Occorre governare meglio la sicurezza

Con Darren Anstee, Solutions Architect Team Lead di Arbor Networks abbiamo commentato le risultanze dell’ottavo rapporto WISR sulla sicurezza.

Con Darren Anstee, Solutions Architect Team Lead di Arbor Networks abbiamo commentato le risultanze dell'ottavo rapporto WISR sulla sicurezza (la cui sintesi è QUI).

D: Da tempo monitorate la fenomenologia dei DDOS. Ora dite che sono arrivati a interessare i service provider. È dunque troppo tardi?


A: Gli attacchi DDOS insidiano i service provider da lungo tempo. In numerosi casi, andando indietro di molti anni, le soluzioni per il rilevamento e la mitigazione delle minacce in rete sono state implementate dai service provider operatori con l'obiettivo di proteggere le proprie infrastrutture dagli attacchi, in modo da mantenere la disponibilità dei servizi erogati alla clientela.
Negli ultimi tre anni circa abbiamo assistito a un aumento della consapevolezza del livello di minaccia derivante dagli attacchi DDOS diretti contro il mondo business.
I risultati dell'ultima edizione dello studio confermano una precisa tendenza presso gli intervistati e i loro clienti: nel corso del 2012 vi è stata una crescente consapevolezza al riguardo a causa di uno o più episodi DDOS subiti.
Come risulta dai dati dell'analisi WISR, i clienti dei service provider rappresentano il target più gettonato degli attacchi (71%), non l'infrastruttura né i servizi di assistenza.
Inoltre, il dilagare dell'hacktivismo ideologico, ritenuto da parte degli intervistati per il secondo anno consecutivo la principale motivazione alla base degli attacchi DDOS, ha contribuito ad ampliare il raggio di azione del cybercrimine in termini sia di dimensioni che di tipologia delle imprese colpite.
Un altro elemento che merita attenzione è l'aumentata sofisticazione delle minacce: importanti percentuali di intervistati osservano infatti attacchi diretti contro il layer applicativo, tecniche molto avanzate che sfruttano un traffico ad hoc difficile da distinguere da quello generato dagli utenti legittimi, che colpiscono i servizi HTTP (86%) e i servizi DNS (70%).
Esiste poi un dato allarmante, ovvero l'aumento di intervistati, dal 27% al 46%, che riferisce episodi di attacchi multi-vettore. Questa tipologia di minacce sfrutta una serie di combinazioni di vettori per arrivare all'obiettivo.
Si tratta di tecniche particolarmente efficaci, motivo per cui sono sempre più usate dagli hacker; per contrastarle occorrono difese organizzate su più layer, compresi servizi basati su cloud per gestire i fronti di attacco ad alta frequenza e soluzioni di protezione perimetrali per contrastare proattivamente i vettori di attacco nei vari layer applicativi.
Le campagne basate su attacchi multi-vettore, come la Operation Ababil che di recente ha violato il settore finanziario statunitense, è un ottimo esempio di come i DDOS rappresentino una pericolosa minaccia per la business continuity.

D: Quanto sta pesando il controllo del BYOD. Più che altro: quanto pesa il mancato controllo e con quali conseguenze?

A: Sono molte le imprese che scelgono di favorire la mobilità dei dipendenti e di adottare il modello BYOD; fatto che naturalmente trascina con sé moltissime sfide, fra cui quella legata alla difficoltà di definire un chiaro perimetro della rete. Storicamente le imprese sono rimaste protette mettendo sotto chiave tale perimetro; oggi però il fenomeno della mobilità dei dipendenti associato al modello BYOD fa sì che le minacce possano e riescano effettivamente a scavalcare le soluzioni di sicurezza implementate a livello perimetrale.
Lo studio evidenzia come il 63% dei service provider intervistati abbia permesso ai rispettivi utenti di utilizzare i propri dispositivi personali sulle reti corporate; eppure solo meno della metà degli operatori disponeva di una soluzione in grado di monitorare tali dispositivi.
I vantaggi che il modello BYOD offre in termini di business sono evidenti; allo stesso tempo però si tratta di una tendenza che riduce la capacità di controllo sui dati e sui servizi aziendali.
Volendo limitare tali rischi, le aziende intervengono con l'applicazione di policy che vietano agli utenti l'uso di servizi di sincronizzazione cloud per i dispositivi, oltre la metà dei service provider non permette questa pratica per i dispositivi BYOD sulle proprie reti interne; in realtà l'assenza di valide soluzioni di monitoraggio crea una pericolosa falla ai fini della sicurezza con il rischio di aprire un varco a minacce APT che restano nascoste e non vengono rilevate sulle reti interne.
Con un ulteriore pericolo: la mancata visibilità sulla presenza di possibili talpe interne impegnate a trasferire dati di clienti e proprietà intellettuale sui loro dispositivi portatili.
Vi è, dunque, bisogno di nuove soluzioni in grado di fornire una totale visibilità sulle reti fino al loro perimetro, e di sfruttare tecniche di threat intelligence per rilevare eventuali host violati.

D: Che idea vi siete fatta del motivo per cui il cybercrimine intensifica gli attacchi al livello applicativo anziché quelli a volume?

A: Come ho detto poc'anzi, gli attacchi volumetrici sono una realtà che persiste, continuando a farci registrare episodi che raggiungono gli 80-100 GBPS.
Quello che invece non osserviamo è un aumento delle dimensioni degli attacchi più grossi: infatti negli ultimi tre anni i volumi sono rimasti sempre tra 80 e 100 GBPS.
C'è invece stato effettivamente un incremento degli attacchi diretti contro il layer applicativo, molto furtivi e di conseguenza difficili da identificare in maniera proattiva, prima che impattino sui servizi, laddove non vi siano strumenti preposti alla difesa del perimetro di rete appositamente progettati per fronteggiare le minacce DDOS; si tratta di attacchi di difficile rilevamento per i service provider fino a quando non si verifica l'impatto sui servizi vero e proprio; le varie misure di contrasto poste perimetralmente non sono in grado di bloccarli.
Gli hacker li prediligono proprio per la loro elevata efficacia. L'ultima tendenza in atto, come detto, è costituita dal proliferare di attacchi muti-vettore difficili da identificare se non utilizzando adeguati strumenti di difesa a layer.

D: Se un datacenter su due, come avete rilevato, ha ricevuto attacchi significa che il concetto di impenetrabilità è oramai del tutto inapplicabile?

A: A mio avviso nessuna impresa o organizzazione dovrebbe mai considerarsi completamente impenetrabile. Se il cybercrimine decide di investire tempo e risorse per costruire un attacco mirato, troverà di certo il modo per raggiungere l'obiettivo. I datacenter rappresentano un bersaglio frequente degli attacchi DDOS essendo ambienti ricchi di target da colpire.
Nel 2012 è aumentata la percentuale di intervistati dello studio WISR che hanno riferito minacce ai danni dei datacenter e dei relativi servizi, con un aumento dal 33% al 61% e dal 16% al 42% rispettivamente. I clienti dei data centre restano i bersagli più probabili anche se gli attacchi sembrano ormai orientarsi su qualsiasi target rilevabile.

D: È di pochi giorni fa uno studio di Gartner, che eleva il cloud a infrastruttura critica nazionale negli Usa nel 2016. Come inquadrate questa previsione alla luce del vostro rapporto e alla luce del fatto che sono le motivazioni personali e politiche a muovere gli attacchi DdoS?

A: Oggi le applicazioni e i servizi basati su cloud vengono usati da un numero crescente di organizzazioni in quanto comportano grandi vantaggi di business. Non senza rischi, però. Il primo passo è quello di raggiungere il cloud per accedere a dati e applicazioni. Per fare questo dobbiamo disporre della nostra connettività Internet e di quella del nostro cloud service provider.
Gli attacchi DDOS puntano a compromettere la disponibilità dei servizi Internet, motivo per cui usare un servizio cloud-based introduce il rischio di una tale minaccia.
Oggi chiunque può essere oggetto di un attacco per via dell'ampio ventaglio di organizzazioni prese di mira, in parte anche a causa del crescente hacktivismo ideologico.
Nel momento in cui valutiamo il livello di rischio dobbiamo però considerare, oltre alla probabilità che la nostra impresa possa essere colpita, anche il rischio delle altre organizzazioni che stanno utilizzando lo stesso servizio cloud.
Un attacco ai danni di un cloud service provider che comprometta la disponibilità della connettività Internet comporta conseguenze negative su tutti i suoi clienti; per questo dovremmo accertarci che il nostro cloud provider abbia implementato un adeguato livello di difesa che permetta di evitare questo tipo di conseguenze.
Secondariamente, spostare sul cloud dati e applicazioni significa riporre la fiducia nei confronti di terzi.
Se il servizio cloud utilizzato è un ambiente condiviso, è fondamentale che il service provider possa monitorare e verificare le comunicazioni che avvengono all'interno dell'infrastruttura; egli deve essere inoltre in grado di dare prova di tali capacità affinché il cliente abbia la certezza della totale protezione dei propri dati.

D: E quali saranno le tematiche di sicurezza da contemplare imprescindibilmente in un cloud assurto a infrastruttura critica nazionale (o sovranazionale)?

A: Come detto prima la disponibilità della connettività Internet verso l'infrastruttura cloud è un elemento essenziale.
Gli operatori cloud e le imprese che vi ricorrono devono implementare strumenti di difesa DDOS al fine di garantire l'incolumità della connettività di fronte a eventuali attacchi. Alla luce dell'aumento del numero di attacchi DDOS multi-vettore, le soluzioni di protezione devono contemplare una struttura implementativa su più livelli: service provider-MSSP  per gestire attacchi di alta magnitudine; perimetro di rete, a livello di cloud provider e di organizzazione, per proteggere gli asset da attacchi furtivi contro il layer applicativo o del tipo a esaurimento di stato.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here