A cura di Ivan Straniero, Territory Manager Sout-East and Eastern Europe di Arbor Networks
Dall’attacco lanciato contro Sony fino alla vulnerabilità denominata Heartbleed, lo scorso anno si è visto veramente di tutto e la continua proliferazione di cyberattacchi di alto profilo nel 2015 fa sì che la sicurezza continui a essere ben presente nella testa di molti. Tuttavia, per quanto le vicende che sono arrivate sui giornali possano aver incrementato la consapevolezza circa gli incidenti e le vulnerabilità di maggior impatto, è importante capire la scala e la portata del problema. Gli attacchi accadono in ogni momento, e non sono solamente i grandi brand a esserne colpiti.
La decima edizione del Worldwide Infrastructure Security Report (WISR) pubblicato annualmente da Arbor Networks evidenzia le principali tendenze nel panorama delle minacce e delle preoccupazioni affrontate dalle aziende. Il report combina le osservazioni e le esperienze della community degli specialisti di sicurezza fornendo una utile repository dei dati osservati durante l’anno precedente, delle misure prese per contrastare gli attacchi e delle preoccupazioni in vista del futuro.
Uno dei principali riscontri di questa ricerca è stato in relazione agli attacchi di tipo DDoS (Distributed Denial of Service), la principale minaccia alla disponibilità dei servizi Internet ai quali molti di noi ormai si affidano. Gli attacchi DDoS sono continuamente cresciuti di dimensioni e frequenza: il 2014 è stato un anno in cui si sono registrati nuovi record negli attacchi di grandi dimensioni. Il sistema ATLAS di Arbor ha monitorato lo scorso anno oltre 150 attacchi superiori ai 100Gbps, un incremento di quattro volte rispetto al 2014, e il record relativo all’attacco di maggiori dimensioni in assoluto è stato superato ancora una volta attestandosi a circa 400Gbps. Ma non sono solo i grandi attacchi a essersi fatti sempre più frequenti: le aziende interpellate per il report hanno infatti dichiarato che il 29% degli attacchi è ricaduto nella tipologia più complessa e invisibile, quella degli attacchi diretti contro il layer applicativo, molto più difficili da fermare.
La difesa DDoS è enormemente importante per ogni azienda che faccia affidamento su servizi Internet forniti o utilizzati. I service provider stanno riscontrando una crescente consapevolezza di questo, con il 70% che registra sempre più interesse nei confronti dei servizi di protezione DDoS. Questi servizi sono in grado di mitigare gli attacchi piuttosto rapidamente: il 68% dei service provider che hanno partecipato alla ricerca WISR è attualmente in grado di mitigare un attacco in meno di 20 minuti. Dobbiamo tuttavia ricordare che i tempi di ripristino dei servizi possono essere più lunghi, specialmente se l’infrastruttura è esposta ad attacchi a esaurimento di stato del layer applicativo. Questo è il motivo per cui le difese DDoS sono così importanti: possono bloccare preventivamente gli attacchi non appena iniziano, e possono eliminare il bisogno di dirottare il traffico se l’attacco non cresce oltre la capacità del link. Le migliori difese integrano soluzioni perimetrali di rete con servizi di protezione DDoS cloud in modo che la componente perimetrale possa “chiedere aiuti” automaticamente in caso di escalation di un attacco.
Guardando più generalmente alla preparazione rispetto a ogni genere di incidente di sicurezza, sempre in base ai dati del WISR, è interessante notare che, nonostante la crescente consapevolezza di attacchi e violazioni, solamente metà delle aziende si sente ben preparata ad affrontare un cyber-incidente mentre il 10% si sente totalmente impreparata. La tecnologia è una cosa, ma un problema più grande per molte aziende risiede nelle persone e nei processi.
La maggior parte delle aziende soffre di una carenza di risorse di sicurezza, e questo può rendere difficile trovare il tempo di verificare i piani di risposta in caso di incidente. Tuttavia questo è molto importante. La dimestichezza con i tool e le persone su cui ci si può appoggiare, sia internamente che esternamente, in caso di incidente può davvero aiutare. Usando i giusti strumenti per facilitare la valutazione degli eventi e il processo investigativo si può migliorare l’efficienza delle risorse dedicate alla sicurezza affinché possano trascorrere più tempo su attività a più alto valore come le procedure di esercitazione e la caccia alle minacce.
Una cosa è certa: man mano che le minacce continuano a evolversi e sempre più aziende dipendono dai servizi Internet per le loro attività quotidiane, diventa sempre più importante assicurarsi di investire adeguatamente nelle tecnologie, nelle persone e nei processi che contribuiscono alla sicurezza delle organizzazioni. Disporre di una buona visibilità sul panorama delle minacce e sulle possibili conseguenze che queste possono avere sulle aziende in cui lavoriamo è qualcosa di cui tutti hanno bisogno.