Uno de los principales impactos de los ataques DNS el aumento del coste que suponen, así como su rápida evolución y la diversidad de tipos de ataque, El robo de datos a través de DNS sigue siendo un gran problema en el entorno corporativo. Para protegerse las organizaciones están priorizando la seguridad de los puntos finales de la red y mejorando la monitorización del tráfico de DNS. Hablamos de todo ello con Carlos Arnal, Product Marketing Manager – Endpoint Security en Panda.
-
¿Por qué cree que se han incrementado tanto los ataques DNS contra empresas?
Porque es un tipo de ataque rentable para el ciberatacante a la hora de alcanzar sus objetivos, que van desde el lucro económico a la obtención del principal activo de las empresas a día de hoy: los datos. Para lograr este objetivo algunos ataques tienen el objetivo de hacer caer determinadas plataformas, como una página web, saturando los recursos del sistema que aloja el servicio que se quiere interrumpir, enviándoles una avalancha de peticiones que no son capaces de atender. Otros ataques tratan de conseguir modificar la dirección IP, sustituyendo la IP del servidor legítimo por otra dirección IP falsa, provocando que el usuario acabe conectándose a un servidor ilegítimo, de forma que la información acaba en manos del atacante, especialmente las contraseñas y cuentas utilizadas para el acceso.
Pero hay que tener en cuenta que estos ataques no solo son perpetrados por grupos de ciberdelincuentes organizados con fines económicos, también los realizan ciberatacantes que los utilizan como método de protesta y ciberactivismo por decisiones de gobiernos o actuaciones de empresas. Como hemos visto en casos mediáticos, esta tipología de ataque ha provocado que gigantes tecnológicos como Twitter, Tumblr, Spotify, The New York Times o la CNN tuvieran que dejar de dar servicio temporalmente. Por último, cabe destacar que este tipo de ataques no solo afectan a sistemas para el uso doméstico, sino que existen multitud de servicios, que son esenciales en nuestro día a día empresarial y están digitalizados, que se ven afectados, provocando el fallo de estos sistemas en momentos críticos.
-
¿Cree que la pandemia ha ayudado a ese incremento?
Igual que han incrementado el número de dominios fraudulentos, correos electrónicos de phishing, y otras tretas de los cibercriminales usando el COVID-19 como gancho, los ataques DNS también aumentaron. Y no solo aumentan en número, sino también en la cantidad de ancho de banda y rendimiento consumidos, así como su complejidad. A pesar de que los proveedores de Internet y de soluciones cloud de seguridad endpoint hemos luchado para gestionar de manera fiable el aumento del tráfico, debido a los cambios repentinos en cuanto a la administración de equipos y el refuerzo de la protección en los endpoint fuera del perímetro de seguridad–de la oficina – por la práctica extendida del teletrabajo- también hemos tenido que luchar contra los atacantes DNS, que han aumentado su actividad durante la cuarentena, como recogen recientes estudios.
-
¿Cuál es el principal peligro/efecto de este tipo de amenazas?
Existe una gran variedad de ataques DNS ante los que las empresas deberían tomar medidas preventivas, cada uno con sus peligros e igualmente preocupantes para las empresas. El primero de ellos es el ataque DDoS (Distributed Denial of Service) al servidor DNS. Consiste en utilizar un elevado número de dispositivos atacantes contra el objetivo. Los ataques DDoS muchas veces son llevados a cabo por bots, sistemas infectados cuyo propietario muchas veces desconoce que sus dispositivos forman parte de esta red maliciosa. Se diferencia de los ataques DoS en que, en el DDos, cada petición proviene desde una determinada IP, de modo que se trata de un tipo de ataque mucho más complicado de detectar.
La segunda modalidad que más preocupa a las empresas es la sustracción de datos vía DNS. En este caso, los cibercriminales aprovechan el DNS para filtrar información por medio del protocolo de incorporación de datos, utilizando un túnel para transferir información o tomar control del ordenador. Ya que los firewalls y otras soluciones de seguridad tradicionales aunque útiles, son insuficientes ante este tipo de ataques, al no disponer de las capacidades de detección necesarias para detectar, bloquear y remediar este tipo de ataques.
Otro de los ataques que más quebraderos de cabeza está causando a los profesionales de IT es el ataque zero-day. En esta modalidad, el atacante aprovecha una brecha de seguridad en el protocolo DNS o en el software del servidor en el mismo día en el que sale a la luz esa vulnerabilidad y esta no ha sido parcheada. Con una consulta previamente formulada al servidor, el atacante puede bloquear el sistema y causar serias complicaciones en la empresa víctima del ataque.
Incorporar soluciones de ciberseguridad avanzada como Panda Adaptive Defense que protejan de forma centralizada todas las estaciones de trabajo y servidores, con capacidades EDR automatizadas de prevención, detección y remediación; es la manera más fiable de evitar estos peligros y proteger la red corporativa, los sistemas y equipos de las empresas de sus consecuencias.
-
¿Cree que, a pesar de todo, se ha incrementado la concienciación empresarial acerca de cómo resolver estos ataques?
El impacto económico de un ataque que utilice el DNS es demasiado alto como para no prestar atención a las posibles vulnerabilidades que lo permiten, por lo que la concienciación contra este tipo de ataques y sobre la importancia de la ciberseguridad –en general- está en auge en el seno de las empresas. En el último año las organizaciones han sufrido un 34% más de ataques, lo que ha supuesto un coste medio de 950.000 euros (1.070.000 dólares) para una de cada cinco empresas– según IDC- provocando el parón de sus aplicaciones en el 63% de los casos. Un sistema inseguro de DNS es ya de por sí una invitación a que los atacantes accedan a la información de tu empresa y perjudiquen su tiempo de servicio online. Por este motivo, es resulta clave para las empresas invertir los máximos recursos posibles en implementar medidas y soluciones de ciberseguridad adecuadas, teniendo en cuenta la popularización de estos ataques.
-
¿De qué manera se puede mejorar el uso del DNS y cómo puede ayudar el Canal a que sus clientes lo logren?
Estos son los 4 consejos de Panda Security para combatir los ataques DNS:
1- La administración de parches puede ser la herramienta más efectiva utilizada para proteger tu empresa de las vulnerabilidades y la menos costosa de mantener si se implementa de manera eficiente. Es altamente recomendable automatizar el descubrimiento, la planificación, la instalación y la monitorización de parches y actualizaciones críticos para tu organización, evitando así que las vulnerabilidades sean utilizadas por los hackers para penetrar en los sistemas. El resultado es una reducción de la superficie de ataque, fortaleciendo las capacidades preventivas, y de contención ante incidentes de seguridad.
2- Disponer de herramientas para el filtrado del tráfico de red que reciben o envían los equipos en función del tipo de red a la que se conectan. Estas herramientas tendrán la capacidad proporcionar máxima protección ante ataques DNS mediante reglas de sistema.Protección de los programas y su comunicación, y un sistema de detección de intrusos y patrones de tráfico mal formado.
3- Implementar un sistema de detección y prevención de intrusiones (IDS/IPS) que monitorice las conexiones y nos alerte de la detección de intentos de acceso no autorizados o debido a un mal uso de protocolos. La correcta configuración del Firewall y de un sistema de detección de intrusos (IDS), permite la reducción de la superficie de ataque y exposición de los equipos, evitando además la comunicación de los programas con el exterior.
4- Incorporar soluciones de ciberseguridad avanzada que protejan de forma centralizada todas las estaciones de trabajo y servidores, para ello lo ideal es disponer de una solución que integre tecnologías tradicionales preventivas y tecnologías innovadoras de prevención, detección y respuesta adaptativas contra ciberamenazas avanzadas. Además, este tipo de solución cloud debe incorporar un cortafuegos de aplicación o WAF (Web Application Firewall). Esta aplicación de seguridad web basada en la nube pueden ser de gran ayuda a la hora de evitar y mitigar los efectos de un ataque de denegación de servicio.