¿Será EDoS el próximo DDoS? (Denegación Económica de Sustentabilidad)
Christofer Hoff, el Jefe de Arquitectura de Seguridad en Unisys, recientemente ha estado discutiendo el concepto de una Denegación Económica de Sustentabilidad en su blog. Puesto de forma simple, es un ataque al modelo de facturación que hay debajo el costo de proveer un servicio con el objetivo de hacer quebrar el servicio mismo. Antes que vayamos a ver porque EDoS es una amenaza, y una separada de DDoS, debemos comprender como las compañías convierten los dólares en bytes, los cuales con suerte convierte de nuevo en dolares.
El equipo de operaciones en una compañía hace dos cosas. Compran hardware, y pagan a gente para que mantengan el hardware y el software sin que se caigan. El costo de las cajas y de la instalación del caño es conocido como Inversión de Capital, o CAPEX, mientras que el costo de la electricidad, del ancho de banda y el trabajo incansable de los individuos que mantienen los sistemas durante todas las horas del día es el Gasto Operativo, u OPEX. Tradicionalmente todas las puntocom tienen un pedazo de CAPEX para los sistemas y luego un equipo de gente (su OPEX) para mantener los sistemas. Si uno quiere crecer como compañía, debe comprar más cajas y más gente que las mantenga.
Es por esto que los CIOs, incluyendo a los que son competentes, están muy atentos y preocupados por la Computación en la Nube. Pueden eliminar la hoja del CAPEX de sus libros y solo considerar el lado del OPEX. Todos sus presupuestos está elaborados en base a cuantos dólares pueden hacer de cada byte bombeado, y si pueden garantizar que pueden pagar menos para bombear un byte que lo que cobran por cada byte bombeado, han alcanzado la etapa 3: la ganancia. Estas ecuaciones se mantienen ciertas aún si uno tiene una ráfaga de tráfico legítimo que quiere su servicio. Seguro, su factura del sistema de Nube aumentará en el mes, pero está obteniendo más dinero de ese tráfico, así que todos contentos.
¿Que pasa cuando uno introduce el DDoS en la ecuación? En el modelo tradicional cuando compra sus propias cajas y tiene su propio personal de mantenimiento, un ataque DDoS satura todo lo que tiene y priva de datos a sus clientes legítimos. Su proveedor de ancho de banda suele ver los ataques DDoS y tiene estrategias técnicas, como Arbor Networks systems, instaladas para limitar el daño. El resultado es que Ud. pierde de dar servicio a sus clientes y enfrenta un aumento de la facturación del ancho de banda ese mes.
La historia es un poco diferente en el mundo de la Nube. Las organizaciones moverán su presupuesto de la columna de CAPEX a la de OPEX, y hallarán que el costo inicial es mucho menor. La variación de cuatrimestre en cuatrimestre será mayor, pero eh!, el tráfico varia de cuatrimestre a cuatrimestre. Cuando un DDoS liviano, no detectable, golpea el servicio en la nube, el servicio puede escalar elásticamente para satisfacer esa demanda insignificante. Esta vez, en ausencia de cualquier componente de auto impulso, digamos la capacidad de sus servicios, el resultado es un pico masivo en la facturación sin un aumento proporcional en los ingresos derivados del tráfico. En lugar de perder dinero por clientes no atendidos, ud. termina pagando en exceso por dar servicio a los inexistentes clientes fantasma del DoS.
El EDoS, como el DDoS, no es un problema insalvable. Los modelos de facturación que soportan los servicio de la Nube pueden no ser suficientemente maduros para explicar adecuadamente un ataque tipo EDoS. Estoy seguro que se resolverán con el tiempo, pero probablemente habrá uno o dos negocios que mientras tanto fallarán debido a picos de uso no garantizados que provocará que queden profundamente en rojo.
Autor: Adam O'Donnell
Fuente: blogs.zdnet.com
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!