Mitigación de los ataques Low-and-Slow a las aplicaciones y APIs
This post is also available in: Inglés Francés Alemán Italiano Portugués, Brasil Ruso
“Low-and-Slow ” puede sonar como un concepto obsoleto, pero sigue siendo muy relevante y oportuno. El 65% de las organizaciones sufrió ataques low-and-slow en 2020; el 30% de ellos mensuales. ¡Entonces, démosle los cinco minutos que se merecen!
Cuando un atacante quiere desactivar una aplicación, la forma más sencilla es lanzar una gran cantidad de tráfico a la aplicación y desactivar el servidor de las aplicaciones (Negación de Servicios Distribuidos o DDoS). Sin embargo, hoy existen muchas tecnologías que pueden detectar y bloquear dichos intentos, ya sea mediante bloqueo de IP o basado en firmas, gestión de cuotas o soluciones de mitigación de DDoS dedicadas.
Durante el último mes, además de las inundaciones, hemos visto reaparecer otra técnica antigua pero muy efectiva: el ataque low-and-slow. A fines de febrero, Radware ya había percibido un incremento del 20% en los ataques Low-and-Slow contra nuestros clientes, comparado con el último trimestre de 2020.
Una actualización sobre ataques Low-and-Slow
En lugar de generar una explosión repentina de volumen de tráfico, los ataques Low-and-Slow (también conocidos como de nivel bajo) vuelan bajo el radar. Dejan conexiones abiertas, crean una cantidad relativamente baja de conexiones durante un período de tiempo y dejan esas sesiones abiertas durante el mayor tiempo posible para intentar desactivar un objetivo.
Los métodos comunes incluyen solicitudes de HTTP parciales y envío de paquetes de datos pequeños o mensajes “persistentes” para evitar que la sesión quede inactiva o se acabe el tiempo. Estos vectores de ataques no son solo difíciles de bloquear, sino también de detectar.
[También puede interesarte: Cómo mantener las APIs seguras en un mundo interconectado]
Existen varias herramientas conocidas disponibles para lanzar dichos ataques, que incluyen SlowLoris, SlowPost, SlowHTTPTest, Tor’sHammer, R.U.Dead.Yet y LOIC.
Los ataques low-and-slow, que solían ser muy eficaces contra las aplicaciones, están aprovechando las APIs descuidadas que no están tan protegidas como las aplicaciones, y se abren camino hacia su objetivo. Debido a su bajo volumen, y lo que puede parecer un intento legítimo de conectarse a la aplicación o recursos del servidor, requieren una tecnología de mitigación diferente. La fuente debe bloquearse basándose en su comportamiento más que en su reputación.
Bloqueo de comportamiento
La sincronización entre los componentes de detección y mitigación es una de las razones por las que Radware es un reconocido líder de la industria en la protección contra DDoS: Los algoritmos de aprendizaje del comportamiento monitorean y miden la cantidad de respuestas a la conexión TCP, tanto del cliente como del servidor, y comprueban que la fuente esté realmente actuando con la aplicación como se esperaba.
Este método no interactúa con la aplicación ni representa un riesgo, ya que la mitigación se hace a nivel de la sesión. Luego, mediante un mecanismo de señalización único y workflows automatizados, los siguientes intentos se bloquearán en el perímetro de la red y no causarán ningún impacto en la aplicación.