‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentation_ID
Solución de Seguridad Administrada del Proveedor de Servicios
Servicios de Protección DDoS
Presentación BDM
Noviembre del 2005
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentación_ID
Evolución de la Seguridady sus ImplicacionesAmenazas ModernasPredominio de los ataques DDoSImpacto de DDoS sobre los negocios
222© 2005 Cisco Systems, Inc. Todos los derechos reservados.Presentation_ID
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentación_ID
Sofisticación de las
HerramientasFalsificación de
Paquetes/"Spoofing"
Adivinando Passwords
Código que se Auto Replica
Piratería de Passwords
Explotación de Vulnerabilidades
Conocidas
Deshabilitando Auditorías
Puertas Traseras
Sesiones de Secuestro
"Barredores""Olfateadores"
Diagnosticos Furtivos
Conocimiento Técnico
Requerido
Alta
Bajo
ZombiesPulsantes
Amenazas Compuestas
Conjunto Raíz
BOT Ware y Servicios P80
Evolución y Aprovechamiento de las Amenazas
Vulnerabilidad Divulgación Epidemia
Día CeroTiempo
Descubrimiento
de Vulnerabilidad
Parche Disponible
Firma Liberada
Advertencia
Explotación
ENE’03 - Slammer - 180 días
AGO’03 - Blaster - 26 días
MAY’04 - Sasser - 18 días
Proporcionado por Arbor Networks con su consentimiento
Carrera en Contra de Ataques de Día Cero…
El aprovechamiento está dirigido contra la entrega de servicios con una ventana de tiempo de reacción que disminuye…
Los ataques se están volviendo más predominantes: herramientas de creación de ataques disponibles fácilmente
Las motivaciones se están volviendo cada vez más variadas y maliciosas
AGO’05 - Sasser - 4 días
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentación_ID
La “Economía Malhechora”Simplificando los Ataques DDoS
CECE Instalación del cliente:
Servidor/FW/Switch/Ruteador
Zombies
Malhechores
Conexión de Última Milla
Ruteador del Borde del ISP
• La motivación de los Ataques DDoS es financiera – La “Economía Malhechora”
• Un BOTNET está compuesto de computadoras que han sido violadas y contaminadas con programas (zombies) que pueden ser instruidos para lanzar ataques desde una computadora de control central
• BOTNETs permiten todos los tipos de ataques DDOS
• Las opciones para desplegar BOTNETs son extensas y se crean nuevas herramientas para aprovechar las vulnerabilidades más recientes de los sistemas
• Un BOTNET relativamente pequeño con únicamente 1000 zombies puede causar una gran cantidad de daños.
• Por ejemplo: 1000 PCs caseras con un ancho de banda upstream promedio de 128KBit/s pueden ofrecer más de 100MBit/s
• El tamaño de los ataques crece cada vez más y es independiente del ancho de banda de la última milla
¡BOTNETs en Renta! Oferta de 2 por 1
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentación_ID
Impactos Causados por la Negación del Servicio
Los Ataques DDoS están impactando a todos los negocios principalesFinanzas, Cuidados de la Salud, Gobierno Federal, Manufactura, Comercio Electrónico, Retail, Temporada de vacaciones, eventos deportivos importantes para los medios, juegos en línea
Los ataques enfocados con demandas de extorsión están aumentando
16% de ataques enfocados con demandas de extorsión, en comparación a 4% el año pasado
Las Demandas de Extorsión cubren desde $10,000 a algunos millonesAtaques contra los negocios de todos los tamaños y en todos los segmentos del mercado
Pérdidas en Dólares por Tipo
Se reportó que un SP está mejor equipado para defenderse en contra de DDoS y es más veloz en su tiempo de respuesta.
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentación_ID
Impactos Causados por la Negación de Servicio Actualizado para 2005
Los incidentes en los sitios Web han aumentado dramáticamente
Las organizaciones no están reportando pérdidas por ataques DDoS para evitar "publicidad negativa"
Las pérdidas reportadas que provienen de ataques DDoS son menores que las del año 2004
Conclusiones Clave del Reporte
La adopción de soluciones de Protección de DDoS de Cisco está aumentando
Los Servicios de Protección de DDoS ofertados por muchos SPs a nivel mundial están reduciendo el impacto de estos ataques
Los ataques DDoS aún continúan siendo una gran amenaza que requiere atención inmediata
Visión de Cisco
Lámina de Vijay
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentación_ID
Proveedor de Servicios
Amenazas de Seguridad en el Corporativo
BOTNETs
Identifique Robo, Privacidad, Virus,
GUSANOS, Piratería de Contenido P2P, SPAM y
Solicitudes de Dinero
Piratería
"Phishing"
Raspado de Cookies en la
Pantalla
Extorsión y Espionaje Industrial
Robo de Datos
Robo de Servicios
"Spoofing"
Piratería de Aplicaciones
DDOS y Ataques sobre la
Infraestructura
Intercepción Ilegal
Otros ISPs(Internet)
Tiendas de Retail / Centros de
Distribución
Oficinas Corporativas
Trabajadores Remotos
Oficinas Remotas
La Seguridad se Traduce en Disponibilidad de
Servicio y Continuidad del
Negocio
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentación_ID
El Paradigma de Seguridad Está Cambiando
• La seguridad ya no es una propuesta "a nivel de producto“; es una propuesta de negocios
• La dirección corporativa y las obligaciones legales requieren darle la atención debida
Ley Sarbannes-Oxley
Ley de Portabilidad de los Seguros de Salud y de Responsabilidades (HIPAA)
Ley Gramm-Leach–Bliley (GLBA)
Ley de Protección de Datos de la Unión Europea
• Daños del "Día Cero" Ataques que se propagan ocurren demasiado rápido para que los productos reactivos los detengan—Se requiere un sistema proactivo de seguridad
• Los Proveedores de Servicios y Cisco se han asociado para crear un portafolio de productos de seguridad extenso para el Corporativo
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentación_ID
¿Por Qué Preocuparse Acerca de DDoS?Protegiendo la Solidez de su Negocio
• Pérdida de ingresos y erosión de la marca, reputación y precio de las acciones debido al tiempo de caída del negocio
• Alto costo de corrección después de un ataque
• Riesgos regulatorios y de dirección corporativa
• Operación intensiva en tiempo, logística y recursos
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentación_ID
Soluciones de Protección de DDoSLas funciones de seguridad cambian del corporativo a la "nube" del SPEl raciocinio de DDoS administrado por el SPLa solución Cisco para protección DDoS
101010© 2005 Cisco Systems, Inc. Todos los derechos reservados.Presentation_ID
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentación_ID
Agregación
Núcleo
Acceso
Escritorio
Seguridad Interconstruída
Protección del borde basada en red
Protección del borde basada en
CPE
Protección de los puntos extremos
Servicios de Seguridad Administrados del SPInteligencia y Seguridad en la "Nube"
Servidores
Flujos Comunes de Administración de
la Red
Alarmas de Reportes de
Aprovisionamiento
Evaluación de vulnerabilidades de
la red y de los puntos extremos
DDoS
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentación_ID
¿Por Qué Adquirir Protección DDoS Administrada?
• Piense en la protección DDoS administrada como si fuera un seguro de casa – Usted desea proteger su casa de incidentes internos, pero también de los elementos externos…
Sin una solución administrada, usted probablemente no podrá encontrar una solución a un ataque DDoS (ataque DDoS en el acceso de última milla)
¡Su SP es su asociado de negocios!
• Las soluciones DDoS administradas le pueden ayudar con lo siguiente:
–Obtener una advertencia anticipada de posibles ataques de hackers y de la confirmación de ataques
–Agregar una capa adicional de defensa, de manera escalable
–Confirmación Inmediata y Análisis Interno
–Ningún equipo adicional se requiere instalar en sus sitios
–Consultoría experta adaptada a cada cliente y reportes del tráfico de ataques
–Garantizar el paso de transacciones legítimas
–Mantener una operación libre de problemas para los recursos críticos de negocios
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentación_ID
Solución de Protección DDoSVista General del Servicio
Nombre del Servicio
Descripción del Servicio
Puntos CLAVE
Protección DDoS Administrada para
la Red
Protección para el Internet Corporativo que conecta a los recursos de transporte.
Protección de los activos de alto valor del centro de datos (servidores web, servidores DHCP, DNS, etc.) y de la red.
• Enfoque sobre la disponibilidad de la red y la continuidad del negocio
• Oferta de servicio en capas basada en la "capacidad de limpieza" de modelos dedicados o compartidos
• El cliente mantiene el control; servicio no invasivo
• El cliente obtiene visibilidad de los ataques que están ocurriendo en su red sin afectar adversamente la disponibilidad
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentación_ID
Inject Divert
Solución de Protección DDoSComo funciona
Defend
Mitigate
NFP para protección de laInfraestructura, plano de datos y plano de control
Limpieza del tráfico desviado utilizandoCisco Guard
Detección proactiva de amenazas basada en Netflow o Cisco Detector
Desviar el tráfico del Ataque a un centro de limpieza
Re-inyectar el tráfico limpio de regreso al objetivo
Detect
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentación_ID
Conexión de Última Milla
Servicio del SP de Protección DDoS Administrada para la Red Beneficios para el Corporativo
• Centros de Limpieza Centralizados en la Red del SP
Múltiples centros de limpieza para el rápido aislamiento del tráfico de ataque
Excavación rápida y mejor entrega de servicio
Opciones de servicio Dedicadas, Compartidas
La capacidad de limpieza está definida en términos del "ancho de banda del tamaño del ataque"
Núcleo del Núcleo del SPSP
BordeBorde
CECECisco Cisco
DetectorDetector
Conexión Conexión WAN fuera WAN fuera de bandade banda
Ruteador de Ruteador de NotificaciónNotificación
Tráfico Legitimo + de Ataque a Enfocar
Proceso de Multiverificación
(MVP)
Limpieza de Limpieza de TráficoTráfico
InyecciónInyección
Centro de Centro de Limpieza Limpieza CentralCentral
Internet Internet
• Opciones Flexibles de Detección
Cisco Detector en las instalaciones del cliente monitorea el tráfico en tiempo real y le proporciona a Cisco Guard información de aprendizaje
NetFlow en la red del proveedor junto con el producto Arbor Networks Peakflow del SP también detectan ataques
• El cliente mantiene el control El proveedor no administra la red del cliente
Cisco Detector es operado por la Empresa
El proveedor inicia la limpieza solo después de la confirmación del cliente
La limpieza automática es una opción
Portales del Cliente, Reportes
NOCNOC
Cliente ACliente A Instalación del cliente:
Servidor/FW/Switch/Ruteador
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentación_ID
Seguridad Administrada por el SP Basada en la Seguridad NGN IP de Cisco
161616© 2005 Cisco Systems, Inc. Todos los derechos reservados.Presentation_ID
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentación_ID
Por Qué la Red es Importante para las Soluciones DDoS Administradas
• Cada dispositivo de la red juega un papel en la seguridad – es un enfoque a nivel de sistemas
• Las capacidades de seguridad adecuadas y eficaces, interconstruídas en el tejido de la red para defensa completa – Defensa en contra de Amenazas, Conectividad Segura, Protección de Confianza e Identidad y de la Infraestructura
• La huella de las soluciones de seguridad enlaza en forma inteligente los puntos extremos con la red
La seguridad no es un dispositivo único… ¡es la colaboración de los dispositivos que entregan las capacidades de detección y
control!
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentación_ID
Las Redes de los SPs están Construidas sobre IPLas Redes de los SPs están Construidas sobre IP
SERVICIOSSERVICIOS EFICIENCIASEFICIENCIAS CONTROLCONTROL
Beneficios que su SP le Transferirá…
PreámbuloPreámbulo IP Fuente @IP Fuente @ IP Destino @IP Destino @ OtrosOtros Carga ÚtilCarga Útil
100000100100100100000100100100
‹Nº›© 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de CiscoNúmero de SesiónPresentación_ID
Conclusión
• La economía malhechora llegó para quedarse y está creciendo a un paso alarmante
• Los ataques DDoS son reales y le pueden pegar a cualquier empresa en cualquier momento
• Los Servicios de Protección DDoS Administrados disponibles en la actualidad responden a los puntos de dolor del cliente relacionados a la disponibilidad de la red y a la continuidad del negocio
• Las opciones flexibles de servicio permiten que las Empresas mantengan el control