A cura di Ivan Straniero, Territory Manager, Italy & SE Europe Arbor Networks
Cosa si possono aspettare le aziende nel 2015 per quanto riguarda la sicurezza e le cyberminacce? Pur non potendolo sapere con precisione, esistono tuttavia alcune interessanti tendenze in atto che meritano di essere seguite con una certa attenzione.
Per prima cosa occorre notare come gli attacchi DDoS stiano continuando a crescere sia di scala che di frequenza e vengano sempre più utilizzati per mascherare altre forme di cybercrimine. Secondo la decima edizione del Worldwide Infrastructure Security Report (WISR) pubblicato da Arbor Networks, il picco nelle dimensioni degli attacchi registrati su Internet nel corso del 2014 è stato pari a 400Gbps circa, molto più dei 309Gbps raggiunti nel 2013. Si tratta di volumi di traffico giganteschi e fortunatamente attacchi di questa portata sono alquanto rari, ma è interessante vedere quanto siano divenuti comuni gli attacchi di grandi dimensioni.
Guardando ai dati raccolti dal sistema Arbor ATLAS, nel 2013 si sono verificati 39 attacchi superiori ai 100Gbps, soprattutto verso la fine dell’anno. Nel 2014 il loro numero è passato a 159, una crescita notevole. Questi attacchi così grossi sono stati generati principalmente mediante una varietà di tecniche di riflessione/amplificazione basate su DNS, NTP o SSDP.
Le tecniche di riflessione/amplificazione DNS sono da anni uno strumento utilizzato da chi vuole generare attacchi DDoS di grandi dimensioni, ma nel 2014 abbiamo assistito alla decisa adozione di NTP e SSDP – solo due dei protocolli che dispongono di capacità di riflessione/amplificazione, per cui è probabile che ulteriori protocolli vengano usati nel corso dell’anno per generare attacchi ancora più grossi.
Quello che preoccupa particolarmente della proliferazione di questi grandi attacchi volumetrici è la possibilità di danni collaterali nelle reti dei service provider o dei data centre aziendali. Attacchi di grandi dimensioni possono rallentare o bloccare i servizi per molti clienti; leggendo il report WISR di quest’anno si può scoprire che una percentuale significativa di aziende e operatori di data center – oltre un terzo di ciascuna categoria – ha affermato di aver subìto attacchi che hanno saturato la connettività Internet disponibile. L’accresciuta consapevolezza di questo e le sfortunate esperienze vissute sul campo stanno promuovendo, come ancora una volta si desume dai dati WISR, una domanda di servizi per la protezione DDoS basati su cloud o forniti da service provider per affrontare gli attacchi ad alta magnitudine, idealmente nell’ambito di una soluzione stratificata.
In secondo luogo, gli attacchi DDoS sono sempre più spesso impiegati nell’ambito di campagne più vaste. Molti associano le attività DDoS alle azioni di hacktivismo ideologico o ai giochi online, dal momento che queste due aree sono quelle che hanno ricevuto una particolare attenzione da parte della stampa. Ciò che è interessante, tuttavia, è che gli attacchi DDoS sono sempre più usati come ‘strumento’ per distrarre i team incaricati della sicurezza dagli obiettivi reali, solitamente inerenti la sottrazione di dati o la frode finanziaria. Nel report WISR di quest’anno, il 19% dei service provider intervistati considera la distrazione dai tentativi di sottrazione dei dati come una motivazione comune o molto comune di questi attacchi; numerosi altri studi hanno evidenziato recentemente le stesse conclusioni. Le aziende devono sapere che un attacco DDoS può essere l’indicatore di qualcos’altro e aumentare il proprio stato di allerta conseguentemente, in particolare se l’attacco non possiede altri evidenti motivi di giustificazione.
Infine, quest’anno continueremo quasi sicuramente ad assistere alla violazione di grandi aziende che hanno investito in più strati di sicurezza. Il 2014 ha registrato un numero senza precedenti di aziende che si sono fatte sottrarre enormi quantità di dati, e il 2015 promette di proseguire lungo questa tendenza. La recente violazione di Anthem, un’assicurazione sanitaria privata statunitense, ne è un esempio. I nostri tradizionali processi di sicurezza focalizzati sul perimetro e sugli eventi non vanno più bene contro gli strumenti e la persistenza dei malintenzionati di oggi. Le aziende devono trovare strumenti che consentano di velocizzare i processi di analisi degli allarmi in modo che i team incaricati della sicurezza possano migliorare le capacità di reazione. Quest’anno inizieremo anche a vedere un aumento delle aziende che potenzieranno i tradizionali processi IR event-driven con funzioni investigative che ricercano proattivamente eventuali minacce dirette contro gli asset critici: di questo se ne parla da un po’ di tempo, ma ora il tema sta acquistando forza specialmente nelle aziende più grandi.
In conclusione, non sappiamo per certo quel che potrà accadere quest’anno, ma possiamo imparare da quanto hanno visto gli altri. Assicurandoci di restare sempre aggiornati sulle minacce in circolazione e capire quali soluzioni e risorse disponibili possano essere adoperate con più efficacia per affrontare queste minacce, potremo minimizzare i rischi. Nulla è certo ma, come dice il proverbio, ‘la conoscenza è potere’ anche nella lotta al cybercrimine.