SearchCIO
SearchNetworking
SearchSecurity
01net.NETS
Protezione
Banche, Pa, provider e utility bersagli dei prossimi attacchi DdoS
Lo segnala Radware, che consiglia una check-list per la protezione delle reti.
28 Marzo 2011
Marzo è stato definito come il mese a “maggiore intensità di azioni hacktivist”, a seguito di vari avvenimenti: il 3 marzo un attacco DDoS alle organizzazioni governative e di e-commerce della Corea; il giorno seguente attacco DDoS a Wordpress.com con interruzioni delle attività; il 6 marzo, attacco al governo francese; il 9 marzo attacco DDoS all’hosting provider gestito da Codero, con danni a Twitter, e lo stesso giorno gli Anonymous hanno annunciato una nuova “Operazione Payback” contro Bmi.com.
Le minacce sono state considerate molto serie ed hanno spinto il Financial Services – Information Security Advisory Council (Fs-Isac) a diramare un avviso (2011-03-024) a tutte le società finanziarie associate sul possibile verificarsi di attacchi Denial-os-Service; inoltre, è stata nuovamente pubblicata la guida Cert con le indicazioni per prepararsi a fronteggiare gli attacchi.
Sono considerate a maggior rischio le grandi istituzioni finanziarie, service provider, amministrazioni finanziarie pubbliche, infrastrutture tecnologiche indipendenti, infrastrutture sensibili: elettricità e gas, internet service provider e i provider della rete energetica nazionale statunitense).
Allo scopo Radware ha messo a punto una check-list per aiutare queste realtà a proteggere efficacemente le loro reti:
Come prima cosa va pianificato il perimetro per predisporre un’attack mitigation. Per la società bisogna impostare un approccio security-in-depth per prepararsi a bloccare gli attacchi con una strategia anti-DDoS che metta in stato di allerta e poi mitighi tutto il traffico lanciato dall’attacco ed essenzialmente provveda a pulire le condutture su tutta la rete.
Poi serve assicurare che la soluzione possegga specifiche capacità perimetrali per individuare in tempo reale attività maligne o intrusioni, respingere gli attacchi a livello applicativo, riconoscere il traffico legittimo da quello illecito, ed infine attivare un sistema di logging/correlation per raccogliere tutti i dettagli dell’attacco e farne il report immediato.
Poi si deve pensare alle tecnologie complementari: oltre alla protezione di base con Ips e firewall, va impostata una soluzione in grado di mitigare attacchi sia noti che sconosciuti e che comprenda tool anti-DoS e anti-DDoS (a livello di rete e di applicazione) a contrasto di attacchi flood; dispositivi di analisi comportamentale capaci di creare firme in tempo reale contro abusi e attacchi zero-day; sistemi di intrusion prevention contro le vulnerabilità applicative già note; strategie di contrattacco attivo in caso di emergenza (Smart Hands/Man-in-the-Loop capability).
Infine bisogna prepararsi al contrattacco ispirandosi al classico principio, che stabilisce l’attacco essere la miglior difesa. Ossia, va definito un piano che coinvolga tecnici esperti in real-time negli eventi per far sì che strumentazione, allarmi, correlazione e mitigazione vengano gestite nel modo corretto; bisongna assicurarsi che i team siano pronti a prestare assistenza immediata con azioni di mitigation attiva o di contrattaccare in difesa non appena il sistema è sotto attacco. In tal senso, il il concetto di difesa attiva è quello di un contrattacco proporzionato all’offesa, per eliminare definitivamente ogni traccia dell’attacco DDoS e chiudere un incidente.
Le minacce sono state considerate molto serie ed hanno spinto il Financial Services – Information Security Advisory Council (Fs-Isac) a diramare un avviso (2011-03-024) a tutte le società finanziarie associate sul possibile verificarsi di attacchi Denial-os-Service; inoltre, è stata nuovamente pubblicata la guida Cert con le indicazioni per prepararsi a fronteggiare gli attacchi.
Sono considerate a maggior rischio le grandi istituzioni finanziarie, service provider, amministrazioni finanziarie pubbliche, infrastrutture tecnologiche indipendenti, infrastrutture sensibili: elettricità e gas, internet service provider e i provider della rete energetica nazionale statunitense).
Allo scopo Radware ha messo a punto una check-list per aiutare queste realtà a proteggere efficacemente le loro reti:
Come prima cosa va pianificato il perimetro per predisporre un’attack mitigation. Per la società bisogna impostare un approccio security-in-depth per prepararsi a bloccare gli attacchi con una strategia anti-DDoS che metta in stato di allerta e poi mitighi tutto il traffico lanciato dall’attacco ed essenzialmente provveda a pulire le condutture su tutta la rete.
Poi serve assicurare che la soluzione possegga specifiche capacità perimetrali per individuare in tempo reale attività maligne o intrusioni, respingere gli attacchi a livello applicativo, riconoscere il traffico legittimo da quello illecito, ed infine attivare un sistema di logging/correlation per raccogliere tutti i dettagli dell’attacco e farne il report immediato.
Poi si deve pensare alle tecnologie complementari: oltre alla protezione di base con Ips e firewall, va impostata una soluzione in grado di mitigare attacchi sia noti che sconosciuti e che comprenda tool anti-DoS e anti-DDoS (a livello di rete e di applicazione) a contrasto di attacchi flood; dispositivi di analisi comportamentale capaci di creare firme in tempo reale contro abusi e attacchi zero-day; sistemi di intrusion prevention contro le vulnerabilità applicative già note; strategie di contrattacco attivo in caso di emergenza (Smart Hands/Man-in-the-Loop capability).
Infine bisogna prepararsi al contrattacco ispirandosi al classico principio, che stabilisce l’attacco essere la miglior difesa. Ossia, va definito un piano che coinvolga tecnici esperti in real-time negli eventi per far sì che strumentazione, allarmi, correlazione e mitigazione vengano gestite nel modo corretto; bisongna assicurarsi che i team siano pronti a prestare assistenza immediata con azioni di mitigation attiva o di contrattaccare in difesa non appena il sistema è sotto attacco. In tal senso, il il concetto di difesa attiva è quello di un contrattacco proporzionato all’offesa, per eliminare definitivamente ogni traccia dell’attacco DDoS e chiudere un incidente.
Link correlati
- Attacchi Ddos all'apice: verso i data center e oltre i 100 Gbps
- Gioanola: mitigare i Ddos, aspettando Ipv6
- Ipv6, Radware AppDirector è pronto
- La sicurezza all-inclusive secondo Radware
- Radware Alteon ora in serie 5
- Radware vara gli Alteon 4
- Cloud e sicurezza: attacchi contro Wpa
- Dalle policy di accesso a quelle di identity: la sicurezza secondo Ca Technologies
- Tclouds, la via europea alla sicurezza nella nuvola
- Web 2.0, la sicurezza è in mano ai dipendenti
- Dieci file aperti alla voce sicurezza
- La sicurezza nel cloud? È questione di fiducia
- Sicurezza: cosa è endpoint e cosa no
- Cinque passi per mettere in sicurezza l'e-commerce
Rss