A cura di:
Ivan Straniero
Territory Manager Arbor Networks
Attacchi DDoS di alto profilo e spesso anche decisamente sfacciati continuano a fare notizia sia negli Stati Uniti che nel resto del mondo sulla spinta di cyberattaccanti capaci di trovare nuovi metodi per sferrare furtivamente i loro colpi senza che siano rilevabili per lunghi periodi di tempo. Questo genere di attacchi si rivela letale poiché spesso colpisce la disponibilità delle risorse di rete e di calcolo. Quando un attacco DDoS lanciato contro server Web, server DNS, server email, server applicativi o qualsiasi altra risorsa ha successo, esso produce un impatto negativo sulla disponibilità del bersaglio.
Col tempo vi è stata un’evoluzione delle motivazioni e dei fattori principali che risiedono alla base di queste minacce, andate ormai ben oltre la ricerca di attenzione che spingeva gli attaccanti a colpire in passato. Oggi il cybercrimine trova la propria ragione d’agire nell’hacktivismo e nell’ideologia, sfruttando l’interruzione del funzionamento di un sito come mezzo elettronico per affermare un punto di vista o prendere una posizione. Eppure, nonostante tutti questi cambiamenti da parte degli hacker di tutto il mondo, coloro che sono sotto tiro non si rivelano preparati ai cyberattacchi quanto dovrebbero essere. L’ottava edizione del nostro studio annuale Worldwide Infrastructure Security Report recentemente pubblicata mette in evidenza proprio questo aspetto: poco più della metà degli operatori di rete (51%) che abbiamo intervistato non effettua esercitazioni regolari per affrontare i cyberattacchi.
Questo segnale è indicativo di un aspetto più ampio che riguarda l’integrazione di tattiche e strategie di mitigazione degli attacchi DDoS all’interno dei piani di business continuity e risk management. I cambiamenti a cui stiamo assistendo nel panorama delle minacce sono divenuti una motivazione che spinge sempre più imprese a formalizzare la sicurezza IT incastonandola nel contesto dell’Enterprise Risk Management (ERM) e del Business Continuity Planning (BCP).
L’attuale realtà finanziaria impone che le aziende integrino la sicurezza IT all’interno dei propri piani di monitoraggio operativo e finanziario in un’ottica di controllo dei costi. Al contempo, esse devono fornire risorse adeguate per affrontare le varie priorità di sicurezza nell’ambito finanziario, normativo e della reputazione, includendo nel modello di sicurezza aziendale tutti i fattori di rischio pertinenti. La natura astratta delle discipline della gestione del rischio e della pianificazione della continuità operativa spesso scoraggia i pianificatori e i responsabili della sicurezza IT. Nella maggior parte dei casi i piani di business continuity includono procedure e policy dettagliate per mantenere operativa l’organizzazione in presenza di disastri naturali come ad esempio incendi, inondazioni e terremoti; è raro invece che tengano conto delle contingenze legate a eventuali incidenti nella sicurezza IT.
E questo è un grande sbaglio.
Gli incidenti di sicurezza producono spesso un impatto negativo sulle attività aziendali, generando significativi costi operativi, perdite di fatturato, sfide in termini di customer satisfaction ed erosione della brand reputation. Di conseguenza le questioni inerenti la sicurezza IT comportano grossi rischi per le aziende, fatto che le inserisce a pieno titolo nell’ambito della pianificazione della continuità operativa e del disaster recovery. Oggi l’aspetto più importante della sicurezza enterprise, la disponibilità, è quello più facilmente comprensibile e quantificabile.
Sebbene le pratiche della sicurezza siano essenziali per pianificare la continuità operativa, sono ancora molti i piani di business continuity che non le includono. La tutela della disponibilità è l’elemento di sicurezza di maggiore rilevanza, oltre che quello maggiormente quantificabile e applicabile. È facile calcolare il costo derivante dall’interruzione del funzionamento di siti di e-commerce, applicazioni di supporto alla clientela, sistemi di content delivery, siti online di appoggio a punti vendita tradizionali e così via. Molte di queste informazioni risultano infatti già disponibili attraverso le analisi di high-availability relative a progetti di Business Continuity Planning già esistenti.
Le minacce alla sicurezza, e in particolare quelle che minano la disponibilità, sono eventi esterni che producono un impatto negativo in termini finanziari, legali, normativi e/o di brand reputation. È quindi auspicabile che le imprese considerino tali minacce nell’ambito di quelle valutazioni più ampie riguardanti l’Enterprise Risk Management che gettano le basi per la pianificazione della continuità operativa. Riassumendo, gli attacchi DDoS sono “eventi esterni” (come definito da Basilea II) e possono essere considerati come disastri provocati da mano umana.
Il pericolo provocato dagli attacchi DDoS alla disponibilità operativa non può essere mai ribadito abbastanza. Un piano di business continuity non può considerarsi completo qualora non contempli la necessità di garantire la disponibilità delle risorse online critiche anche di fronte a un attacco coordinato. Le imprese possono rilevare, classificare e mitigare le minacce DDoS grazie a best practice operative appropriate e a soluzioni anti-DDoS dedicate. Alla luce dell’attuale panorama della sicurezza, gli operatori di rete non possono permettersi di ignorare la realtà degli attacchi DDoS escludendoli dalla pianificazione del risk management e della continuità operativa. Il rischio sarebbe troppo elevato.
