Un nuovo tipo di attacco SYN Flood, uno tra gli attacchi TCP-based ritenuto tra i più pericolosi, è stato rilevato nell’ultima settimana dall’Emergency Response Team (ERT) di Radware. In particolare, sono stati due gli attacchi di questo tipo individuati in una finestra di 48 ore verso due diversi obiettivi, situati in due continenti diversi.
Tsunami SYN Flood Attack: così viene addirittura definito il nuovo tipo di attacco, la cui particolare pericolosità è data dalla capacità di saturare il traffico Internet delle sue vittime molto più rapidamente di qualsiasi altro attacco mai apparso fino ad oggi.
Ad allarmare è il fatto che questo nuovo attacco SYN Flood è molto diverso da un normale SYN packet ed è caratterizzato da dimensioni di circa 1000 byte per pacchetto e la sua azione può colpire anche un’intera serie di reti. Una minaccia di questa portata è in grado di consumare banda molto rapidamente: i primi attacchi, seppur esplorativi e di lieve entità, sono stati in grado di generare picchi di 4-5 Gbps.
E’ la prima volta che si è assistito a questo tipo di attacco, ma gli esperti credono che ben presto potrebbe diventare una nuova modalità di attacco DDoS (Distributed Denial of Service): i primi attacchi potrebbero avere una natura meramente esplorativa e funzionare da test per affinare la minaccia e valutare nel frattempo l’efficacia delle protezioni attualmente in uso.
Diventa molto importante per tutte le aziende, a questo punto, verificare che le proprie soluzioni di sicurezza siano in grado di bloccare il Tsunami SYN Flood Attack. Rilevarlo subito è fondamentale, anche se poi la maggior parte delle protezioni TCP-based e SYN cookie-type non sono efficaci.
Gli algoritmi basati sul comportamento sono fondamentali sia per rilevare la minaccia che per limitarne i danni. Non avere un sistema di rilevamento di tipo “behavioural”, infatti, rende inutili anche le più moderne soluzioni di sicurezza contro questa minaccia. La soluzione più efficace è un modello ibrido cloud/on-premise: la vittima presa di mira dovrà avere una soluzione di detection veloce e di qualità, con funzioni di cloud scrubbing mitigation per prevenire la saturazione della banda.
La chiave per gestire gli attacchi informatici resta comunque avere un piano di azione sempre aggiornato in caso di emergenza, tenendo sempre ben informate le persone su cosa fare in caso di attacco.
