Home / Resources / ISACA Journal / Issues / 2020 / Volume 2 / Assessing the Risk of Cyberattacks in the Online Gaming Industry

Evaluación del riesgo de ciberataques en la industria del videojuego online

Autor: Kalpit Sharma and Arunabha Mukhopadhyay
Fecha de Publicación: 13 May 2020
English

Los hackers utilizan los ataques de denegación distribuida de servicio (DDoS – Distributed Denial of Service) para interrumpir el servicio ofrecido evitando que los usuarios legítimos puedan acceder a las webs de las organizaciones. En 2018, las pérdidas directas e indirectas por un único ataque DDoS variaba desde los USD 120 000 hasta los USD 2 millones. Entre 2016 y 2017, el número de ataques DDoS aumentó un 29 por ciento, y en 2017, el ataque medio fue de 26 gigabytes por segundo.1 En la mayoría de los casos, los hackers utilizan un ejército de botnets para llevar a cabo los ataques DDoS, haciendo difícil detectar al hacker y prevenir ataques futuros.

Los ataques DDoS varían en su gravedad dependiendo de la industria y redes. Como resultado de los ataques DDoS, las industrias que requieren ofrecer servicio en tiempo real como los videojuegos, streaming de video, banca, servicios financieros y seguros, perdieron USD 4 millones en 2015.2 Desde entonces las pérdidas se han incrementado. En 2019, una empresa de aplicaciones para streaming online fue el objeto de un ataque DDoS durante dos semanas en las que tuvo picos de 292,000 peticiones por segundo originadas dee 402,000 direcciones IP (Internet Protocol).3 La empresa perdió aproximadamente USD 200 millones, con un pico de USD 500,000 por hora.4 En 2016, muchas empresas digitales, incluyendo Netflix, Spotify, Twitter, BBC, CNN, The New York Times y otros servicios de entretenimiento como HBO Now y Elder Scrolls, estuvieron desconectado por el infame ataque de servidor Dyn.5

La industria del entretenimiento (por ejemplo, el video o música en streaming, videojuegos) han sido gravemente afectados por ataques DDoS. La figura 1 muestra que en 2018-19, la industria del videojuego representó el 74 por ciento de los ataques DDoS registrados por la plataforma Akamai Prolexic.6 Los jugadores componen una red muy unida y comprenden un segmento de nicho con alta capacidad de gasto.7 Los hackers pueden atacar múltiples nodos, infectando y comprometiendo la red permitiendo que las botnets DDoS se extiendan entre los usuarios. Muchos hackers tienen como objetivo juegos populares para conseguir acceso a las cuentas mientras éstas son utilizadas en tiempo real. Los hackers pueden ocultar su rastro haciéndose pasar por jugadores e intercambiando el dinero robado por elementos del juego o por dinero.8

Las empresas pierden aproximadamente USD 50,000 por hora mientras dure un ataque DDoS.9 Por ello, es importante cuantificar la probabilidad de detectar un ataque DDoS y las pérdidas asociadas con él.

Modelo propuesto

La figura 2 ilustra un modelo de valoración del riesgo y modelo de mitigación para los ataques DDoS en la industria del videojuego. Se tratan los siguientes problemas:

  • ¿Cuál es la probabilidad (p) de detectar un ataque DDoS utilizando el modelo?
  • ¿Cuál es la pérdida esperada (E[L]) para el negocio si el modelo falla al detectar el vector de ataque?
  • ¿Cómo se pueden reducir los riesgos y pérdidas?

Se proponen los siguientes pasos para la valoración del riesgo y su mitigación:

  1. Calcular el riesgo de no detectar un ataque DDoS mediante el análisis del conjunto de datos de ataques pasados.
  2. Calcular la gravedad del ataque DDoS que no haya sido detectado por el modelo.
  3. Generar la matriz de riesgo y gravedad para todos los ataques DDoS que no hayan sido detectados.
  4. Si el riesgo y gravedad son ambos altos, entonces se debe reducir el riesgo al transferirlo a un asegurador de ciberincidentes (cyberinsurer), de otro modo con la transferencia al asegurador es suficiente.

Datos

La figura 3 describe el conjunto de datos utilizados para probar el modelo propuesto. Consiste en 10,329 registros de siete tipos de ataques DDoS agrupados en 5 clases de ataques a la industria del video juego durante los años 2012 a 2018.10, 11, 12

Cada registro tiene los siguientes atributos: sello de tiempo de inicio y final, bits por segundo (bps), paquetes por segundo (pps) y clase de ataque detectado. Los atributos bps y pps tienen una alta correlación. Por lo tanto, el vector final de características de ataque consta de bps, duración, tipo, clase y variables de ataque. El conjunto de datos se ha dividido en conjuntos de entrenamiento (n=6 197) y validación (n=4 132) con una proporción 60:40.

 

Metodología

Se ha utilizado el clasificador Naïve Bayes (Kernel-based Naïve Bayes - KNB) para clasificar los ataques DDoS en 5 clases (A, B, C, D y E) puesto que los datos de entrenamiento no presentaban ninguna distribución paramétrica. Los clasificadores Bayesianos son clasificadores estadísticos utilizados para predecir las probabilidades de membresía de clase (esto quiere decir que la probabilidad que un conjunto de datos determinado pertenezca a una clase particular). La clase con la probabilidad más alta es la clase dominante para el registro.13 El clasificador Naïve Bayes (KNB) es más preciso si los atributos son intrínsecamente independientes. Puesto que el conjunto de datos tiene tuplas de ataques, con dos clases independientes solapándose y formando un vector de ataque híbrido, el clasificado KNB fue el elegido.

La figura 4 describe los pasos seguidos por la metodología propuesta para obtener la clasificación con un porcentaje estimado τ (al menos del 70 por ciento).14 El umbral τ se basa en la criticidad del modo de operación online vs. las operaciones generales. Entonces la metodología calcula la pérdida estimada y recomienda estrategias de mitigación con el fin de reducir dichas pérdidas.

El programa MATLAB 2019a se utilizó para analizar los datos. La figura 5 muestra la matriz de confusión de la primera ejecución. Los elementos en la diagonal (sombreados) indican el número de ocurrencias en los que los ataques se clasificaron correctamente (por ejemplo 1,084 ocurrencias para la Clase A); además, 178 casos se clasificaron incorrectamente como falso positivo y 296 como falso negativo. El modelo clasificó correctamente el 99 por ciento de los ataques de clase B y el 43 por ciento de los ataques de clase E.

A continuación, el conjunto de datos de la clase E, que tenía el mayor número de clasificaciones incorrectas (57 por ciento), se visualizó utilizando un agrupamiento jerárquico (figura 6). Esto mostró la presencia de tres conjuntos distintos basados en el índice de disimilitud. Por ello, la clase original E (n = 1,008) se dividió en tres subclases: E1 (n = 884), E2 (n = 42) y E3 (n = 82), utilizando un algoritmo de agrupación k-medias.

Resultados

Las siguientes secciones analizan los resultados para calcular la probabilidad (p) de detectar un ataque DDoS utilizando el modelo, la pérdida estimada (E[L]) para la empresa si el modelo falla en detectar el vector de ataque y las estrategias de mitigación de riesgos.

Probabilidad de detectar un ataque DDoS
La figura 7 muestra la que la precisión general del clasificador propuesto fue del 80 39 por ciento. Los elementos en la diagonal (sombreados) muestran las instancias en las que el modelo clasificó adecuadamente los ataques (3,322 de un total de 4,132 registros). El modelo clasificó correctamente un 97 por ciento de los ataques de tipo B y un 100 por ciento de los ataques de clase E3.

Cálculo de pérdida después de un ataque DDoS
En la figura 8, la columna 2 demuestra el riesgo (es decir, la probabilidad de no detectar un ataque [1-p]), y la columna 4 indica la gravedad del ataque DDoS (es decir, de las pérdidas esperadas para cada tipo de ataque basado en Eq. 2).

Estrategias de mitigación de riesgos
La figura 9 muestra una matriz de calor calculada a partir del modelo que representa los diferentes ataques DDoS en términos de Riesgo x Gravedad. Esto ayuda al Director de Tecnología (Chief Technology Officer—CTO) a priorizar la estrategia de mitigación de riesgos, como la intervención tecnológica o la transferencia del riesgo a través de un ciberseguro (cyberinsurance). Por ejemplo, un ataque DDoS de clase E1 está en el cuadrante de alto riesgo y alta gravedad, mientras que las clases A, B, C, E2 y E3 están en el cuadrante de bajo riesgo y baja gravedad. Por ejemplo, el CTO de una empresa ante el riesgo de un ataque de clase D o E1 debería considerar la implementación de las siguientes estrategias de mitigación de riesgos: Primero, añadir cortafuegos estrictos o sistemas de prevención de intrusiones (IDS) o incluso desviar el exceso de tráfico o el tráfico ilegítimo hacia servidores de backup o redes de distribución de contenido (Content Delivery Networks—CDNs) para reducir el riesgo y, por ende, reducir la gravedad del ataque DDoS. A continuación, transferir el riesgo residual mediante la firma de ciberseguros, pasando de esta manera al cuadrante de bajo riesgo y baja gravedad.15, 16, 17, 18

Conclusión

El modelo descrito anteriormente ayuda a calcular el riesgo (probabilidad de no detectar un ataque DDoS) y la gravedad (pérdidas estimadas) utilizando datos de ataques pasados. Los CTOs pueden utilizarlo para diseñar su estrategia de mitigación de riesgos en términos de actuación tecnológica para reducir el riesgo y transferirlo a través de ciberseguros. Aunque este artículo se basa en la industria del videojuego, el modelo puede ser replicado para cualquier industria que se enfrente a ataques DDoS de tal manera que pueda desarrollar estrategias de evaluación y mitigación.

Notas finales

1 Abrams, L.; “Dramatic Increase of DDoS Attack Sizes Attributed to IoT Devices,” Bleeping Computer, 12 de septiembre de 2018, https://www.bleepingcomputer.com/news/security/dramatic-increase-of-ddos-attack-sizes-attributed-to-iot-devices/
2 Zumberge, M.; “Cyber Attacks on the Rise in Media Biz Since Sony Hack: Survey (Exclusive),” Variety, 5 de noviembre de 2015, https://variety.com/2015/digital/news/sony-hack-anniversary-cybersecurity-data-1201633671/
3 Shani, T.; “Updated: This DDoS Attack Unleashed the Most Packets per Second Ever. Here’s Why That’s Important,” Imperva, 12 de junio de 2019, https://www.imperva.com/blog/this-ddos-attack-unleashed-the-most-packets-per-second-ever-heres-why-thats-important/
4 Bezsonoff, N.; “The State of DDoS Attacks in 2017,” Neustar, 11 de octubre de 2017, https://www.home.neustar/blog/neustar-global-attacks-and-cyber-security-insight-report
5 Chiel, E.; “Here Are the Sites You Can’t Access Because Someone Took the Internet Down,” Splinter News, 21 de octubre de 2016, https://splinternews.com/here-are-the-sites-you-cant-access-because-someone-took-1793863079
6 McKeay, M.; “Q4 2017 State of the Internet Security Report,” Akamai, 28 de diciembre de 2017, https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/q4-2017-state-of-the-internet-security-report.pdf
7 Ibid.
8 Ibid.
9 Op cit Bezsonoff
10 Op cit McKeay 2017
11 McKeay, M.; “2019 State of the Internet/Security: Web Attacks and Gaming Abuse,” Akamai, junio de 2019, https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/soti-security-web-attacks-and-gaming-abuse-report-2019.pdf
12 McKeay, M.; “2019 State of the Internet/Security: DDoS and Application Attacks,” Akamai, enero de 2019, https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/state-of-the-internet-security-ddos-and-application-attacks-2019.pdf
13 Han, J.; M. Kamber; J. Pei; Data Mining: Concepts and Techniques, Elsevier, Elsevier, Los países bajos, 2012
14 Biswas, B.; S. Pal; A. Mukhopadhyay; “AVICSEco Framework: An Approach to Attack Prediction and Vulnerability Assessment in a Cyber-Ecosystem,” AMCIS 2016: Surfing the IT Innovation Wave—22nd Americas Conference on Information Systems
15 Mukhopadhyay, A.; S. Chatterjee; K. K. Bagchi; P. J. Kirs; G. K. Shukla; “Cyber Risk Assessment and Mitigation (CRAM) Framework Using Logit and Probit Models for Cyber Insurance,” Information Systems Frontiers, vol. 21, iss. 5, p. 997–1018, 2017, https://doi.org/10.1007/s10796-017-9808-5
16 Das, S.; A. Mukhopadhyay; G. K. Shukla; “i-HOPE Framework for Predicting Cyber Breaches: A Logit Approach,” 46th Hawaii International Conference on System Sciences, 2013, https://doi.org/10.1109/hicss.2013.256
17 Biswas, B.; A. Mukhopadhyay; G. Dhillon; “GARCH-Based Risk Assessment and Mean-Variance-Based Risk Mitigation Framework for Software Vulnerabilities,” AMCIS 2017: A Tradition of Innovation—23rd Americas Conference on Information Systems
18 Biswas, B.; A. Mukhopadhyay; “Phishing Detection and Loss Computation Hybrid Model: A Machine-Learning Approach,” ISACA® Journal, vol. 1, 2017, https://www.isaca.org/archives

Kalpit Sharma
Es un estudiante de doctorado en tecnologías de la información y sistemas en el Indian Institute of Management (IIM) (Lucknow, India). Sus áreas de interés en investigación son la privacidad y la gestión del riesgo en sistemas de información, la ciberseguridad desde su perspectiva económica, TI de sistemas sanitarios, gestión de TI y modelos de negocio digitales basados en modelos colaborativos. Puedes contactar con el en su dirección de correo kalpit@iiml.ac.in.

Arunabha Mukhopadhyay
Profesor de tecnología de la información y sistemas en el Indian Institute of Management. Es un miembro de ISACA® Advocate para los estudiantes del grupo de ISACA de IIM Lucknow, India. Obtuvo el precio al mejor profesor en gestión de tecnologías de la información en 2011 por la Star DNA-Group B-School Award y también fue galardonado con el 19th Dewang Mehta Business School Award en el 2013. Puedes contactar con el en su dirección de correo arunabha@iiml.ac.in.