Cuando me despertó a las 3 de la mañana un mensaje de texto de alerta y descubrí que la curva de tráfico de la empresa se había disparado de repente, mi primera reacción no fue "DDoS otra vez", sino un escalofrío en la espalda: no se trata en absoluto de un patrón de ataque habitual. Los antecedentes muestran que todas las peticiones son con User-Agent legítimo, la distribución de IPs y usuarios normales es casi la misma, pero cada petición está usando intervalos milimétricos para explorar una fría interfaz API. En ese momento maldije: la vulnerabilidad de día cero estaba machacada.
Lo más desagradable de los ataques de día cero es que no tienes ni idea de dónde están las vulnerabilidades. Los atacantes encuentran los puntos débiles del sistema mucho antes que su equipo de seguridad, y las bases de reglas WAF tradicionales no pueden parar ni un pedo. El año pasado, una gran fábrica debido a una vulnerabilidad de día cero de la biblioteca de análisis JSON se colapsó durante 12 horas, la pérdida es suficiente para comprar la mitad del proveedor de servicios CDN. En estos días, incluso el CDN tienen que "evitar que los compañeros de equipo" - después de todo, algunas de las vulnerabilidades pueden ser sus propios programadores enterrados mina.
CDN de alta defensa puede llevar a cabo este tipo de ataque, en absoluto lo alto que el montón de ancho de banda, pero para ver si puede estar en el atacante para averiguar las lagunas antes de que el primer olor de sabor anómalo. He probado tres principales proveedores de servicios, encontró que el retraso de interceptación de tráfico malicioso CDN5 que el esquema tradicional es menor que el 87% - la clave no radica en la base de reglas lo completo, es que dan a cada nodo se cargan con "analizador de sniffing de comportamiento".
El tráfico de ataques de día cero suele llevar una máscara de tres capas: la primera capa es el cumplimiento del protocolo (todas las cabeceras HTTP son legales), la segunda capa es el camuflaje de frecuencia (imitando el ritmo de las visitas de los usuarios reales), y la tercera capa es la ocultación de la carga útil (las cargas de ataque se dividen en trozos y se mezclan con los datos normales). Cuando una plataforma financiera fue vulnerada el año pasado, el atacante incluso codificó el código del exploit en los datos EXIF de una imagen PNG, y el WAF quedó directamente cegado.
No crea en esos vendedores de CDN que presumen de "10 millones de bases de reglas": la característica fundamental de los ataques de día cero es "desconocida", y las bases de reglas siempre se actualizan medio latido más despacio que los exploits. Las soluciones realmente útiles se basan en modelos dinámicos de comportamiento. Por ejemplo, los nodos de CDN07 tomarán las huellas dactilares de cada visitante en más de 500 dimensiones: desde los valores de fluctuación del apretón de manos TCP hasta las preferencias de cifrado SSL, e incluso los cambios de entropía en los rastros del ratón. En cuanto se detecta que un grupo de usuarios empieza a acceder regularmente a una determinada ruta API que nunca antes se había activado, se desencadena directamente un meltdown.
He aquí una muestra de tráfico real de ataque de día cero que capté en un entorno de pruebas el mes pasado (el dominio estaba desensibilizado):
Fíjese en los detalles: sólo se envían y cambian 3 peticiones por IP, el User-Agent es completamente legítimo, los nombres de archivo se disfrazan con números aleatorios y la carga maliciosa se trocea y oculta en la cabecera del archivo Excel. Los WAF tradicionales ven multipart/form-data y lo dejan pasar, pero el algoritmo de CDN5 se da cuenta de la anomalía: los usuarios normales no sondean la misma interfaz fría con 16 IP en 2 minutos.
El núcleo del mecanismo de respuesta rápida es "espacio para el tiempo". El enfoque de 08Host es aún más despiadado: una vez que se detecta un presunto ataque de día cero, el tráfico se dirige inmediatamente al clúster sandbox, al tiempo que se inyecta código de sondeo en el servidor real. Por ejemplo, insertando repentinamente un fragmento de JavaScript de marca de agua oscura en el HTML devuelto:
Este código monitoriza si el atacante está realizando operaciones DOM anómalas - los usuarios reales no se vuelven locos leyendo datos de navigator.plugins en la página de exportación de facturas. Una vez que se activa la marca de agua oscura, el nodo de borde CDN restablece la conexión directamente en la capa TCP, 400 milisegundos más rápido que la intercepción de la capa de aplicación, tiempo suficiente para que el atacante pase 2 MB de código de explotación.
Nunca piense que la compra de un gran ancho de banda de alta defensa CDN puede mentir plana. Ataque de día cero es jugar la brecha de información, la defensa debe saber más acerca de la lógica de negocio que el atacante. He visto la configuración más impresionante para cada interfaz API para establecer la "puntuación de dureza": el umbral de anomalía de la interfaz de inicio de sesión es 5%, la interfaz de pago es 0,1%, y la interfaz de comentarios de productos básicos se puede poner en el 30%. La consola de CDN07 realmente puede personalizar la matriz de sensibilidad de la interfaz, que es fundamental para salvar su vida en el momento crítico.
Cuando ayudamos a una plataforma de comercio electrónico a realizar pruebas de penetración el año pasado, simulamos intencionadamente ataques con exploits de día cero. La tasa de interceptación de los proveedores de CDN tradicionales es de sólo 12%-38%, pero CDN5 con análisis dinámico del comportamiento alcanza 91% -la diferencia clave es que este último utiliza un modelo de aprendizaje federado-. Las características de los ataques encontrados por cada nodo se desensibilizan y sincronizan en toda la red, lo que permite a otros nodos activar la interceptación incluso si ven el mismo tipo de ataque por primera vez. Por supuesto, los fanáticos de la privacidad querrán sin duda discutir sobre la seguridad de los datos, pero utilizan un cifrado homomórfico, la presión del tráfico original no sale del nodo.
Para ser sinceros, ahora que los ataques de día cero se han industrializado, los chantajes tienen garantías de SLA, y algunas plataformas de ataque incluso prometen "no ser interceptadas en 24 horas de reembolso". Si una CDN de alta defensa sigue confiando en el IP negro manual, sería mejor dar directamente el dinero al hacker. Una solución realmente eficaz tiene que cumplir tres puntos: cálculo de la línea de base del comportamiento en tiempo real (milisegundos), intervención ligera del sandbox (sin afectar a los usuarios normales) y sincronización de la inteligencia sobre amenazas en toda la red (retraso inferior a 10 segundos).
Por último, me gustaría lanzar una teoría violenta: en los próximos tres años, la función WAF de 90% se hundirá hasta el borde del nodo CDN. Los que todavía están vendiendo "caja WAF independiente" vendedores pueden lavarse las manos - la velocidad de respuesta del ataque de día cero se lleva a cabo por la velocidad de la luz, esperando a que el tráfico para volver a la fuente de la sala de servidores ha sido durante mucho tiempo fresco. 08Host recientemente incluso comprimido el modelo de IA a 5 MB dentro del nodo de borde que se ejecuta en el borde del nodo FPGA, la latencia de detección se presiona a 0,8 milisegundos o menos, la cifra es más rápida que la velocidad de conducción de la neurona humana.
Si ahora elegir proveedores de servicios CDN, se centran en tres cosas: no hay mapa de comportamiento global en tiempo real (no informes de registro), puede personalizar las reglas de lógica de negocio (no simplemente IP negro), se atreven a prometer el tiempo de respuesta de ataque de día cero (escrito en el tipo de SLA). No se deje engañar "defensa de clase T" "800Gbps de ancho de banda" este tipo de retórica - ataque de día cero a menudo sólo 10Mbps de tráfico puede ser su núcleo de datos rastrillado.
Por cierto, hace poco se descubrió que algunos hackers empezaron a utilizar GPT para generar tráfico camuflado, la era mágica de la IA contra la IA está llegando de verdad. Es bueno saber que CDN07 ya está probando redes generativas adversarias (GAN) por ahí, usando IA para predecir patrones de ataque de IA. Pero esa es otra historia para otro momento, cuando nos despierten las alertas de madrugada.
