Los ataques DDoS (por sus siglas en inglés distributed denial-of-service) se dan cuando un ordenador o servidor es asaltado desde muchos equipos a la vez. Esto, como es lógico, abruma una infraestructura y hace que los recursos del servidor no sean suficientes, lo que conlleva a que estos dejen de funcionar.
Normalmente, los ciberdelincuentes se sirven de los ataques DDoS para actuar como cortina de humo y, mientras tanto, robar datos delicados.
Azure ofrece varios productos de seguridad de red que ayudan a las organizaciones a proteger sus aplicaciones: Azure DDoS Protection, Azure Firewall y Azure Web Application Firewall (WAF). Los clientes despliegan y configuran cada uno de estos servicios por separado para mejorar la postura de seguridad de su entorno, ya que cada producto tiene un conjunto único de capacidades para hacer frente a vectores de ataque específicos. Sin embargo, el mayor beneficio se da cuando estas herramientas se combinan.
Ahora, Microsoft ha anunciado la nueva solución Azure DDoS Protection para Microsoft Sentinel, que permite a los clientes identificar a los atacadores a partir de las señales de seguridad DDoS de Azure y bloquear posibles nuevos vectores de ataque en otros productos, como Azure Firewall.
Uso de Microsoft Sentinel como enlace para la corrección de ataques
Cada uno de los servicios de seguridad de red de Azure está totalmente integrado con Microsoft Sentinel, una solución de gestión de eventos e información de seguridad (SIEM) cloud native. Sin embargo, el gran potencial de Sentinel reside en recopilar señales de los servicios de seguridad independientes y analizarlas para crear una visión centralizada del panorama de los ataques. Sentinel correlaciona los eventos y crea incidentes cuando se detectan anomalías para, seguidamente, automatizar la respuesta y mitigar los ataques.
En caso de que unos ciberdelincuentes utilizasen ataques DDoS como cortina de humo para el robo de datos, Sentinel detectaría el ataque y utilizaría la información recopilada sobre las fuentes de dicho ataque para prevenir las siguientes fases del ciclo de vida del adversario. Mediante el uso de capacidades de remediación en Azure Firewall y otros servicios de seguridad de red en el futuro, se bloquean las fuentes de ataque DDoS.
Detección y corrección automatizadas de ataques sofisticados
La nueva solución Azure DDoS Protection Solution para Sentinel ofrece un único paquete de soluciones que permite a los clientes alcanzar este nivel de detección y corrección automatizadas. La solución incluye los siguientes componentes:
- Libro de trabajo y conector de datos de Azure DDoS Protection.
- Reglas de alerta que ayudan a recuperar el origen de los atacantes. Se trata de nuevas reglas creadas específicamente para esta solución. Los clientes pueden utilizarlas para alcanzar otros objetivos de su estrategia de seguridad.
- Un Playbook IP de remediación que crea automáticamente la remediación en Azure Firewall para bloquear el origen del ataque DDoS. Aunque documentemos y demostremos cómo utilizar Azure Firewall para la remediación, cualquier firewall de terceros que tenga un Sentinel Playbook puede utilizarse para la remediación. Esto proporciona flexibilidad a los clientes para utilizar esta nueva solución DDoS con cualquier cortafuegos.
Veamos un par de casos de uso para esta remediación de ataques entre productos.
Remediación con Azure Firewall
Consideremos una organización que utiliza Azure DDoS Protection y Azure Firewall, así como el escenario de ataque de la siguiente figura:
Un adversario controla un bot comprometido. Comienza con un ataque DDoS de cortina de humo, dirigido a los recursos de la red virtual de esa organización y, a continuación, planea acceder a los recursos de la red mediante escaneos e intentos de suplantación de identidad hasta que consiguen acceder a los datos confidenciales.
En este escenario, Azure DDoS Protection detecta el ataque de cortina de humo y mitiga esta inundación volumétrica de la red. Paralelamente, comienza a enviar señales de registro a Sentinel, programa que recupera las direcciones IP de los registros y despliega las reglas de corrección en Azure Firewall. Estas reglas impedirán que cualquier ataque alcance los recursos de la red virtual.
Remediación con Azure WAF (disponible próximamente)
Consideremos ahora otra organización que ejecuta una aplicación web en Azure; esta utiliza Azure DDoS Protection y Azure WAF para proteger su aplicación web. El objetivo del adversario en este caso es atacar la aplicación web y filtrar datos confidenciales comenzando con un ataque DDoS de cortina de humo para, posteriormente, lanzar ataques web a la aplicación.
En este caso, Azure DDoS Protection detecta el ataque, comienza a mitigarlo y envía los registros a Sentinel, herramienta que recupera las fuentes del ataque y aplica la corrección en Azure WAF para bloquear futuros ataques web a la aplicación.
¿Quieres aprovechar al máximo los servicios de seguridad de Azure para orquestrar automáticamente la detección y mitigación de ataques? Ponte en contacto con nosotros a través del correo hello@algoritmia8.com o bien llamándonos al (+34) 93 786 87 77.