A cura di:
Ivan Straniero
Territory Manager di Arbor Networks
Oggi le imprese dipendono dalla connettività Internet, sia essa considerata come fonte di guadagno, come mezzo per comunicare con clienti acquisiti e potenziali, o come soluzione per accedere alle informazioni e alle applicazioni necessarie al lavoro quotidiano. In ogni caso, gli episodi di downtime possono rivelarsi estremamente costosi in termini sia finanziari che di reputazione.
Per contrastare tale rischio, le imprese hanno investito in data center le cui architetture integrano capacità di resilienza e ridondanza; una scelta che però non le ha messe nelle condizioni di proteggersi da quella che costituisce oggi la principale minaccia alla disponibilità dei servizi: gli attacchi DDoS.
I Distributed Denial of Service (DDoS) sono attacchi progettati per scardinare la disponibilità della rete, dei servizi o delle applicazioni bersaglio, consumando alcune o tutte le relative risorse assegnate. Negli ultimi dieci anni le minacce DDoS sono aumentate per dimensioni, complessità e frequenza, diffondendosi sempre di più con target e motivazioni sempre più diversificati. La consapevolezza della minaccia rappresentata da questi attacchi è aumentata in seguito alle campagne fortemente pubblicizzate condotte da Anonymous, Al Qassam Cyber Fighters e altri.
Oggi il mondo aziendale è comprensibilmente preoccupato per l’impatto che gli attacchi DDoS possono avere. Lo studio ‘Enterprise Threat Landscape’ pubblicato da Arbor Networks rivela che il 63% delle imprese considera questione prioritaria il rischio di attacchi DDoS rivolti contro la disponibilità dei servizi. Come fare dunque per potersi tutelare?
Qui entrano in gioco ISP e MSSP (Managed Security Service Provider) in quanto punti di riferimento capaci di garantire protezione da questa minaccia grazie a competenze, staff e capacità di rete adeguati ad affrontare e contrastare il fenomeno DDoS.
Partiamo dai cosiddetti ‘attacchi volumetrici’, i più comuni e semplici tra i DDoS. Si tratta di traffico generato a un livello di ‘bit al secondo’ o ‘pacchetti al secondo’ sufficientemente elevato da causare congestione sulla rete e ostacolare il traffico lecito nel percorso verso la sua destinazione. La portata della minaccia può rivelarsi davvero estesa in quanto sfrutta tecniche di riflessione e amplificazione capaci di incrementare sensibilmente la capacità intrinseca dell’autore dell’attacco: ad esempio, ricordiamo Spamhaus avvenuto a marzo 2013, uno tra i più consistenti attacchi DDoS mai registrati, a circa 300Gbps.
Passiamo poi agli ‘attacchi sul livello applicativo’, quelli che mirano ai servizi Layer 7. Negli ultimi quattro-cinque anni questa forma di minaccia si è diffusa sempre di più fino a diventare la più sofisticata e furtiva fra i DDoS. Utilizza infatti traffico difficile da distinguere rispetto a quello generato lecitamente, complicandone il rilevamento e la mitigazione in assenza di soluzioni e servizi specializzati.
Per contrastare queste diverse tipologie di attacchi, sempre più spesso utilizzate anche in combinazione tra loro, le imprese devono poter fare affidamento su sistemi di difesa stratificati. Gli attacchi di tipo volumetrico hanno raggiunto un livello tale da riuscire a saturare la connettività Internet di moltissime organizzazioni. Il programma di monitoraggio Arbor Networks ATLAS mostra come fra il 2012 e la prima metà del 2013 la dimensione degli attacchi DDoS sia aumentata del 43%, toccando i 2,12Gbps. In questo caso gli ISP e gli MSSP rappresentano la risposta in quanto detentori della capacità sufficiente a contrastare la minaccia (facendo passare il traffico lecito, e scartando quello pericoloso). Gli attacchi ai danni del layer applicativo e quelli volumetrici più piccoli possono risultare altrettanto dannosi; è bene ricordare che una volta violato, un determinato servizio non riesce necessariamente a essere subito ripristinato in seguito all’intervento di mitigazione. Per questo è auspicabile ricorrere a una protezione preventiva basata su elementi di difesa DDoS lungo il perimetro della rete. Queste soluzioni godono infatti di una visibilità più dettagliata sul traffico (in quanto possono essere implementate in-line) e riescono a rilevare e mitigare anche gli attacchi più furtivi prima che questi possano impattare sui servizi – tutelando la business continuity.
Il consiglio è quello di attivare questi due livelli di protezione contemporaneamente così da offrire un sistema di difesa automatizzato e totalmente integrato. ISP e MSSP rappresentano l’interlocutore ideale per l’offerta di servizi di protezione DDoS integrati e stratificati; il costante aumento delle dimensioni e della frequenza degli attacchi DDoS ha contribuito a convincere il 50% delle imprese a integrare nel corso dell’anno la protezione DDoS nei rispettivi processi di gestione del rischio a supporto della disponibilità dei servizi Internet. Per concludere, la necessità di soluzioni efficaci è chiara, e gli ISP devono quindi comprendere come non vi sia momento più opportuno di questo per entrare nello spazio degli MSSP.