Dieci anni fa erano un “fastidio”, che interrompeva temporaneamente la normale navigazione Internet. Oggi rappresentano una seria minaccia alla continuità operativa e alle attività delle aziende, nonché uno strumento di “vandalismo informatico” che può arrecare danni economici e di immagine. Gli attacchi DDoS, Distributed Denial of Service, fra il 2004 e il 2014 si sono moltiplicati di dimensione cinquanta volte passando da 8 Gbps a 400 Gbps (come record del singolo attacco più grande registrato nei dodici mesi), con un tasso composto di crescita annua del 54%, e parallelamente sono diventati più complessi e più frequenti. È il dato di fondo emerso dall’ultimo Worldwide Infrastructure Report di Arbor Networks, giunto appunto alla decima edizione e basato su rilevamenti automatici e interviste.
Sul fatto che questo genere di operazioni non siano un semplice fastidio, il report parla chiaro. Oltre un terzo degli operatori di data center nel 2014 ha riportato episodi DDoS che hanno saturato la bandwidth Internet disponibile, mentre il 44% ha subìto perdite di ricavi a causa di attacchi mirati a saturare la capacità di banda e dunque a mandare in tilt siti Web e servizi. Fra i bersagli più comunemente colpiti ci sono i siti rivolti all’utente finale e quelli di e-commerce, mentre al terzo posto figurano gli enti pubblici.
La maledizione DDoS, come si diceva, colpisce anche con maggiore frequenza oggi rispetto al passato, al punto da risultare sul podio degli incidenti It più comuni nelle reti aziendali, insieme alla perdita non volontaria di dati e agli host colpiti da bot o altrimenti compromessi. Circa un terzo degli intervistati nel corso di un anno ha sperimentato almeno uno di questi due danni, mentre gli attacchi DDoS hanno colpito quasi metà delle aziende interpellate da Arbor.
Gli attacchi DDoS nel 2014 a colpo d'occhio (clicca per ingrandire)
Come arginarli? Qualche suggerimento per i lettori di Ictbusiness ci arriva da Marco Gioanola, senior consulting engineer di Arbor Networks: “In primo luogo è necessario dotarsi di tecnologie specifiche per il tipo di minaccia da cui ci si deve difendere. Firewall e Ips non sono gli apparati giusti per proteggersi dagli attacchi DDoS, per i quali invece sono necessarie soluzioni dedicate”.
Per contrastare le minacce più sofisticate, le Advanced Persistent Threat, a detta di Gioanola “è necessario prima di tutto avere strumenti che permettano di ottimizzare l’attività di analisi degli eventi di sicurezza, evidenziando le sequenze di eventi che hanno portato a un attacco, piuttosto che i singoli alert di cui gli operatori sono già sommersi”.
Oltre alla tecnologia è importante l’elemento umano: il 54% degli intervistati nel report afferma, infatti, di avere difficoltà nell’assumere e mantenere personale competente in tema di sicurezza. “Purtroppo sul DDoS circolano ancora molti miti”, spiega il senior consulting engineer, “il principale dei quali è che gli apparati di sicurezza tradizionali, progettati per un’analisi profonda e ‘stateful’ del traffico, possano contrastare efficacemente gli attacchi DDoS".
Marco Gioanola, senior consulting engineer di Arbor Networks
"E purtroppo, inoltre, troppo spesso sfugge ancora il concetto che la sicurezza informatica – intesa sia come tecnologie sia come risorse umane – andrebbe considerata nei business plan aziendali tanto quanto gli investimenti in infrastrutture o le assicurazioni contro gli eventi naturali, per fare un esempio. Anche l’azienda più piccola dovrebbe avere una persona formalmente responsabile della sicurezza informatica, ovviamente opportunamente formata; Arbor cerca di fornire strumenti potenti per semplificare il lavoro di queste persone”.
Secondo Arbor Networks, le motivazioni che spingono a boicottare i server di siti, istituzioni e provider di servizi nel tempo non sono cambiate: le principali rimangono il nichilismo o vandalismo e le campagne ideologiche (o hacktivismo che dir si voglia), mentre aumentano gli attacchi rivolti alle piattaforme di gioco online.
Gli attacchi diretti contro il layer applicativo sono stati registrati dal 90% degli intervistati del Worldwide Infrastructure Report. Oltre un terzo di loro, invece, ha riportato dei danni al firewall o a dispositivi Ips. Quanto alle tecniche utilizzate, nella stragrande maggioranza i criminali continuano a far ricorso ad attacchi di tipo volumetrico, mirati a saturare la banda del ricevente e le sue risorse quando cerca di elaborare i dati in arrivo. Si fanno però strada, contemporaneamente, anche attacchi più complessi e multivettore, che combinano in un’unica operazione tecniche volumetriche, di esaurimento di stato e di assalto contro il layer applicativo. Per il 42% delle aziende colpite da episodi DDoS è stato impiegato tale approccio.
Alcuni dati del report (clicca per ingrandire)
I cybercriminali continuano inoltre a usare tecniche di riflessione/amplificazione per creare compromossioni di enorme portata. L’attacco più grande registrato nel 2014 è stato da 400 Gbps, e ulteriori eventi osservati hanno raggiunto i 300, 200 e 170 Gbps; altri sei intervistati che hanno sperimentato attacchi sopra la soglia dei 100 Gbps. Come si diceva, oltre alla misura degli episodi è anche aumentata la loro frequenza: nel 2013 poco più di un quarto degli intervistati aveva registrato oltre 21 attacchi al mese, mentre nel 2014 tale percentuale è balzata al 42%.
Il quadro non è completamente negativo. Circa metà degli intervistati ha registrato un aumento degli incidenti nelle proprie reti aziendali, ma è anche vero che la metà di essi si è dichiarata “in qualche modo” preparata di fronte a questi incidenti pur avvertendo l’esigenza di migliorare. Un ulteriore 8%, va detto, ha ammesso di essere completamente impreparato.