Sistema de seguridad de nivel empresarial integrado en nuestra plataforma de hosting web

Hay un dicho entre las compañías de tecnología que dice que si no puedes permitirte pagar por la seguridad, no puedes permitirte una brecha de seguridad. Las consecuencias de una brecha pueden ser bastante caras en términos de pérdida de datos, participación humana, costos de recuperación comercial, daños a la reputación y muchos más. Es por eso que las grandes empresas gastan millones de dólares para proteger sus datos y dedican mucho tiempo a implementar y mantener procedimientos de seguridad de datos y estrategias de seguridad. Naturalmente, las pequeñas empresas no pueden permitirse nada de eso y, por lo general, tienen un presupuesto limitado dedicado a la seguridad. Ahí es cuando y donde el uso de los servicios de un proveedor de hosting web seguro se vuelve crítico.

Aunque los servidores web no pueden ser los únicos responsables de la seguridad de tu sitio web, los buenos pueden hacer mucho para ayudarte a mantenerte a salvo y evitar que suceda lo peor. Aquí en SiteGround, hemos desarrollado un sistema de seguridad centralizado de nivel empresarial para proteger los sitios, aplicaciones y datos de nuestros clientes. Su complejidad ha crecido con el tiempo y describirlo en su totalidad puede ser bastante abrumador, pero en este artículo te daremos una idea de cómo analizamos y filtramos el tráfico web que llega a tus sitios y cómo prevenimos diariamente cientos de millones de ataques a los sitios que alojamos.

Bloques de seguridad efectivos

Todos nuestros servidores tienen software de seguridad esencial instalado y sistemas configurados para funcionar localmente por servidor: un firewall de tráfico de red, firewall de aplicaciones web, IDS/IPS (sistemas de detección/prevención de intrusiones como prevención de fuerza bruta), análisis HTTP profundo de metadatos, protección DDOS y más. Estos son medios clásicos y muy efectivos para filtrar el tráfico malicioso y prevenir ataques de fuerza bruta, inyecciones de malware, denegación de servicio y más, de los que dependemos en gran medida. Bajo la gestión competente de nuestros ingenieros DevOps y administradores de sistemas, estos sistemas se mejoran constantemente y todos juntos filtran aproximadamente 1 TB de tráfico malicioso y más de 300 millones de solicitudes maliciosas en nuestros servidores diariamente.

Pero si esos sistemas funcionan de forma independiente, solo a nivel de servidor, aparecen los siguientes problemas: en caso de que un hacker amenace al servidor A, incluso si los sistemas de seguridad individuales del servidor pueden mantener el servidor a salvo, no pueden detener al hacker de intentar el mismo ataque en los servidores B, C, etc. Para asegurarnos de que todos nuestros servidores están protegidos en todo momento, hemos construido nuestro Sistema central de seguridad que constantemente recopila y analiza datos de todos los sistemas de seguridad individuales del servidor, y distribuye reglas de seguridad inteligentes que se aplican y protegen a todas las máquinas.

Análisis de big data centralizado

Nuestro sistema central de seguridad central se basa en el big data que recibe de todos los demás sistemas a nivel de servidor y analiza las diversas fuentes de ataque, detecta patrones más grandes y bloquea muchos más ataques globalmente en toda la plataforma.

Feed de datos de firewall de aplicaciones web

Como se mencionó anteriormente, cada servidor tiene un WAF, cuya principal responsabilidad es proteger aplicaciones web como WordPress, Magento, Joomla, Drupal y otros de una variedad de ataques como cross-site scripting (XSS), inyección SQL y más. En el momento en que nos damos cuenta de una amenaza de seguridad (vulnerabilidad de software), nuestros ingenieros de seguridad escriben una nueva regla para parchearla y agregar esa regla a nuestros WAF locales.

Cada solicitud que no se descarta a nivel de red, es filtrada por el servidor WAF. Si la solicitud está alcanzando los parámetros de una regla WAF, el WAF envía información al respecto al sistema central de seguridad. El Sistema central registra y analiza todas las solicitudes que alcanzan las reglas WAF en todos nuestros servidores (por ejemplo, su IP y otros metadatos). Si detecta un patrón, como múltiples solicitudes en muchos servidores provenientes de la misma dirección IP, el Sistema central bloqueará esa IP y distribuirá una regla a todas las máquinas en nuestra infraestructura. Dependiendo del caso específico y la regla, el sistema puede limitar las solicitudes de IP sospechosas para ser cuestionadas por captcha o limitar por completo el tráfico desde ellas a cualquiera de nuestros servidores durante un período específico (horas, días, semanas o incluso permanentemente).

Patrones de tráfico de prevención de fuerza bruta

Como parte de nuestra estrategia de prevención de fuerza bruta, hemos implementado sistemas de monitorización local en todos nuestros servidores. Estos monitorizan los intentos de inicio de sesión en todas las aplicaciones alojadas con nosotros e informan cada uno fallido al Sistema central de seguridad. El sistema es notificado del intento junto con toda la información de seguridad importante relacionada con el mismo, como una dirección IP, número de solicitudes, historial de IP y más. Cada 60 segundos, el Sistema central de seguridad revisa los datos agregados y analiza el volumen y la frecuencia de los metadatos repetitivos en busca de patrones. Cuando los patrones están claramente identificados, el sistema crea reglas de bloqueo que se distribuyen a todos los servidores.

Un ejemplo de esto serían múltiples intentos fallidos de inicio de sesión en uno o más servidores, provenientes de la misma dirección IP dentro de un corto período de tiempo (se establecen diferentes umbrales de tiempo para una mayor precisión y efectividad). En un caso como este, nuestro sistema marcaría la IP y las solicitudes futuras que provengan de ella hacia cualquiera de nuestros servidores serían desafiadas con un captcha.

Muchos más sistemas envían datos a nuestro Sistema central de seguridad

Hay muchas más formas en que alimentamos nuestro Sistema central de seguridad con datos, como monitorizar los intentos de inicio de sesión a un servicio a nivel de servidor como FTP, EXIM, Dovecot, etc., revisar el tráfico XML-RPC de los sitios de WordPress, introduciendo diferentes patrones de tráfico de sistemas de terceros, y más.

Cuantas más fuentes de datos relevantes ingresamos, más grande se vuelve el conjunto de datos, lo que mejora significativamente el poder analítico y la precisión del Sistema central de seguridad. Con el tiempo, la capacidad del sistema para prevenir ataques de manera efectiva crece cada vez más.

Protección de nivel empresarial a escala global

Y para resumir, aquí hay algunos números que pueden ayudarte a comprender la escala y el efecto de lo que hace el Sistema central de seguridad. Diariamente, más de 260 millones de solicitudes son desafiadas con captcha y menos de 40.000 pasan el desafío. Tenemos más de 50.000 direcciones IP actualmente marcadas como maliciosas o sospechosas y casi la mitad de ellas están completamente bloqueadas y no pueden llegar a nuestros servidores. El número cambia diariamente, ya que nuevas direcciones IP son marcadas y cuestionadas debido a su actividad sospechosa, mientras que las marcadas previamente se borran después de una verificación exitosa o la expiración de la prohibición.

Todos estos números y el trabajo integral involucrado en el mantenimiento de un Sistema central de seguridad efectivo llevan al número que más importa: el 99,99% del tráfico malicioso se bloquea antes de que llegue a tu sitio web.