Inteligencia Artificial utilizada en ataques DDOS

La Inteligencia Artificial en DDoS elimina completamente la participación humana, atacando múltiples vectores. ¡ Prepárate para el futuro !

La velocidad a la que ha evolucionado la ciberseguridad en la última década ha sorprendido a todos. Diferentes tipos de amenazas y métodos de ataque han estado apareciendo constantemente, atacando aplicaciones web a una velocidad alarmante. Desafortunadamente, los fundamentos del diseño de aplicaciones web no se establecieron teniendo en cuenta la seguridad. Por lo tanto, el diseño disperso y los servidores web continúan planteando desafíos a los profesionales de la ciberseguridad.

Si no se aplican las medidas de seguridad correctas, las amenazas existentes que han existido durante años, infundirán el tiempo de inactividad de la aplicación y sus brechas de datos. Esta es la principal preocupación de los profesionales de la ciberseguridad. Si no podemos protegernos contra los ataques en las aplicaciones web de hoy, ¿cómo lucharemos contra las amenazas desconocidas del mañana?

Los desafíos que vemos hoy en día se ven agravados por el uso de la Inteligencia Artificial (IA) por parte de los ciberdelincuentes. Los ciberdelincuentes ya tienen un extenso arsenal a su disposición, pero para empeorar las cosas, ahora tienen la capacidad de combinar sus conjuntos de herramientas existentes con el poder desconocido de la IA.

AI y Machine Learning (ML), creado para mejorar vidas, ahora se utiliza para ingresar en aplicaciones web. Este tipo de ataque automatizado basado en las máquinas, nunca se ha visto antes. El aumento de los ataques basados ​​en máquinas no es algo que deba abordarse en un futuro lejano, es un tipo de ataque que los profesionales de la seguridad debemos preparar desde hoy.

Desde el primer día, los profesionales de la ciberseguridad deben defenderse contra este tipo desconocido de ataques, de una máquina lanzando ataques contra  aplicaciones. ¿Cual es el punto más rápido y fácil para comenzar esta estrategia de defensa? La respuesta es; justo en el nivel de la aplicación web.

¿Qué es la inteligencia artificial?

La inteligencia artificial es parte de una amplia rama de la informática, que implica la creación de sistemas que puedan funcionar de forma autónoma e independiente.

El sistema más complejo conocido por el hombre es el cerebro humano, y en el pasado, los sistemas más poderosos no podían igualar su sofisticación. Su objetivo es crear «una mente» que piense exactamente de la misma manera que la mente humana. ¿La inteligencia de la raza humana será igualada por la inteligencia de una máquina?

El campo de la IA se ha expandido rápidamente en los últimos años. Nadie sabe con precisión el efecto, por ejemplo, en las aplicaciones web una vez que los piratas informáticos lo tengan en sus manos con el fin de causar daño.

Inteligencia Artificial en DDoS

La inteligencia artificial combinada con DDoS está cambiando el juego y estamos empezando a ver el lanzamiento de ataques DDoS basados ​​en AI. Si las pilas de aplicaciones existentes y las infraestructuras subyacentes no son capaces de lidiar de manera eficiente con los DDoS existentes, ¿cómo podemos esperar que estas aplicaciones web soporten un tipo de ataque DDoS automatizado basado en máquinas mejoradas y autónomas?

Antes de abordar algunas de las soluciones inmediatas, debemos proteger las aplicaciones web. Por lo tanto, examinemos primero la evolución de los DDoS y la rapidez con la que ha evolucionado pasando del atacante humano a un atacante basado en máquinas.

La evolución de DDoS

A principios de la década de 2000, se creaban scripts de shell simples para eliminar una sola página web. Por lo general, se utilizaba una firma de ataque de una sola dirección IP de origen. Esto se conoció como un ataque clásico basado en Bot, que fue efectivo para eliminar una sola página web. Sin embargo, este tipo de amenaza necesitaba un humano para lanzar cada ataque individual. Por ejemplo, si deseábamos detener diez aplicaciones web, deberíamos presionar «enter» en el teclado diez veces.

Entonces se empezó a encontrar scripts simples compilados con bucles. Bajo este ataque mejorado, en lugar de teclear cada vez que se quería cerrar una página web, este actor simplemente agregaría un bucle al script. El ataque todavía usaba solo una dirección IP de origen y era conocido como la denegación de servicio clásica (DoS).

Así, el juego del gato y el ratón continuó entre los desarrolladores de aplicaciones web y «los malos». Los parches fueron lanzados rápidamente. Se aplicaron parches a la aplicación web y los servidores web a tiempo, y mientras existiera un buen diseño, se podría evitar este tipo de ataques conocidos.

Finalmente, los atacantes comenzaron a distribuir utilizando múltiples fuentes para lanzar el ataque creando una superficie más grande. Esto se conocía como denegación de servicio distribuido (DDoS). La propagación de malware desde el enfoque manual a un enfoque automático complicó aún más las cosas. La propagación automática de malware fue una evolución importante en DDoS.

Ahora, los ataques de múltiples fuentes podrían propagarse automáticamente sin intervención humana. Fue cuando se comenzó a presenciar ataques automatizados que golpeaban las aplicaciones web con una variedad de tipos de vulnerabilidades.

Los atacantes utilizaron lo que se conocía como servidores de Comand and Control (C&C) para controlar los bots comprometidos. Los servidores de C&C podrían cambiar los vectores de ataque aleatoriamente, por ejemplo, una inundación del protocolo de datagramas de usuario (UDP) a una inundación del protocolo de mensajes de control de Internet (ICMP) o si eso no funcionaba, un ser humano podría intervenir y configurar el C&C para apuntar más arriba en la pila de aplicaciones (Buffer Overflow).r.

Muchos ataques volumétricos se combinaron con ataques basados ​​en aplicaciones. Los ataques volumétricos golpearon las puertas de la red, lo que provocó un pánico en los equipos de seguridad. Nadie estaba realmente listo para los ataques DDoS. Sin embargo, mientras el ataque DDoS volumétrico de miles de fuentes está llenando los conductos de la red, el ataque más serio basado en la aplicación está bajo el radar, comprometiendo así las valiosas aplicaciones web.

Los ataques volumétricos se pueden combatir de varias maneras y, por lo general, se usan como humo para encubrir un ataque a la aplicación más peligroso.

La introducción de ‘ataques por debajo del radar’ fue conocida como un ataque de estilo bajo y lento. Un sistema estándar de Firewall o sistema de detección de intrusos (IDS) no está diseñado para capturar este tipo de ataques. Salen completamente fuera del radar de todos los mecanismos de defensa tradicionales. Además, si no se implementa la seguridad de la aplicación correctamente, los ataques podrían pasar desapercibidos durante meses con la aparición de  exfiltración de datos.

¿Cómo nos preparamos?

La forma más rápida de prepararse para esto ahora es endurecer adecuadamente la pila de aplicaciones al máximo de su capacidad, mientras mantenemos los falsos positivos y negativos a la tasa más baja posible. Para una seguridad efectiva de la aplicación web, necesitamos mecanismos para garantizar un bajo número de falsos positivos mientras se escanea con precisión la aplicación web para detectar los ataques aleatorios que una máquina puede lanzar.

Fuente: Rubén. Ramiro