Las empresas experimentan 4.5 incidentes DDoS al año, con un ancho de banda de 1,7 GB por evento. La duración media de los ataques es de 8.7 horas, con un promedio de interrupciones de servicio de 2.3 horas por suceso. Estos son los principales resultados de la Encuesta sobre Ataques DDoS (2014) realizada por el Instituto SANS, en el que participaron 378 profesionales de TI de diferentes sectores y de todos los continentes.
En este sentido, casi el 40% de las organizaciones participantes en esta encuesta admite encontrarse completamente, o, en su mayoría, poco preparadas para lidiar contra un ataque DDoS; con un 23% que reconoce no contar con un plan de mitigación de DDoS y otro 16% que asegura no tener conocimiento de su implantación. Por el contrario, únicamente el 50% de los que lo tienen, confirma haberlo probado alguna vez.
Según Ashley Stephenson, CEO de Corero Network Security: «Si bien en los últimos meses hemos apreciado mejoras en el enfoque adoptado por las organizaciones para prepararse ante un hipotético ataque DDoS, es evidente que muchas empresas aún no están capacitadas para responder ante ellos. Las organizaciones no pueden asumir que por pertenecer a una determinada industria o por el tamaño de sus negocios son inmunes ante este tipo de ataques, y no deben arriesgar su reputación y posibles ventas basándose en esta hipótesis».
¿Importa el tamaño cuándo se trata de ataques DDoS?
Los ataques DDoS tienden a utilizar un pequeño conjunto de puertos de Internet y una variedad de técnicas para causar daños. Por su tipología, los ataques DDoS experimentados se distribuyen de la siguiente forma: objetivos (contra la capa de aplicación), un 42%; volumétricos o de fuerza bruta/inundaciones (41%); y ataques que combinan ambas técnicas (39%).
En cuanto a su tamaño, esta encuesta revela que la mayoría de las organizaciones (53%) que han sido objeto de un ataque DDoS, éste fue igual o menor a 2 gigabytes; sin embargo, también destaca que, a pesar de esto, pueden causar un daño sustancial.
A este respecto Ashley Stephenson, declara: «Mientras que los ataques de alto perfil dominan los titulares de las noticias, muchas organizaciones están sufriendo embestidas mucho más pequeñas y de forma regular. Dichos asaltos están destinados a identificar los puntos débiles de las infraestructuras de TI de las organizaciones o a servir como cortina de humo para esconder otros de mayor escala».
Un enfoque múltiple como respuesta a la problemática de los ataques DDoS
En cuanto a las principales iniciativas que las empresas están llevando a cabo para luchar contra este tipo de ataques, destacan diferentes acciones.
Por un lado, y aunque la experiencia ha demostrado que el método menos eficaz para mitigar un ataque de denegación de servicio es la utilización de herramientas tradicionales (servidores, gateways, routers, switches, o firewalls) un 26% de los participantes confirma recurrir a ellas.
De forma positiva, el número de empresas que ya adoptan una arquitectura de mitigación mixta, basada en la combinación de soluciones en local con el apoyo de ISPs o proveedores de servicio DDoS, empieza a ser más elevado. Así, lo confirma el 41% de los encuestados, de los cuales, un 23% manifiesta contar con su ISP (junto con su solución instalada) y un 19% con su proveedor de servicio DDoS + solución. Apenas, poco más del 10% confía únicamente en una solución de mitigación, menos del 10% dependen completamente de los ISP, y sólo el 8% se basa exclusivamente en los proveedores de servicios de mitigación de DDoS externos.
La evidencia anecdótica muestra que las grandes empresas están adoptando cada vez más esta combinación enfoques, mientras que las más pequeñas, que se sienten menos propensas a ser el blanco de ataques importantes, utiliza un enfoque de servicios puro.
En lo que respecta a los factores más valorados en una solución de mitigación de DDoS, los participantes destacan su capacidad para prevenir daños a aplicaciones específicas, seguido de la preservación del ancho de banda y de la forma de gestionar los ataques de alto volumen. Estas aseveraciones reflejan que existe una preocupación por parte de las empresas para proteger sus sesiones de negocios legítimas de interrupciones accidentales. No obstante, llama la atención que las soluciones automatizadas que requieren poca o ninguna intervención humana no se encuentren entre las más demandadas.