El Equipo de Respuesta a Incidentes, CERT, de la empresa francesa Société Générale (CERT SG) ha publicado una guía para ayudar a las empresas a prepararse y defenderse ante ataques de Denegación de Servicio Distribuido (DDoS), siendo éste el cuarto documento sobre gestión de respuesta ante incidentes que publica esta Organización.
La guía establece cinco pasos a seguir para responder de forma apropiada a un ataque DDoS: preparación, identificación, contención, recuperación y consecuencias:
Preparación:
• Establecer contactos con proveedores de Internet y autoridades de la ley, y con el personal interno pertinente.
• Crear un listado de protocolos y direcciones IP prioritarios.
• Fortalecer la infraestructura de red objetivo de posibles ataques y optimizar su referencia para que un ataque pueda ser rápidamente identificado.
• Ajustar la configuración de DNS en poco tiempo.
• Establecer el coste de un ataque.
Identificación:
• Revisar el origen de direcciones IP, puertos de destino, direcciones URL y banderas de protocolo, y sea específico acerca de lo que el ISP debe de bloquear.
• Establecer si la compañía recibió una demanda de extorsión antes del ataque e identificar a los sospechosos.
Contención / reparación:
• Desactivar los cuellos de botella de la aplicación, bloquear el tráfico DDoS, y cerrar el servicio cloud más cercano tanto como sea posible.
• Establecer filtros de salida para bloquear las respuestas al tráfico DDoS.
• Llamar a un CERT nacional y a la policía y suministrarles información detallada.
Secuelas / recuperación:
• Consultar con los equipos de la red antes de establecer los servicios.
• Evaluar lo que ha funcionado, y lo qué no y construir la experiencia de la recuperación de desastres.
CERT SG (23-05-2011)
