Il valore di una protezione DDoS locale

Come ci si deve tutelare da attacchi volumetrici, staet exhausting e applicativi. Lo spiega Ivan Straniero di Arbor Networks.

Oggi gli attacchi DDoS si articolano in tre categorie: volumetrici, state exhausting e applicativi.

Il posto migliore per difendersi da un attacco volumetrico è all'interno della rete dell'Isp, in quanto la saturazione avviene a quel livello; tuttavia affidarsi unicamente al servizio di pulizia offerto dall'Isp in the cloud lascia la rete aziendale vulnerabile agli attacchi alle tabelle di stato e ai servizi applicativi.
Il posto migliore per mitigare questi ultimi è nel perimetro dell'azienda usando un'adeguata soluzione perimetrale, in quanto tali attacchi possono essere mitigati in quel punto specifico.

Come si arriva a queste conclusioni ce lo spiega Ivan Straniero, Territory manager di Arbor Networks.

C'è stato un periodo nel quale gli attacchi DDoS minacciavano il business delle azienda su Internet semplicemente riempendo la banda a disposizione e creando congestione di traffico. Questi attacchi sono generalmente chiamati volumetrici.
In risposta, gli Internet Service Provider (Isp) hanno realizzato dei servizi di sicurezza gestita (Mss) che offrono protezione DDoS ai clienti “in the cloud”.
Questi servizi gestiti sono stati considerati una strategia di protezione efficace per circa un decennio.

Dal 2010 tutto è cambiato: assistiamo infatti ad un importante cambiamento nella tipologia di attacchi DDoS grazie allo sviluppo di strumenti di attacco molti più sofisticati. Infatti oggi il livello applicativo è il bersaglio di attacco più popolare, in particolare per ciò che concerne i servizi Web.
Questi attacchi applicativi generalmente consumano meno banda e sono più difficili da riconoscere, rispetto ai tradizionali attacchi volumetrici, rendendoli così di più difficile individuazione.
Ma più importante è che possono avere un impatto decisamente severo sulla disponibilità del servizio minacciando applicazioni critiche basate su Http, Dns, VoIP o Smtp.

I servizi di sicurezza gestita di oggi sono efficaci principalmente nel proteggere contro gli attacchi volumetrici. L'intercettazione e la mitigazione degli attacchi applicativi richiede una soluzione presso l'azienda che vuole proteggersi. La domanda da porsi è: che tipo di soluzione locale è più idonea per questo genere di difesa?
Purtroppo oggi molti dipartimenti di sicurezza si affidano a soluzioni perimetrali tradizionali, come firewall e Ips, con risultati non sempre soddisfacenti.
Questo perché tali soluzioni permettono l'accesso a protocolli precisi (come Http e Dns) utilizzati durante un attacco applicativo, consentendo quindi all'attaccante di bypassare quella che spesso è la prima e unica linea di difesa aziendale.
Un altro motivo dell'inadeguatezza sta nel fatto che firewall e Ips utilizzano tabelle di stato, le quali sono esse stesse frequente bersaglio di attacco DDoS.

Evoluzione degli attacchi DDoS: dal flooding all'attacco applicativo

Pochi anni fa gli attacchi DDoS erano dominati da attacchi volumetrici che colpivano e inondavano le connessioni di rete di traffico inutile.
Questi attacchi sono generalmente originati da bots distribuiti geograficamente, oppure da Pc compromessi raggruppati in botnet a larga scala.
Alcuni esempi sono l'attacco DDoS contro i siti di scommesse online nel Regno Unito, dove gli attaccanti hanno estorto somme di denaro alle aziende di scommesse, oppure gli attacchi di motivazione politico-ideologica contro il governo georgiano.

La dimensione di questi attacchi volumetrici continua a crescere anno dopo anno, e oggi rimane ancora la maggior minaccia per le aziende e gli Isp.

In aggiunta agli attacchi volumetrici, le aziende oggi si trovano a dover fronteggiare una nuova generazione di attacchi DDoS che minaccia la disponibilità dei loro servizi che generano business.

Immaginiamo uno scenario dove due giorni prima di Natale un servizio di vendita on-line tra i più famosi ed utilizzati non sia accessibile ai potenziali clienti a causa di un attacco mirato. Questo è quanto accaduto qualche anno fa, quando un attacco DDoS contro UltraDns, un Provider di servizi Dns, ha reso inaccessibili molti siti retail durante il periodo natalizio. Questo incidente ha rivelato il potenziale impatto di un attacco DDoS sui siti di e-commerce.
Ma soprattutto, questo attacco ha esposto l'azienda ad un nuovo tipo di minaccia molto più sofisticata, complessa e pericolosa; essendo rivolti direttamente al perimetro del data center aziendale, simili attacchi hanno messo a rischio la disponibilità di tutti i servizi che si appoggiano ad Internet.

Orientati alle aziende, questi attacchi usano meno banda Internet rendendo la loro individuazione molto più difficile. Sono anche di natura più specifica: gli attacchi applicativi colpiscono l'infrastruttura di sicurezza esistente, come i dispositivi firewall e Ips, e possono anche essere usati per rendere inaccessibile un particolare sito Web o un servizio come la posta, l'online banking o l'e-commerce.

La disponibilità dei servizi deve essere l'obiettivo primario dei dipartimenti di sicurezza aziendale, specialmente quando le aziende utilizzano servizi on-line, come Web, commercio elettronico, transazioni finanziarie, collegamento con fornitori, email e VoIP, per generare guadagni.
Se servizi chiave e applicazioni fossero offline, il business generato verrebbe direttamente impattato.
Oggi gli attaccanti sono ben consapevoli di questo rischio, quindi agiscono di conseguenza.
Attrezzati con nuovi strumenti di sviluppo, gli attaccanti vedono i datacenter come loro primario obiettivo, e stanno rapidamente sviluppando nuovi codici di attacco di tipo applicativo per generare più danni e preoccupazioni alle aziende che utilizzano Internet per fare business.

Quanto più gli strumenti per generare attacchi DDoS diventano più sofisticati e facili da usare, tanto più gli stessi attaccanti prendono di mira applicazioni e servizi critici di business. Quando questo accade, i dipartimenti preposti sono sotto pressione estrema per trovare una soluzione al problema; ancora oggi poche sono le soluzioni in grado di aiutare efficacemente.

Carenza di servizi anti DDoS gestiti in cloud

I servizi sicurezza gestiti basati su cloud forniscono una strategia di difesa efficace contro attacchi DDoS di tipo volumetrico. Questo perché la saturazione avviene a monte, e solo il fornitore di connettività può rimediare a questa situazione, ripulendo il traffico dall'alto.
Comunque, affidarsi soltanto ad un servizio di protezione DDoS In-Cloud lascia la rete del cliente ancora vulnerabile al numero sempre crescente di attacchi applicativi che possono facilmente sfuggire alla protezione dell'Isp nel backbone.

Allora, perché i Firewall e gli Ips non possono risolvere il problema degli attacchi DDoS?
I Firewall e gli Ips sono elementi essenziali di una strategia di difesa stratificata, ma sono progettati per risolvere problemi di sicurezza che sono fondamentalmente differenti dai prodotti dedicati di intercettazione e mitigazione di attacchi DDoS.
Un firewall, per esempio, agisce come ”policy enforcer” per prevenire accesso non autorizzato ai dati.

Allo stesso momento, un Ips blocca tentativi di attacco che causano furto dei dati.

Il DDoS è un problema differente. Gli attacchi DDoS consistono di traffico legittimo da sorgenti multiple create per esaurire risorse critiche, come la capacità di un link, la capacità delle sessioni, quella dei server applicativi (Http, Dns), o il database di backend.

Siccome tale traffico è autorizzato e non contiene signature di un malware, non viene bloccato dal firewall né dall'Ips. Dunque questi dispositivi non possono risolvere il problema fondamentale che riguarda gli attacchi DDoS, e cioè la disponibilità della rete.
E, come se non bastasse, dal momento che Firewall e Ips sono inline, e usano le tabelle di stato per registrare le sessioni, loro stessi diventano vulnerabili ad attacchi DDoS.

Una possibile soluzione e alcuni casi esemplari
Una soluzione è costituita da un apparato a protezione della disponibilità della banda e dei servizi dell'azienda, che possa aiutare ad assicurare un accesso affidabile a servizi chiave di rete, e che protegga la business continuity contro i nuovi e più sofisticati attacchi applicativi.
L'apparato dovrebbe usare una tecnica di intercettazione e filtraggio stateless, ossia non basata su tabelle di stato.

È molto importante integrare il dispositivo installato presso il cliente con la soluzione offerta dal carrier presente nel cloud. Per Ivan Straniero n questo caso, e solo in questo caso, potremo avere una soluzione completa al problema degli attacchi DDoS.

Caso 1: Attacco alla disponibilità in Mt. Gox

Mt. Gox è la più grande azienda al mondo per il cambio di denaro virtuale per scommesse, con sede a Tokio. La sua leadership è testimoniata dai numeri: 80% di quota di mercato su tutto il commercio di denaro virtuale in dollari, ed il 70% in tutte le altre valute.
Considerato che la disponibilità del servizio è un fattore critico determinante per il buon andamento del business aziendale, Gox ha dato in outsourcing la protezione della disponibilità contro attacchi DDoS ad un cloud service provider.
Lo scorso aprile Mt. Gox è stata vittima di un attacco DDoS “senza precedenti”, così come riportato dal portavoce dell'azienda. Con lo scopo di manipolare il valore di cambio, l'attacco ha causato volatilità nel prezzo della valuta virtuale, con conseguenze finanziarie importanti.
Secondo Mt. Gox, gli attaccanti intendevano ricavare profitto dalla vendita del denaro virtuale ad un valore più alto, per cui lanciando l'attacco si aspettavano una destabilizzazione della valuta di scambio. L'idea era che, durante l'attacco il panico avrebbe determinato un abbassamento del prezzo del denaro virtuale mentre bloccando l'attacco il prezzo sarebbe risalito; a quel punto gli attaccanti avrebbero acquistato il denaro virtuale ad un prezzo basso per poi rivenderlo ad un prezzo maggiore, rilanciando poi di nuovo l'attacco per ripetere l'operazione.
Sebbene Mt. Gox fosse appoggiato ad un provider noto per utilizzare sistemi di protezione cloud-based, l'azienda è stata comunque vittima di un tipo di attacco volumetrico, meglio mitigato nel cloud.
Affidandosi esclusivamente alla protezione del provider, Mt. Gox si è dimostrata comunque vulnerabile in quanto, sempre a detta di Mt. Gox, “più lento del solito a bloccare il traffico maligno”.
Una protezione più vicina all'azienda avrebbe consentito a Mt. Gox di mitigare l'attacco senza l'assistenza del loro Managed security services Provider, mantenendo il controllo degli asset più importanti, nonché della stessa disponibilità.

Caso 2: Attacco Multi-Vector al sito Web di una banca

Il sito Web di una delle principali banche statunitensi è stato off-line per un totale di 249 ore durante una finestra di sei settimane, nel corso di quest'anno, forse la più chiara indicazione finora che le aziende americane siano il primo obiettivo di attacco in un cyber conflitto che non intende arrestarsi. Questi continui attacchi contro le aziende di servizi finanziari in US sono esempi di “hactivismo finanziario” e dimostrano l'importanza di creare delle best practice di difesa, laddove la disponibilità del servizio è importante per un'azienda, anche e soprattutto nel settore finanziario.
Gli attacchi subiti sono stati di tipo multi-vector, in quanto usano una combinazione, spesso nello stesso istante, di attacchi volumetrici su larga scala, attacchi rivolti all'esaurimento delle tabelle di stato contro l'infrastruttura di sicurezza esistente, e attacchi contro i servizi applicativi.
La tattica di attacco osservata è stato un mix di attacchi applicativi sui protocolli Http, Https e Dns insieme ad un attacco volumetrico contro i protocolli Tcp, Udp, Icmp e altri protocolli Ip.
Il fattore ovvio e non comune in gioco è stato il lancio simultaneo di attacchi volumetrici verso più aziende dello stesso settore industriale. Questo ribadisce quanto sia importante non affidarsi unicamente al proprio Mssp per una protezione completa.

Caso 3: Esaurimento delle tabelle di stato

Il più grande attacco DDoS nella storia, misurato in 300 Gbps, ha stroncato Spamhaus, un servizio di blacklist Ip, lo scorso marzo.
Nonostante 300Gbps sia un valore abnorme per un attacco, si tratta, per ora, di un'anomalia. Infatti la dimensione media di un attacco DDoS nel 2012 è stata di 1.67Gbps. Questo è un valore relativamente piccolo, paragonato ai 300Gbps, ma può avere un impatto notevole sulle aziende che affidano a firewall e Ips la loro sicurezza aziendale, in quanto tali strumenti non sono efficaci a risolvere il problema, ed il loro basarsi su tabelle di stato, spesso prese di mira dagli attaccanti, li rende ancora più vulnerabili ed inefficienti per risolvere il problema degli attacchi DDoS.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here