Mitigación de los ataques Low-and-Slow a las aplicaciones y APIs


This post is also available in: Inglés Francés Alemán Italiano Portugués, Brasil Ruso

“Low-and-Slow ” puede sonar como un concepto obsoleto, pero sigue siendo muy relevante y oportuno. El 65% de las organizaciones sufrió ataques low-and-slow en 2020; el 30% de ellos mensuales. ¡Entonces, démosle los cinco minutos que se merecen!

Cuando un atacante quiere desactivar una aplicación, la forma más sencilla es lanzar una gran cantidad de tráfico a la aplicación y desactivar el servidor de las aplicaciones (Negación de Servicios Distribuidos o DDoS). Sin embargo, hoy existen muchas tecnologías que pueden detectar y bloquear dichos intentos, ya sea mediante bloqueo de IP o basado en firmas, gestión de cuotas o soluciones de mitigación de DDoS dedicadas.

Durante el último mes, además de las inundaciones, hemos visto reaparecer otra técnica antigua pero muy efectiva: el ataque low-and-slow. A fines de febrero, Radware ya había percibido un incremento del 20% en los ataques Low-and-Slow contra nuestros clientes, comparado con el último trimestre de 2020.

Una actualización sobre ataques Low-and-Slow

En lugar de generar una explosión repentina de volumen de tráfico, los ataques Low-and-Slow (también conocidos como de nivel bajo) vuelan bajo el radar. Dejan conexiones abiertas, crean una cantidad relativamente baja de conexiones durante un período de tiempo y dejan esas sesiones abiertas durante el mayor tiempo posible para intentar desactivar un objetivo.

Los métodos comunes incluyen solicitudes de HTTP parciales y envío de paquetes de datos pequeños o mensajes “persistentes” para evitar que la sesión quede inactiva o se acabe el tiempo. Estos vectores de ataques no son solo difíciles de bloquear, sino también de detectar.

[También puede interesarte: Cómo mantener las APIs seguras en un mundo interconectado]

Existen varias herramientas conocidas disponibles para lanzar dichos ataques, que incluyen SlowLoris, SlowPost, SlowHTTPTest, Tor’sHammer, R.U.Dead.Yet y LOIC.

Los ataques low-and-slow, que solían ser muy eficaces contra las aplicaciones, están aprovechando las APIs descuidadas que no están tan protegidas como las aplicaciones, y se abren camino hacia su objetivo. Debido a su bajo volumen, y lo que puede parecer un intento legítimo de conectarse a la aplicación o recursos del servidor, requieren una tecnología de mitigación diferente. La fuente debe bloquearse basándose en su comportamiento más que en su reputación.

Bloqueo de comportamiento

La sincronización entre los componentes de detección y mitigación es una de las razones por las que Radware es un reconocido líder de la industria en la protección contra DDoS: Los algoritmos de aprendizaje del comportamiento monitorean y miden la cantidad de respuestas a la conexión TCP, tanto del cliente como del servidor, y comprueban que la fuente esté realmente actuando con la aplicación como se esperaba.

Este método no interactúa con la aplicación ni representa un riesgo, ya que la mitigación se hace a nivel de la sesión. Luego, mediante un mecanismo de señalización único y workflows automatizados, los siguientes intentos se bloquearán en el perímetro de la red y no causarán ningún impacto en la aplicación.

Ben Zilberman

Ben Zilberman is a director of product-marketing, covering application security at Radware. In this role, Ben specializes in web application and API protection, as well as bot management solutions. In parallel, Ben drives some of Radware’s thought leadership and research programs. Ben has over 10 years of diverse experience in the industry, leading marketing programs for network and application security solutions, including firewalls, threat prevention, web security and DDoS protection technologies. Prior to joining Radware, Ben served as a trusted advisor at Check Point Software Technologies, where he led channel partnerships and sales operations. Ben holds a BA in Economics and a MBA from Tel Aviv University.

Contact Radware Sales

Our experts will answer your questions, assess your needs, and help you understand which products are best for your business.

Already a Customer?

We’re ready to help, whether you need support, additional services, or answers to your questions about our products and solutions.

Locations
Get Answers Now from KnowledgeBase
Get Free Online Product Training
Engage with Radware Technical Support
Join the Radware Customer Program

CyberPedia

An Online Encyclopedia Of Cyberattack and Cybersecurity Terms

CyberPedia
What is WAF?
What is DDoS?
Bot Detection
ARP Spoofing

Get Social

Connect with experts and join the conversation about Radware technologies.

Blog
Security Research Center