Machine Learning para frenar ataques DDoS: así funciona Google Armor Adaptive Protection
Arantxa Herranz
Google ha añadido una nueva prestación dentro de su paraguas oferta de Cloud Armor de protección de aplicaciones y sitios web. Se trata de Google Cloud Armor Adaptive Protection cuya función es ayudar aproteger los serviciosque se ejecutan en Google Cloud, u otras nubes o sistemas locales,de ataques DDoS.
Segúnexplica Google en un post, Adaptive Protection se basa en múltiples modelos de aprendizaje automático que analizan las señales de seguridad para cada servicio web y detectar, así, cualquier ataque potencial contra ellos.
Esta nueva herramienta funcionaaprendiendo y analizando cómo se comporta el tráfico normalde aplicaciones y servicios, por lo que puede detectar rápidamente cuando algo tiene un comportamiento extraño.
“Por ejemplo, los atacantes con frecuencia dirigen un gran volumen de solicitudes a páginas dinámicas como resultados de búsqueda o informes en aplicaciones web con el fin de agotar los recursos del servidor para generar la página”, explican Peter Blum, responsable de administración de productos de seguridad de red de Google, y Sam Lugani líder de seguridad de Google Cloud Platform y Google Workspace.
Adaptive Protection genera automáticamente una alerta cuando sospecha que se está produciendo un ataque. También va más allá, al proporcionar contexto sobre por qué cree que el tráfico que ha detectado es malicioso y proporciona reglas para mitigar el ataque. Es decir, que Google ofrece todo el contexto para que las empresas puedan tomar una decisión sobre cómo detener el tráfico potencialmente malicioso, sin tener que pasar horas analizando los registros de tráfico para clasificar primero el ataque en curso.
Frenar un ataque de 2,5 Tbps
Googleasegura que en septiembre de 2017sus sistemas fueron capaces de absorber y detener un ataque DDoS de 2.5 Tbps (terabit por segundo), después de unacampaña de más de seis meses con múltiples métodos de ataque. Sería, por tanto, un ataque mayor que el que Amazonaseguraba en junio haber paralizado.
Los atacantes apuntaron simultáneamente a miles de las direcciones IP de Google, empleando varias redes para falsificar 167 Mpps (millones de paquetes por segundo) a 180.000 servidores CLDAP, DNS y SMTP expuestos.
