gbps. Esto fue impulsado por la
proliferación mundial de la conectividad de banda ancha a
Internet y la convergencia de redes.
-- Dominio de los zombis. Pese a los mejores esfuerzos de los
vendedores de firewalls, sistemas de detección de intrusos y
sistemas operativos, no hay un fin previsible al surgimiento
de millones de sistemas finales comprometidos, con
disponibilidad para participar en DDoS u otras actividades
ilegales.
-- Los ISP terminan el trabajo. A falta de
infraestructura/herramientas más avanzadas, la mayoría de los
ISP mitigan los ataques, principalmente filtrando todo tráfico
hacia la víctima. Aunque esto logra proteger las espinas
dorsales de los ISP del derrumbe por DDoS, la "cura" puede ser
peor que la DDoS original.
-- Pocos ataques se notifican a las autoridades. Aunque hay un
promedio de 40 ataques mensuales que impactan en el cliente,
los ISP no notifican la mayoría de los ataques a las
organizaciones ejecutoras de las leyes.
-- La economía corrupta sigue creciendo. Se ha registrado un
aumento en el empleo de botnets para fines de generación de
ingresos. Las condiciones del juego cambian junto con el
negocio de las botnets.
-- Los ISP siguen necesitando vías de ingresos. Los operadores de
redes temen que, a medida que se renueve la atención en el
rendimiento de las inversiones, los ISP se encuentren en una
posición muy difícil en lo relativo a infraestructura de
seguridad, y a las botnets en particular. Aunque una leve
mayoría de ISP cree que podría estar en condiciones de
defenderse contra hosts comprometidos, también cree que le
será extremadamente difícil hacerlo sin generar primero nuevas
oportunidades de ingresos para financiar ese esfuerzo.
Nuevas amenazas
Debido al surgimiento de nuevas amenazas a la seguridad de las
redes, el estudio planteó varias preguntas sobre esas amenazas, que
atacan desde sistemas de nombres de dominio hasta VoIP (voz por IP).
Cerca de la mitad de los ISP encuestados declararon que habían
desplegado mecanismos para detectar tanto amenazas a sistemas de
nombre de dominio como a VoIP. Aunque muchos proveedores se encuentran
todavía en las primeras etapas de planificación o despliegue de
servicios comerciales de VoIP y se han denunciado pocos ataques contra
infraestructura de VoIP, los proveedores se muestran cada vez más
cautelosos frente a esta nueva y emergente amenaza de seguridad.
"La buena noticia es que los ISP despliegan actualmente sistemas
de mitigación de ataques más avanzados que nunca", comentó Danny
McPherson, director de investigaciones de Arbor Networks. "Ante el
surgimiento de nuevas amenazas de seguridad y otras (como los ataques
de botnets) que se vuelven más complejas, destructivas e invasivas,
esperamos que las conclusiones de estos informes anuales ayuden a los
ISP a tomar decisiones sobre formas de proteger su infraestructura
crítica. Nuestro objetivo último es brindar a los resultados del
estudio elementos procesables que los operadores de redes puedan
aplicar de inmediato a sus programas de seguridad".
Metodología
Esta edición del estudio consistió en 65 preguntas de múltiple
opción y libre respuesta (frente a 32 preguntas en la edición
anterior) sobre los principales problemas de seguridad operativa que
enfrentan los operadores de seguridad de redes en la actualidad. Las
preguntas incluyeron temas relacionados con las amenazas observadas
contra infraestructuras de espina dorsal y clientes individuales,
técnicas empleadas para proteger infraestructuras de redes, y
mecanismos utilizados para detectar y responder a incidentes de
seguridad. Además de ISP de nivel 1, proveedores de contenido amplio y
anfitriones, y una vasta sección transversal de redes de nivel 2, la
encuesta incluyó a una gran cantidad de operadores de redes
"híbridas". Las redes híbridas son redes de gran escala distribuidas
en todo el mundo con múltiples interconexiones de acceso a Internet, y
brindan a su organización tanto servicios tradicionales de usuario
final como conectividad de red.
Para descargar una copia del segundo Informe Mundial Anual sobre
Seguridad de Infraestructura de Arbor Networks, diríjase al sitio
www.arbornetworks.com/security-report.
Acerca de Arbor Networks
Arbor Networks(R) ofrece desempeño operativo y seguridad de red
núcleo a núcleo para redes mundiales de negocios. Las soluciones
Network Behavioral Analysis (NBA) de Arbor se basan en la plataforma
Arbor Peakflow(R) y brindan perspectivas en tiempo real de la
actividad de la red, lo que permite a las organizaciones protegerse en
forma instantánea de gusanos, ataques de DDoS, uso interno incorrecto
e inestabilidad de tráfico y direccionamiento, además de segmentar y
reforzar las redes preparándolas para futuras amenazas.
Hoy, la base de clientes de Arbor Networks está compuesta por una
amplia gama de proveedores de servicio y clientes empresariales
provenientes de diversas industrias de todo el mundo. Esto demuestra
la profundidad y el alcance de los conocimientos de Arbor Networks en
materia de seguridad. Todos confían en la plataforma Arbor Peakflow
para evitar costosos tiempos de inactividad, permitir la limpieza de
la red y aumentar la confianza de los clientes.
Para obtener más información sobre Arbor Networks, visite el sitio
web http://www.arbornetworks.com. Para obtener más información sobre
Arbor Security Engineering & Response Team (ASERT), la división de
investigación de seguridad de la empresa, visite el blog de ASERT:
http://asert.arbornetworks.com.
Nota a los editores: Arbor Networks y Peakflow son marcas
registradas y el logotipo de Arbor Networks y ArbOS son marcas de
fábrica de Arbor Networks, Inc. en Estados Unidos y otros países.
Todas las otras marcas pertenecen a sus respectivos propietarios.
