Come si difendono le aziende dalla minaccia sempre verde degli attacchi DDoS? Questa tipologia di compromissione informatica può colpire aziende di ogni genere, data center, enti governativi, piattaforme Web e infrastrutture Dns (Domain Name System), creando in questo caso degli effetti visibili sulla fruibilità dei servizi Internet. In alcuni casi i DDoS mirano a boicottare qualcuno, per ragioni politiche, ideologiche o di altro tipo, con attacchi che mandano in tilt siti e piattaforme. In altri casi, creano semplicemente un diversivo per poter condurre altre attività illecite sulla rete della vittima, come il furto di dati. Sia come sia, le aziende dimostrano di sapersi difendere solo a metà, adottando strumenti validi, sì, ma troppo generici. Ce ne parla Ivan Straniero, regional manager Southern & Eastern Europe di Netscout Arbor.
Nel tredicesimo "Worldwide Infrastructure Security Report” di Netscout Arbor è stato chiesto in un sondaggio di indicare le misure di sicurezza adottate dagli intervistati contro gli attacchi DDoS. L’82% delle imprese ha indicato i firewall e il 57% di esse ha dichiarato di disporre di sistemi per il rilevamento/la prevenzione dalle intrusioni (Ids/Ips). A fronte di questi dati, soltanto il 28% delle aziende ha affermato di poter contare su sistemi di Intelligent DDoS Mitigation System (Idms). Senza dubbio, firewall e Ids/Ips hanno motivo di comparire nell’arsenale per la sicurezza. Sono infatti la prima linea di difesa contro gli attacchi il cui scopo è, ad esempio, il furto o lo spionaggio industriale. Tuttavia, da sole, queste soluzioni non sono sufficienti per opporsi agli attacchi che prendono di mira i servizi. In realtà, sono proprio i primi target degli attacchi DDoS che tentano di compromettere l’infrastruttura di rete.
Le decisioni in materia di sicurezza sono in molti casi frutto di un approccio piuttosto semplicistico da “checklist”: quali strumenti dobbiamo possedere? Solitamente le difese perimetrali come i firewall si trovano spesso in cima alla lista delle soluzioni irrinunciabili. Un approccio come questo è di frequente basato su esigenze legate alla conformità: quali sono le soluzioni imposte a livello normativo? Nella maggior parte dei casi le aziende, se sono conformi, si illudono di essere al sicuro: d'altronde, hanno spuntato tutte le caselle! Anziché limitarsi a mettere una crocetta su un elenco di soluzioni, le aziende dovrebbero valutare a quali rischi sono sottoposte di fronte alle continue minacce DDoS. In altre parole: “Quali sono i rischi DDoS che incombono su di noi? Siamo pronti ad affrontarli?”. Di seguito alcune delle potenziali risposte:
Attacchi DDoS volumetrici
Questo tipo di attacchi DDoS tenta di consumare la larghezza di banda nel target oppure tra il target e il resto di Internet. Raggiunge il suo scopo di bloccare l’accesso ai servizi e la loro erogazione con l’uso di una forza schiacciante. Questi episodi sono caratterizzati da dimensioni sempre crescenti: l’attacco da 1+ terabit sta diventando la nuova normalità. Per difendersi da questa minaccia occorre una soluzione di mitigazione dotata di capacità assimilabili che, viste le dimensioni, è solitamente presente nel cloud.
Attacchi di tipo TCP State Exhaustion
Questi attacchi tentano di consumare le tabelle di stato presenti in molti nodi dell’infrastruttura, come i bilanciatori di carico, i firewall e i server applicativi. Persino i dispositivi a elevate capacità in grado di supportare milioni di connessioni possono essere messi KO da questi attacchi.
Attacchi alle applicazioni
Sono rivolti ad applicazioni e servizi specifici del Layer 7, noto anche come il livello applicativo. Si tratta di attacchi particolarmente insidiosi, perché possono essere estremamente efficienti: una sola macchina può sferrare un assalto capace di generare un rallentamento del traffico, caratteristica che rende questi DDoS molto difficili da rilevare e da mitigare. Per difendersi da essi occorre una soluzione capace di distinguere il traffico dati legittimo in ingresso nella rete dalle minacce accuratamente celate: un compito tutt’altro che semplice, visto l’aumento della velocità e dei volumi del traffico.
Attacchi stratificati e multivettore
Gli attacchi DDoS si avvalgono sempre più spesso di una combinazione o di varianti di queste tre categorie di attacco in un unico assalto. Questa strategia riesce a confondere e a sviare le difese. Un'aggressione alla più grande banca cilena segnalato di recente ha messo fuori uso qualcosa come 9.500 server e stazioni di lavoro, già in sé uno stravolgimento enorme, successivamente rivelatosi però un semplice diversivo che ha permesso agli aggressori di raggiungere il loro vero obiettivo: sottrarre 10 milioni di dollari alla banca tramite la rete Swift.
Attacchi in uscita dall’interno
Gli aggressori più sofisticati sovvertono l’ordine delle cose per gli specialisti della sicurezza, andando a piazzare il malware nelle reti aziendali e sfruttando queste ultime per assaltare target interni ed esterni. I criminali informatici prediligono soprattutto i dispositivi IoT (Internet delle cose) per introdursi furtivamente nelle reti aziendali. Negli ultimi episodi di grande entità, infatti, le botnet IoT l’hanno fatta da padrone.
Minacce emergenti
Come se tutto questo non fosse sufficienti, il panorama delle minacce globali si arricchisce continuamente di new entry. Per riuscire a farvi fronte occorrono capacità informative sulle minacce globali. La protezione contro tutti questi tipi di minacce è imprescindibile per una difesa solida. Qualora anche una di esse venisse ignorata, infatti, si creerebbe un'esposizione in un punto qualsiasi della “catena del rischio”. Una difesa ibrida o stratificata che fonda in sé rilevazione e mitigazione su cloud e locali, allertata dalle informazioni relative alle minacce globali e gestita in modo più o meno automatico è considerata dai più una buona pratica.
Un professionista della sicurezza potrebbe valutare tutti i rischi e ciò che occorre per mitigarli e stabilire che “non abbiamo il budget, e non possiamo contare sulla larghezza di banda necessaria”. È proprio qui che entra in gioco l’opzione del servizio DDoS gestito, che prevede l’outsourcing a un fornitore che abbia già investito nella tecnologia e possieda le competenze professionali giuste per mitigare qualsiasi tipo di attacco. In questo modo è possibile risparmiare, potenziare le risorse interne e ridurre i rischi. Oltre a mandare in pensione le checklist per la sicurezza. Se davvero la minaccia degli attacchi DDoS è da considerarsi un pilastro importante nell’analisi del rischio aziendale, allora un approccio pragmatico e definitivo può essere e deve essere un’eventualità da prendere in forte considerazione.