Hoja de datos

Attribute Unmasking de Fastly

SeguridadMitigación de DDoS

DDoS Protection de Fastly aprovecha la técnica adaptativa de Attribute Unmasking para detectar, identificar y mitigar automáticamente los ataques de DDoS dirigidos a aplicaciones.

En esta página

Hoja de datos de Attribute Unmasking

La técnica adaptativa detrás de DDoS Protection de Fastly

Attribute Unmasking es una funcionalidad adaptativa de Fastly que detecta, identifica y mitiga automáticamente los ataques de DDoS dirigidos a aplicaciones y API. Su exclusiva técnica, que ofrece gran precisión y es capaz de mitigar ataques de DDoS en cuestión de segundos, constituye la base de DDoS Protection de Fastly y obedece a tres principios básicos:

  1. Todo comienza con una detección temprana y precisa del tráfico malicioso.

  2. La prioridad es evitar falsos positivos para poder ejecutar la mitigación con confianza.

  3. Los métodos de defensa deben ser poco transparentes, para compartir el mínimo de información posible con los atacantes.

Detección temprana y precisa del tráfico malicioso

Una detección temprana es esencial para Attribute Unmasking. La mayoría de ataques pasan de cero peticiones por segundo (RPS) a millones o cientos de millones rápidamente, para terminar en menos de un minuto. Al analizar los ataques que se dieron a lo largo de más de 90 días, Fastly detectó que los ataques suelen terminar antes de que un humano pueda darse cuenta y prepararse para responder (imagen 1): 

Fastly Attribute Unmasking Graph01

Imagen 1: duración de ataque observada, en segundos

  • El 90 % de los ataques duraron en total 150 segundos o menos.

  • El 50 % de los ataques duraron menos de 52 segundos.

Con tal de mitigar el ataque lo antes posible, DDoS Protection de Fastly ejecuta decisiones y procesos para desenmascarar los atributos en el edge global, en lugar de pasar por una función centralizada que tiene menos capacidad y acabará provocando un cuello de botella. Nuestra red, al estar definida por software, elimina dependencias de hardware especializado y otros componentes, como enrutadores, y da a Attribute Unmasking la capacidad y flexibilidad de procesar, analizar, diagnosticar y responder de forma rápida y efectiva sin afectar al tráfico legítimo.

Detección precisa

Identificar ataques y distinguirlos del tráfico orgánico puede ser todo un desafío, ya que los ataques más avanzados suelen mezclarse con el tráfico legítimo. Suponiendo que el personal puede reconocer el ataque de forma manual, para mitigarlo necesitará más tiempo, recursos, sistemas y demás, con todo lo que ello conlleva para el negocio. En cambio, Attribute Unmasking extrae las identidades correctas de los atacantes a partir de una lista completa de características que encuentra, entre otros, en los encabezados de las capas 3 y 4, la información de TLS y datos de la capa 7. Estas características pueden ser la dirección IP, el protocolo HTTP, propiedades de TLS, la geolocalización de la IP o rutas de entrada y salida de la red.  La funcionalidad obtiene los metadatos de peticiones entrantes y extrae los elementos que coinciden en cuanto a forma y volumen con el tráfico del ataque, en un proceso que constituye la manera más precisa y segura de detectar atacantes y mitigarlos, puesto que casi cada ataque tiene sus características únicas. 

Además, como Attribute Unmasking funciona con un sistema modular, podemos mejorar las capacidades de detección y mitigación en cuanto se descubren nuevos tipos de ataques, sin necesidad de desarrollar mecanismos de respuesta de arriba abajo. Así, cuando se produce un ataque como el de Rapid Reset, Fastly implementa unas cuantas funciones nuevas en los módulos de detección y respuesta, lo que explica los tiempos de actuación tan cortos incluso ante ataques inéditos. 

Lo mejor de todo es que los clientes no tienen que hacer nada, porque el sistema detecta ataques de DDoS de forma rápida y precisa y los mitiga automáticamente.

Mitigación segura

Todos los sistemas automatizados corren el riesgo de generar falsos positivos y bloquear tráfico legítimo. Además, tanto solos como acompañados de errores humanos han interrumpido múltiples servicios, pero si, en cambio, se aplican políticas poco estrictas, acaban produciéndose ataques.

Sirviéndose de una rápida detección y la extracción correcta de firmas, Attribute Unmasking implementa mitigaciones seguras en todo momento sin afectar al tráfico legítimo, puesto que pasan por procesos minuciosos de validación y revisión del código. Asimismo, Attribute Unmasking puede lidiar con múltiples ataques sincronizados y también es capaz de mitigar múltiples ataques simultáneos, de modo que tus servicios seguirán disponibles con el rendimiento de siempre ante cualquier atacante.

Métodos poco transparentes

Cuando se trata de los ataques de DDoS, la información es poder. Si los atacantes se enteran de algún aspecto de la red o recaban información de ataques frustrados anteriores, eso lo aplicarán a su siguiente jugada. En este juego constante del gato y el ratón, ocultar información a los atacantes se lo pone mucho más difícil para saber cómo adaptarse y cambiar sus métodos. Cuando detectan un ataque, la mayoría de las plataformas optan por actuar al momento para cortar la conexión con el atacante o impedir su acceso. Al hacer esto, el atacante se entera de que lo han descubierto y sabe que lo identificarán y bloquearán fácilmente a menos que cambie de estrategia. En cambio, Attribute Unmasking intenta reducir al máximo la cantidad de información que reciben los atacantes. 

Attribute Unmasking en acción

A continuación damos un ejemplo simplificado de cómo Attribute Unmasking detectó, identificó y mitigó un ataque de DDoS dirigido a uno de nuestros clientes. Attribute Unmasking supervisa el tráfico de los clientes en todo momento para reconocer picos anómalos en los patrones del tráfico (imagen 2). 

Fastly Attribute Unmasking Graph02

Imagen 2: detección de un ataque de ejemplo

Cuando se detecta un ataque, Attribute Unmasking dedica unos milisegundos a probar atributos individuales hasta que encuentra uno que corresponda con la curva de ataque (imagen 3).

Fastly Attribute Unmasking Graph 03

Imagen 3: probando atributos individuales

Una vez que Attribute Unmasking encuentra un atributo inicial que encaje, repite el proceso una vez tras otra, combinando otras características con tal de crear una ecuación que represente más fielmente el tráfico malicioso de más. Con cada atributo que se añade a la ecuación, la técnica reduce los grados de margen necesarios para aportar mejoras sucesivas al modelo. Este proceso continúa hasta que Attribute Unmasking crea una ecuación única que coincide con el tráfico malicioso excedente, y bloquea con total confianza la identidad única del atacante (imagen 4).

Fastly Attribute Unmasking Graph04

Imagen 4: probando conjuntos de atributos

Por muy intensivo en términos informáticos que parezca este proceso, la detección, identificación y mitigación se dan en cuestión de segundos gracias a la capacidad y velocidad del edge global de Fastly. Este ejemplo presentaba un solo ataque, pero el sistema también puede proteger de múltiples ataques simultáneos de distintos ciberdelincuentes.

Ante el continuo aumento de la sofisticación y el volumen de los ataques de DDoS, las soluciones complejas o manuales pierden toda efectividad. Attribute Unmasking es la solución automática que, con suma precisión, detecta, identifica y mitiga ataques de DDoS dirigidos a tus aplicaciones y API. Attribute Unmasking es el método de base de DDoS Protection de Fastly y funciona en cuestión de segundos, sin ajuste alguno, para que tu equipo no tenga que dedicar recursos a la seguridad ni que los usuarios finales noten una disminución en el rendimiento o la disponibilidad. Si quieres saber más sobre cómo DDoS Protection de Fastly te puede ayudar a mitigar automáticamente el impacto de los ataques de DDoS a tus aplicaciones, escríbenos.

¿List@ para empezar?

Habla con un experto
Fastly
© Fastly 2024