¿Necesita Cloud Computing? Empiece ahora

Akamai Behavioral DDoS Engine: un importante avance en la mitigación moderna de los ataques DDoS

Akamai Wave Blue

escrito por

Aseem Ahmed y Abdeslam Bella

November 07, 2024

Aseem Ahmed

escrito por

Aseem Ahmed

Aseem Ahmed es un experimentado profesional de la ciberseguridad con más de 17 años de experiencia, especializado en gestión de productos, aplicaciones web y seguridad de las API. En la actualidad, es responsable sénior de Gestión de Productos de Akamai y está al frente de equipos multifuncionales que desarrollan estrategias de seguridad para la protección contra ataques DDoS y a aplicaciones web.

Abdeslam Bella

escrito por

Abdeslam Bella

Abdeslam Bella es investigador de seguridad principal en el equipo de investigación de amenazas de Akamai y presta apoyo a las soluciones de seguridad de App & API Protector.

Akamai Behavioral DDoS Engine supone un potente complemento a cualquier estrategia de defensa en profundidad.
Akamai Behavioral DDoS Engine supone un potente complemento a cualquier estrategia de defensa en profundidad.

Panorama de las amenazas DDoS en constante cambio

A medida que crece la infraestructura digital, también lo hacen las amenazas derivadas de los ataques distribuidos de denegación de servicio (DDoS). Lo que inicialmente eran sencillos ataques volumétricos se han convertido en campañas multivectoriales muy sofisticadas, que buscan atacar los aspectos más vulnerables de la capa de aplicación. Los mecanismos de defensa tradicionales basados en rendimiento del tráfico, umbrales estáticos y firmas no resultan lo suficientemente eficaces para luchar contra amenazas tan complejas, por lo que es necesario contar con un enfoque más flexible e inteligente.

Tendencias clave en los ataques DDoS

  • Ataques multivectoriales: los atacantes utilizan cada vez más una combinación de varios vectores, lo que dificulta a las defensas estáticas el poder identificar y mitigar los ataques. En los últimos 18 meses, se registraron más de 11 billones de ataques DDoS a la capa 7 en los sectores de la alta tecnología, el comercio y las redes sociales.
  • Explotación de API: las empresas confían cada vez más en las interfaces de programación de aplicaciones (API), y esos puntos de entrada son aprovechados por los atacantes. Solo en 2024, se observaron 108 000 millones de ataques a API, donde una mayoría estaban basados en DDoS.
  • Creciente complejidad de las amenazas: el sector de los servicios financieros ha experimentado un aumento de ataques DDoS a la capa 7 debido a las tensiones geopolíticas. Estos ataques son cada vez más sofisticados, incluyendo botnets e inteligencia artificial (IA). Hemos podido observar un destacado aumento de los ataques que tenían como objetivo a bancos europeos.

Presentación de Behavioral DDoS Engine*

Para combatir estas amenazas en constante evolución, Akamai ha desarrollado Behavioral DDoS Engine, una capacidad de vanguardia incorporada a la solución Akamai App & API Protector , que se adapta a los patrones de ataque en tiempo real. Este innovador motor ofrece a las empresas la protección que necesitan frente a las amenazas DDoS sofisticadas y persistentes.

Descripción de la mitigación de DDoS basada en el comportamiento

La mayoría de las defensas tradicionales contra DDoS utilizan un sistema de detección basado en la velocidad y el volumen, a menudo configurado con umbrales estáticos y que puede generar falsos positivos. A diferencia de ellas, Akamai Behavioral DDoS Engine aprende de forma continua los patrones de tráfico, lo que le permite identificar y mitigar los ataques en tiempo real, minimizando a la vez cualquier posible interrupción en el tráfico legítimo. 

Al utilizar el aprendizaje automático (ML) para supervisar las anomalías, diferencia entre picos normales (como el caso de eventos virales) y ataques DDoS sofisticados, garantizando una protección proactiva y precisa sin ninguna intervención manual. Este enfoque adaptable permite una defensa más eficaz contra amenazas complejas.

En el análisis del comportamiento se incluye:

  • Supervisión del tráfico en tiempo real: el motor supervisa de forma constante el tráfico y analiza las solicitudes para establecer lo que se considera la actividad normal estándar.

  • Modelos de aprendizaje automático: los algoritmos avanzados analizan las desviaciones respecto a los patrones de tráfico normales e identifican las amenazas en tiempo real. De esta forma, el motor puede clasificar rápidamente los comportamientos anómalos y adoptar las medidas necesarias, con lo que mitiga incluso las amenazas más sutiles sin ninguna intervención humana.

  • Diferenciación del tráfico legítimo: el motor puede diferenciar entre picos de tráfico legítimo, como los causados por un evento viral, y ataques DDoS reales a la capa 7, a menudo altamente distribuidos y que imitan el comportamiento legítimo.

Un potente complemento a su estrategia de defensa en profundidad

Akamai Behavioral DDoS Engine supone un potente complemento a su estrategia de defensa en profundidad, que completa los enfoques tradicionales de detección basados en la velocidad. Aunque la limitación de la velocidad sigue siendo muy útil a la hora de gestionar el tráfico, a menudo es necesario realizar ajustes manuales. 

Behavioral DDoS Engine automatiza la detección de amenazas mediante el aprendizaje automático avanzado y la información obtenida de la plataforma global de Akamai, en concreto, 946 TB de datos de eventos de seguridad diarios. En conjunto, estas herramientas permiten adoptar un enfoque equilibrado, en el que se combina la precisión de la limitación de velocidad con la capacidad de adaptación del análisis de comportamiento, garantizando una sólida protección contra amenazas DDoS complejas.

Protecciones contra DDoS personalizadas en función de las necesidades de su sitio web o API

Behavioral DDoS Engine ofrece funciones de seguimiento avanzado y análisis predictivo para supervisar las tendencias del tráfico con un volumen cambiante, como el origen del tráfico del país, los patrones de TLS del cliente y las huellas digitales de la red. Al analizar el tráfico de cada nombre de host y método de protocolo de transferencia de hipertexto (HTTP), la nueva función adapta las estrategias de protección a las necesidades específicas de cada sitio web o API. 

Esta capacidad de adaptación garantiza que el motor se mantenga al tanto de las amenazas emergentes y de las investigaciones sobre seguridad, sin necesidad de que los clientes tengan que realizar ninguna actividad adicional. El motor también puede ajustar automáticamente el volumen del tráfico a medida que las amenazas cambien. Como resultado se consigue una defensa sólida que mejora la seguridad, pero ofreciendo a la vez una experiencia de usuario óptima.

En la figura 1 se muestran los nuevos informes de tráfico estándar que ayudan a mejorar la confianza del usuario, al mostrar el estado estándar del tráfico y la información clave sobre protección.

Estado del tráfico estándar e información de protección clave descritos en un gráfico. Fig. 1: Estado de tráfico estándar e información clave sobre la protección en un informe de Behavioral DDoS Engine.

La solución detecta cualquier pico de tráfico anómalo y lo filtra del tráfico estándar para garantizar la precisión (Figura 2). Esto da como resultado un tráfico limpio que se utiliza para generar varias vistas dimensionales, cada una de ellas adaptada a diferentes métodos de solicitud HTTP, como GET, POST y otros (entre ellos incluso métodos menos comunes, como PUT, PATCH, DELETE, etc.).

Informe de Behavioral DDoS Engine representado en un gráfico. Fig. 2: Informe sobre Behavioral DDoS Engine en el que se destaca la actividad de normalización estándar.

Enfoque sin intervención según su propensión al riesgo

Behavioral DDoS Engine ofrece tres niveles de protección, que le permiten elegir la opción que mejor se adapte a sus necesidades de tolerancia al riesgo y seguridad empresariales (Figura 3).

Informe de Behavioral DDoS Engine en el que se destacan los niveles de sensibilidad mostrado en un gráfico. Fig. 3: Informe de Behavioral DDoS Engine en el que se destacan los niveles de sensibilidad respecto al valor estándar.

Estricto: permite una respuesta rápida incluso a anomalías leves. Está recomendado para entornos con un alto nivel de seguridad, donde pequeñas desviaciones en el tráfico podrían indicar un posible ataque DDoS.

Moderado: (recomendado por Akamai) ofrece un enfoque donde se consigue un equilibrio entre una protección sólida y una optimización del nivel de falsos positivos. Está recomendado para la mayoría de los entornos operativos, donde se espera que se produzcan algunas fluctuaciones de tráfico.

Conservador: proporciona tolerancia para desviaciones de tráfico más importantes y grandes fluctuaciones de tráfico que, de no gestionarse, podrían activar innecesariamente protecciones DDoS.

Lo que hay detrás: cómo interactúa todo

La solución se elabora a partir de varios ingredientes clave, donde cada uno de los componentes resulta esencial en la receta general (Figura 4).

  • El motor de detección identifica los ataques DDoS gracias a una vista multidimensional del tráfico y aprovecha la inteligencia del generador estándar.
  • El motor de mitigación identifica y contrarresta a los atacantes DDoS mediante combinaciones de dimensiones, además de aprovechar la inteligencia tanto del generador estándar como de las señales de amenazas.

  • Estas últimas, incluida la heurística de la inteligencia sobre DDoS de la plataforma, ofrecen información sobre los atacantes DDoS basada en datos históricos de ataques, aprovechando tanto los abundantes datos de Akamai como la experiencia del equipo de investigación de amenazas de Akamai.

filler

  • El validador estándar, con la ayuda de los ajustes basados en IA, es un componente esencial que evalúa cientos de ataques DDoS al mes para optimizar la solución.

  • La reducción del ruido y de los falsos positivos constituyen un marco de modelo de aprendizaje automático que transforma los datos sin procesar en información valiosa tanto para el generador estándar como para el validador estándar.

  • El generador estándar es el componente principal que procesa los datos limpios durante un periodo de dos semanas. Además, utiliza los últimos resultados de la investigación sobre amenazas para crear varios perfiles de tráfico y configuraciones para los motores de detección y mitigación.

La mejor eficacia y precisión de su clase

Behavioral DDoS Engine mejora la seguridad, optimizando la precisión de la detección y minimizando el efecto negativo en los usuarios legítimos. Ofrece mitigación proactiva al anticipar y neutralizar las amenazas antes de que afecten a las operaciones. 

Echemos un vistazo a dos casos prácticos en los que se describe cómo Behavioral DDoS Engine puede ayudar a los equipos de seguridad con una mayor eficiencia operativa, una menor intervención manual y una integración perfecta en los flujos de trabajo existentes, para conseguir una gestión de la seguridad más optimizada sin que la protección se vea afectada. [Nota: Los resultados pueden variar en función de los ajustes de sensibilidad que los clientes elijan y de los niveles de tráfico correspondientes considerados estándar. El nivel de precisión observado en los siguientes casos prácticos se ha determinado en relación con los ajustes de sensibilidad estrictos.]

Caso práctico n.º 1: Detección de un ataque DDoS a la capa 7 altamente distribuido durante los Juegos Olímpicos de París

El blanco del ataque fue un sitio web de venta de entradas. Se trató de un ataque altamente distribuido que envió 1400 millones de solicitudes HTTP GET con aleatorización TLS desde más de 7000 direcciones IP en 839 redes. Behavioral DDoS demostró una precisión superior, con un nivel de detección y mitigación del 99,95 %.

Caso práctico n.º 2: Protección de una página de inicio de comercio electrónico en la región de Asia-Pacífico y Japón (APJ) contra un ataque DDoS altamente distribuido

Se trató de un ataque DDoS que generó, en su punto máximo, 185 millones de solicitudes HTTP GET con aleatorización TLS desde más de 5000 direcciones IP en 643 redes. De nuevo, Behavioral DDoS Engine demostró una precisión superior, con un nivel de detección y mitigación del 99,50 %.

Una nueva era de defensa contra DDoS con Akamai App & API Protector

La nueva solución Akamai Behavioral DDoS Engine supone un importante avance en la defensa moderna contra amenazas, ya que ofrece una protección proactiva e inteligente para satisfacer las demandas del complejo panorama de amenazas actual. Con esta innovación se mejora la precisión de la detección, se reduce la intervención manual y se integra a la perfección en los flujos de trabajo existentes.

Más información

¿Está preparado para ver a Behavioral DDoS Engine en acción? Póngase en contacto con nosotros para obtener una demostración, acceso anticipado o un análisis técnico de cómo Akamai puede reforzar su estrategia de mitigación de DDoS.

Obtenga además la receta para una defensa contra ataques DDoS avanzados a la capa 7

Descargue el recetario Conviértase en chef de ciberseguridad: Prepare el recetario definitivo para demostrar fortaleza ante DDoS de capa 7 hoy mismo y dote a su equipo de los conocimientos y las herramientas que necesitan para ir un paso por delante de las amenazas más recientes en ciberseguridad.

La protección moderna contra DDoS de capa 7 no solo consiste en evitar el tiempo de inactividad, sino en proteger su marca, a sus clientes y sus resultados. Funciones como la limitación de velocidad y la protección contra ataques DDoS basados en el comportamiento a la capa de aplicación son esenciales para garantizar una gestión correcta de las solicitudes HTTP y conseguir mitigar el tráfico malicioso. 

*Behavioral DDoS Engine está disponible actualmente solo para clientes específicos. El acceso a toda la plataforma estará disponible en 2025.



Akamai Wave Blue

escrito por

Aseem Ahmed y Abdeslam Bella

November 07, 2024

Aseem Ahmed

escrito por

Aseem Ahmed

Aseem Ahmed es un experimentado profesional de la ciberseguridad con más de 17 años de experiencia, especializado en gestión de productos, aplicaciones web y seguridad de las API. En la actualidad, es responsable sénior de Gestión de Productos de Akamai y está al frente de equipos multifuncionales que desarrollan estrategias de seguridad para la protección contra ataques DDoS y a aplicaciones web.

Abdeslam Bella

escrito por

Abdeslam Bella

Abdeslam Bella es investigador de seguridad principal en el equipo de investigación de amenazas de Akamai y presta apoyo a las soluciones de seguridad de App & API Protector.