El equipo de redes Azure de Microsoft ha compartido detalles sobre cómo derrotaron uno de los mayores intentos de ataques distribuidos de denegación de servicio (DDoS) en la historia de Internet, que se dirigió a un cliente de Azure no identificado en Europa.
El ataque de 2,4 terabit por segundo (Tbps) tuvo lugar en la última semana de agosto y fue más del doble del tamaño del ataque más grande anterior a una sola IP detectado en Azure, un evento de 1Tbps que ocurrió en la primavera de 2020, a principios de la pandemia de Covid-19. También es más alto que cualquier evento volumétrico de red detectado previamente en Azure.
En un blog de divulgación, la gerente del programa Microsoft Azure Networking, Alethea Toh, y el ingeniero principal de redes, Syed Pasha, revelaron que el tráfico de ataque se originó en aproximadamente 70,000 fuentes en varios países de APAC y los EE. UU.
El vector era una reflexión del protocolo de datagramas de usuario (UDP) que abarcaba un período de poco más de 10 minutos, con tres ráfagas de corta duración que aumentaban en segundos. El primer pico fue de 2,4 Tbps, el segundo de 0,55 Tbps y el tercero de 17 Tbps.
“Ataques de este tamaño demuestran la capacidad de los malos actores para causar estragos al inundar los objetivos con volúmenes de tráfico gigantescos que intentan ahogar la capacidad de la red”, escribieron Toh y Pasha.
“Sin embargo, la plataforma de protección DDoS de Azure, construida sobre conductos distribuidos de detección y mitigación de DDoS, puede absorber decenas de terabits de ataques DDoS. Esta capacidad de mitigación distribuida agregada puede escalar masivamente para absorber el mayor volumen de amenazas DDoS, brindando a nuestros clientes la protección que necesitan ”.
El ataque fue mitigado con éxito por la lógica del plano de control DDoS de Azure, que asignó dinámicamente recursos a ubicaciones óptimas físicamente cerca del origen del ataque, lo que significa que nada del tráfico malicioso llegó a la región del cliente. Esta lógica se activa cuando el monitoreo continuo detecta que las desviaciones de las líneas base del volumen de tráfico son extremadamente grandes y tienen lugar en cuestión de segundos para mitigar y prevenir daños colaterales.
“Ya sea en la nube o en las instalaciones, todas las organizaciones con cargas de trabajo expuestas a Internet son vulnerables a los ataques DDoS”, escribieron los autores del blog. “Debido a la escala de absorción global de Azure y la lógica de mitigación avanzada, el cliente no sufrió ningún impacto ni tiempo de inactividad”.
La fundadora de ImmuniWeb, Ilia Kolochenko, quien también es miembro de la Red de Expertos en Protección de Datos de Europol, dijo que esta era una gran demostración de cómo las capacidades cibernéticas de los grandes proveedores de nube pública pueden ser de mayor beneficio.
“Prácticamente ninguna infraestructura local se resistiría a semejante DDoS aniquilador, incluso si estuviera protegida por una solución anti-DDoS basada en la nube”, dijo Kolochenko a Computer Weekly en comentarios enviados por correo electrónico. “Hemos sido testigos de cómo los mayores proveedores anti-DDoS abandonaron a algunos de sus clientes bajo ataques DDoS extremos para evitar cualquier impacto negativo en otros clientes.
“Los proveedores de nube líderes, en particular AWS y Azure, ofrecen probablemente la protección DDoS más completa y eficiente a su clientela. Todas las funciones premium son bastante costosas, sin embargo, ofrecen una increíble relación calidad-precio en comparación con otras soluciones “.
Kolochenko agregó que, si bien muchos citan las preocupaciones de ciberseguridad y cumplimiento como un obstáculo para mover datos a un entorno de nube pública, en realidad una infraestructura en la nube correctamente configurada y reforzada debería mejorar la postura de seguridad de cualquier persona a través de una mejor automatización y capacidades de respuesta a incidentes.
“Sin embargo, es esencial asegurarse de que su equipo esté debidamente capacitado antes de trasladar las joyas de la corona a una nube; la gran mayoría de los incidentes devastadores de nubes provienen de configuraciones incorrectas y errores humanos”, agregó.