Google ha añadido una nueva prestación dentro de su paraguas oferta de Cloud Armor de protección de aplicaciones y sitios web. Se trata de Google Cloud Armor Adaptive Protection cuya función es ayudar a proteger los servicios que se ejecutan en Google Cloud, u otras nubes o sistemas locales, de ataques DDoS.
Según explica Google en un post, Adaptive Protection se basa en múltiples modelos de aprendizaje automático que analizan las señales de seguridad para cada servicio web y detectar, así, cualquier ataque potencial contra ellos.
Esta nueva herramienta funciona aprendiendo y analizando cómo se comporta el tráfico normal de aplicaciones y servicios, por lo que puede detectar rápidamente cuando algo tiene un comportamiento extraño.
“Por ejemplo, los atacantes con frecuencia dirigen un gran volumen de solicitudes a páginas dinámicas como resultados de búsqueda o informes en aplicaciones web con el fin de agotar los recursos del servidor para generar la página”, explican Peter Blum, responsable de administración de productos de seguridad de red de Google, y Sam Lugani líder de seguridad de Google Cloud Platform y Google Workspace.
Adaptive Protection genera automáticamente una alerta cuando sospecha que se está produciendo un ataque. También va más allá, al proporcionar contexto sobre por qué cree que el tráfico que ha detectado es malicioso y proporciona reglas para mitigar el ataque. Es decir, que Google ofrece todo el contexto para que las empresas puedan tomar una decisión sobre cómo detener el tráfico potencialmente malicioso, sin tener que pasar horas analizando los registros de tráfico para clasificar primero el ataque en curso.
Frenar un ataque de 2,5 Tbps
Google asegura que en septiembre de 2017 sus sistemas fueron capaces de absorber y detener un ataque DDoS de 2.5 Tbps (terabit por segundo), después de una campaña de más de seis meses con múltiples métodos de ataque. Sería, por tanto, un ataque mayor que el que Amazon aseguraba en junio haber paralizado.
Los atacantes apuntaron simultáneamente a miles de las direcciones IP de Google, empleando varias redes para falsificar 167 Mpps (millones de paquetes por segundo) a 180.000 servidores CLDAP, DNS y SMTP expuestos.