Gli Advanced Persistent Threat crescono del 36% e raddoppiano gli attacchi alle reti mobili. Dalla nona edizione del Worldwide Infrastructure Security Report di Arbor Networks. Ne abbiamo parlato con Marco Gioanola.
Sono aumentate del 36% le aziende colpite da attacchi Apt (Advanced Persistent Threat); più che raddoppiati gli attacchi alle reti mobili; quelli diretti al layer applicativo sono diffusi ovunque; crescono gli attacchi DDoS ad alto volume; i datacenter sono bersagli ad alto impatto e alta frequenza; l’infrastruttura Dns è vulnerabile.
Sono le risultanze della nona edizione dello studio Worldwide Infrastructure Security Report (Wisr) di Arbor Networks.
Basato su dati di service provider, aziende, società di hosting, fornitori di cloud e altri operatori di rete, lo studio fornisce una visione delle minacce di sicurezza dirette contro le aziende e delle strategie adottate per controbatterle.
I dati coprono il periodo tra novembre 2012 e ottobre 2013. Il campione comprende 220 risposte fornite da un mix di operatori Tier 1, Tier 2/3, società di hosting, provider mobili, aziende e altri tipi di operatori di rete di tutto il mondo.
Oltre il 68% degli intervistati è composto da service provider.
Uno spaccato sui dati
Secondo gli intervistati, dunque, la preoccupazione maggiore è legata agli host infettati da bot.
Quasi un quarto degli intervistati che offrono servizi mobili ha indicato di aver osservato attacchi DDoS che hanno avuto un impatto contro le proprie infrastrutture per mobile Internet.
Gli attacchi diretti contro il layer applicativo sono ora registrati da quasi tutti gli intervistati, che hanno affermato di averli rilevati nel corso del periodo coperto dall’indagine.
In tutte le precedenti edizioni del report, l’attacco di maggiori dimensioni osservato era stato di 100 Gbps.
Quest’anno il picco è stato invece di 309 Gbps.
Oltre il 70% dei datacenter operativi ha riportato attacchi DDoS durante l’anno, e circa il 10% ha registrato oltre 100 attacchi al mese.
Poco più di un terzo degli intervistati ha sofferto di attacchi DDoS rivolti contro la propria infrastruttura Dns.
Abbiamo dunque chiesto a Marco Gioanola, Consulting Engineer di Arbor Networks, di commentare questi dati, anche dal punto di vista qualitativo.
D: Da qualche anno a questa parte gli attacchi DDoS sono in crescita. Cosa dicono i vostri dati per l’anno appena conclusosi, sia sul piano numerico, sia su quello qualitativo?
G: Le risposte ricevute hanno confermato le notizie riguardanti gli attacchi DDoS riportate dai mass media e ciò che avevamo già osservato lavorando insieme ai nostri clienti: un incremento sostanziale della frequenza degli attacchi di dimensioni superiori ai 100Gbps e un picco di oltre 300Gbps. Per inquadrare le proporzioni del fenomeno, consideriamo che tali numeri sono centinaia o migliaia di volte superiori alla quantità massima di banda a disposizione delle più grandi aziende del nostro paese. Il 36% degli operatori di data center intervistati ha segnalato almeno un caso di attacco che ne ha completamente saturato la capacità di banda.
L’altra faccia della medaglia è il continuo utilizzo di attacchi di dimensioni minori ma sempre più mirati alle applicazioni, principalmente all’Http ma sempre più frequentemente anche verso canali cifrati come l’Https.
D: Quali sono gli obiettivi preferiti dagli attacker?
G: Le indicazioni fornite dal nostro sondaggio negli anni scorsi sono state fondamentalmente confermate anche nel 2013, indicando alcune categorie particolarmente prese di mira: siti di istituzioni politiche, economiche e finanziarie attaccati per motivi politico-ideologici e di protesta; siti di giochi multiplayer online, dove non è raro avere giocatori che usano il DDoS come arma per mettere fuori causa gli avversari, spesso con ingenti danni collaterali, o che vengono presi di mira per causare ingenti danni economici; siti di scommesse online e gioco d’azzardo, dove è forte il sospetto che il DDoS venga usato come arma di concorrenza sleale.
Detto ciò, la tipologia delle vittime di attacchi DDoS è ampissima, dal sito vetrina della grande azienda, al piccolo sito di e-commerce, fino all’utente Adsl o 3G attaccato per motivi futili come una lite online.
D: Come è cambiata la fenomenologia degli Apt?
G: Il nostro sondaggio ha rilevato un dato sorprendente: se da una parte gli attacchi avanzati e persistenti e l’infezione da botnet sono in cima alla lista delle minacce percepite dagli intervistati, dall’altro quasi il 60% di questi ammette di non identificare o controllare in alcun modo gli apparati personali dei dipendenti usati all’interno della rete aziendale o per accedere a dati o servizi critici come Bring Your Own Device. È inoltre significativa la crescita di una tipologia di attacco ibrida, dove il DDoS viene utilizzato come diversivo per distogliere l’attenzione da attività più avanzate di intrusione o furto di informazioni.
D: Gli attacchi al layer applicativo cosa hanno prodotto?
G: Sempre più aziende comprendono la necessità di un approccio multilivello alla mitigation degli attacchi DDoS: ai servizi forniti dagli Isp per contrastare gli attacchi di grandi dimensioni si affiancano soluzioni specifiche, presso la rete del cliente, per rilevare e bloccare in tempo reale gli attacchi allo strato applicativo.
Ad esempio, l’incremento dal 24% nel 2011 al 54% nel 2013 degli intervistati che hanno rilevato attacchi verso il servizio Https ci mostra chiaramente la crescente sofisticazione dell’arsenale a disposizione degli attaccanti.
D: La capacità di reazione delle aziende è mutata, in peggio o in meglio?
G: Nel 2013 abbiamo rilevato diversi segnali incoraggianti: più dell’80% degli intervistati utilizza strumenti efficaci di rilevamento degli attacchi; il 62% utilizza soluzioni dedicate alla mitigation intelligente degli attacchi DDoS, mentre la percentuale di chi ritiene che i firewall possano fornire una protezione efficace contro tale minaccia è scesa dal 57 al 47%; il 60% degli intervistati dichiara di essere in grado di mitigare un attacco DDoS in meno di 20 minuti, in miglioramento rispetto agli scorsi anni.
D: Le attività di formazione e persuasione che avete condotto a cosa hanno portato?
G: Oltre a quelli citati precedentemente, uno degli aspetti più positivi dell’Infrastructure Security Report di quest’anno è il netto incremento di sensibilità al problema DDoS da parte degli operatori di rete mobile.
Nonostante le capacità di rilevamento delle anomalie e mitigation degli attacchi rimangano ancora largamente minori di quelle deli operatori tradizionali, è incoraggiante che rispetto al 40% dell’anno scorso, nel 2013 il 65% degli operatori mobili intervistati è dotato di strumenti per la visibilità e analisi del traffico.
Purtroppo però rileviamo ancora gravi lacune sotto l’aspetto operativo, dove per esempio il 55% degli intervistati dichiara ancora di non effettuare alcuna attività di simulazione di risposta a un attacco DDoS, col forte rischio di trovarsi impreparati nel momento del bisogno.
