Corero analiza el reciente ataque DDoS lanzado contra GitHub, el mayor y continuado de la historia de la plataforma
Corero Network Security hace un análisis de la última oleada de ataques al sitio web GitHub, una plataforma de desarrollo colaborativo de software.
Este reciente y continuo ataque a GitHub responde al perfil que ya adelantó Corero en su Informe Trimestral sobre Tendencias y Análisis DDoS, recientemente presentado y del que se desprende que los atacantes utilizan métodos más adaptativos y multi-vector contra sus objetivos. Esto les permite crear el perfil de la estrategia de seguridad de la red de la víctima y como consecuencia, lanzar ataques adicionales que pueden eludir las herramientas de ciberseguridad de las organizaciones.
Esto es precisamente lo que ha ocurrido con GitHub, el mayor repositorio mundial de software libre, que se ha convertido en uno de los sitios web más populares con millones de usuarios del todo el mundo. Según fuentes de GitHub, el objetivo de este ataque, presumiblemente lanzado desde China, y en base a los informes que ha recibido la plataforma, ha sido el de presionarles para eliminar de su sitio determinada información.
Según Dave Larson, CTO y Vicepresidente de Producto de Corero Network Security, “lo que se ha puesto de manifiesto a partir del reciente suceso contra GitHub, es que los ataques de DDoS dirigidos a sus redes han tenido la progresión típica. Es decir, es muy usual que los ciberdelincuentes sondeen un sitio web a través de diferentes vectores de ataque para comprobar qué tipo de vulnerabilidades existen. Según se ha visto, es muy probable que el atacante viera que GitHub era capaz de detener un tipo de ataque DDoS determinado, por lo que estos hackers modificaron las características de su ataque al sitio web hasta que consiguieron que sus servicios fueran afectados nuevamente”.
Efectivamente, parece ser que se han utilizado diversos métodos de ataques DDoS, tanto los ya conocidos, como ataques multi-vector, pasando por nuevas y sofisticadas técnicas. Para Larson que ha hecho un análisis de dicho ataque, afirma que esto en un proceso normal y matiza “Justo un día después del primer intento, los ciberdelincuentes analizaron cómo GitHub reaccionaría para tratar de mitigar el ataque, por lo que hubo una segunda ola y parece ser que el ataque consiguió su objetivo y tumbó el sitio”
Y añade, “estamos viendo una tendencia a que los ataques de DDoS contra servidores web evolucionan durante un periodo de 24-48 horas hasta que consiguen dejar sin servicio un sitio web o que sus autores, tras varios intentos, se rindan. GitHub ha hecho lo correcto para mantener a sus usuarios informados de la situación de los ataques que estaba recibiendo. Sin embargo, cuando los ciberdelincuentes están lo suficientemente motivados y tienen amplios recursos, lo que es común cuando se trata de poderosos sindicatos o actores estatales, como puede ser el caso, es difícil mantenerse al frente del ataque si su metodología de respuesta se basa en los análisis humanos”.
Primera Línea de Defensa: protección eficaz frente a ataques DDoS
Con el creciente poder y sofisticación de los ataques DDoS, así como otro tipo de ataques destinados a interrumpir el servicio, junto con la creciente facilidad para lanzar ataques, cada organización sin importar su tamaño, puede convertirse en una víctima. Con esto en mente, son necesarias nuevas formas de protección contra este tipo de ataques y no sólo utilizar las tradicionales tecnologías de seguridad, como firewalls o IPS, que son incapaces de bloquearlos.
Tal como afirma Larson, “una nueva Primera Línea de Defensa, con protección en tiempo real, es necesaria para hacer frente a ataques DDoS en el extremo de Internet para permitir que las tecnologías de seguridad tradicionales funcionen correctamente y aseguren la integridad y disponibilidad del servicio”
De este modo, para defenderse tanto de los ataques tradicionales DDoS como de aquellos que utilizan nuevos métodos, Corero recomienda a las organizaciones que tomen las siguientes medidas:
• Implementar tecnología adecuada para detectar, analizar y responder a los ataques de DDoS, a través de inspecciones del tráfico en Internet a la velocidad de línea, identificando y bloqueando amenazas desde los primeros paquetes de un determinado ataque.
• Establecer una estrategia de seguridad por capas centrándose en la visibilidad continua y en el cumplimiento de políticas de seguridad para establecer una primera línea de defensa capaz de mitigar ataques DDoS al tiempo que se mantiene la conectividad del servicio, disponibilidad y entrega de tráfico legítimo.
• Garantizar la visibilidad completa de aplicaciones y capas de red de eventos de seguridad DDoS. La mejor práctica también permitirá el análisis forense de las últimas amenazas e informes de cumplimiento de actividades de seguridad.