Perché gli attacchi DDoS aumentano e cosa possiamo fare

Il tredicesimo rapporto Wisr sulla sicurezza delle reti parla tanto di DDoS (Distributed Denial-of-Service).

Il 57% delle aziende e il 45% degli operatori di data center intervistati nel report di quest’anno ha subito la saturazione della propria banda Internet a causa degli attacchi DDoS. Oltre adessere impiegate per realizzare attacchi di grande volume, le botnet IoT sono state sfruttate anche per colpire applicazioni, servizi e dispositivi di infrastruttura come i firewall.

Sono aumentate del 30% le aziende che hanno subito attacchi furtivi mirati alle applicazioni. Il 73% degli attacchi era rivolto ai servizi HTTP, il 69% era rivolto ai servizi DNS e il 68% era rivolto ai servizi HTTPS.

A fronte della crescente diffusione dei servizi dipendenti dalla crittografia, nel 2017 sono aumentati anche gli attacchi DDoS contro questo tipo di servizi. Il 53% degli attacchi rilevati era rivolto contro un servizio crittografato a livello del layer applicativo. Il 42% degli intervistati ha subito attacchi mirati contro il protocollo SSL/TLS.

Marco Gioanola, Senior CE, Cloud Services Architect di Netscout Arbor

Nel 2017 alcuni popolari servizi di posta elettronica e VoIP sono stati colpiti con maggiore frequenza, lasciando supporre un aumentato interesse degli aggressori DDoS nei confronti dei servizi più vulnerabili.

Con un aumento del 70% rispetto all’anno precedente, il 77% delle aziende ha riferito che gli attacchi DDoS sono stati inclusi nelle valutazioni dei rischi commerciali o informatici. Il numero di organizzazioni che ha dichiarato di aver subito perdite a causa dell’impatto aziendale degli attacchi DDoS è quasi raddoppiato nel 2017. Nel 2017, il 10% delle aziende ha stimato costi superiori a 100.000 dollari per un grande attacco DDoS, con un aumento di cinque volte rispetto alle cifre osservate in precedenza.

Abbiamo commentato questi dati con Marco Gioanola, Cloud Services Architect di Netscout Arbor, per capire soprattutto in che modo si può reagire all'ondata di attacchi DDoS.

1Diamo una definizione di cyber-security? Ormai è un tema che, stante l’IoT, ingloba la sicurezza IT con quella delle infrastrutture?

La cybersecurity rappresenta una nuova dimensione della sicurezza: è un ambito che ne ingloba moltissimi altri, non solo quello tecnico/tecnologico ma anche l’ambito sociale ed economico. Il suo raggio di azione si è esteso nel corso del tempo, dall’essere una branca dell’IT, la cyber security ha cominciato a giocare un ruolo chiave nello sviluppo economico mondiale. Cosa è cambiato? Gli hacker si sono evoluti, la difficoltà nello sferrare un attacco si è abbassata notevolmente, i media nazionali hanno iniziato a mettere in prima pagina gli attacchi DDoS, in molte aziende è diventato più comune considerare il rischio informatico come un tipo di rischio d'impresa e la protezione del “dato aziendale” ha cominciato ad assumere un valore sempre più grande. Il nuovo Worldwide Infrastructure Security Report di Netscout Arbor fotografa in modo nitido questa situazione mettendo in luce le problematiche operative affrontate quotidianamente dai professionisti della sicurezza informatica e le strategie adottate per gestirle e mitigarle. Quest’anno il 57% delle aziende intervistate ha dichiarato di aver subito la saturazione della propria banda Internet a causa di un attacco DDoS. Questo dimostra – pur non servendone riprova ulteriore - che si tratta di un fenomeno di portata elevatissima, che non coinvolge una nicchia ma una netta maggioranza.

2Gli attacchi prendono di mira giocoforza sempre più i data center. A che livello si devono porre le difese e quanto sono coinvolti attivamente le aziende che fanno uso dei servizi di data center?

Quest’anno il 45% degli operatori di data center intervistati è stato vittima di un attacco DDoS. Per fronteggiare attacchi di grande portata, i data center devono, da un lato, appoggiarsi a un servizio di protezione contro gli attacchi DDoS basato su cloud o ISP, dall’altro, implementare una protezione DDoS multistrato che rappresenta una best practice consolidata in grado di fornire un’efficace protezione contro gli attacchi.

I data center che forniscono servizi cloud per dati e applicazioni stanno diventando sempre più importanti perché ospitano crescenti volumi di servizi essenziali. È quindi indispensabile che chi utilizza i servizi cloud si accerti che il proprio provider di fiducia sia in grado di offrire una protezione adeguata. L’ambiente cloud offre di certo molti vantaggi, ma per trarne beneficio occorre anche essere preparati agli inevitabili rischi associati.

3Perché gli attacchi DDOS non accennano a rallentare?

Probabilmente perché di anno in anno sferrare un attacco diventa sempre più semplice. La trasformazione di semplici dispositivi elettronici in potenti armi informatiche, resa possibile dagli attacchi DDoS, permette a chiunque di lanciare grandi attacchi volumetrici o attacchi multivettore avanzati. Questo rende tutti possibili attaccanti e tutti possibili vittime e, allo stesso tempo, all’evolversi di chi si difende da un attacco corrisponderà un evolversi dell’attaccante stesso, che studierà sempre nuovi modi per colpire e sorprendere la sua vittima.

Una delle principali differenze che abbiamo riscontrato rispetto ai report passati è che quest’anno gli aggressori informatici hanno concentrato i propri sforzi sulla complessità. Per realizzare i propri obiettivi hanno, quindi, sfruttato la possibilità di trasformare i dispositivi IoT in potenti armi, ricorrendo in minor misura ai grandi volumi di attacco e agendo con la massima efficacia. Questo ha fatto sì che nel 2017 la percentuale di aziende che ha subito perdite a causa degli attacchi DDoS sia quasi raddoppiata, a indicare l’imponenza della minaccia DDoS.

Inoltre, per quanto un importante processo di sensibilizzazione sia stato portato avanti in modo fruttuoso, molte aziende restano vulnerabili e una delle principali ragioni di ciò è da ricondurre alla carenza di professionisti specializzati all'interno di tanti team di lavoro.

4I servizi Https sono il nuovo fronte di attacco?

Di sicuro si tratta di servizi che sono stati fortemente presi di mira nel corso del 2017: il nuovo report conferma che sono aumentate del 30% le aziende che hanno subito attacchi mirati direttamente alle applicazioni. Il 73% di questi è stato rivolto ai servizi HTTP e un imponente 68% ai servizi HTTPS. Da un lato, ciò rispecchia la crescente adozione della cifratura HTTPS, soprattutto per quanto riguarda i servizi più “pregiati” (internet banking, ecommerce, ecc.), e dall’altro la crescente attenzione che gli attaccanti pongono a sviluppare strumenti specifici contro questo servizio.

I siti HTTPS possono essere attaccati in diversi modi: dai classici attacchi DDoS volumetrici a quelli volti a colpire il funzionamento della cifratura, fino a quelli più avanzati che nascondono il traffico di attacco all’interno dei canali cifrati apparentemente legittimi. Le vittime quindi si trovano sempre più spesso di fronte alla scelta di come conservare la possibilità di esaminare il traffico per rilevare gli attacchi senza intaccare la robustezza della cifratura.

5La crittografia non pare essere adeguata a mettere in sicurezza le infrastrutture. Perché e cosa serve fare?

Senza alcun dubbio, la crittografia è una componente fondamentale per la sicurezza online. Però a fronte della crescente diffusione dei servizi dipendenti dalla crittografia, nel 2017 sono aumentati gli attacchi DDoS ad essi mirati. Il 53% degli attacchi rilevati nel corso del 2017 è stato rivolto contro un servizio crittografato a livello del layer applicativo ed il 42% degli intervistati ha subito attacchi mirati contro il protocollo SSL/TLS.

Il punto è che il lavoro di protezione dei servizi critici non finisce con la crittografia. I tre pilastri della sicurezza informatica sono integrità, confidenzialità e disponibilità di dati e risorse: la crittografia aiuta a sostenere i primi due, ma aggiunge nuove complessità nel garantire il terzo. I servizi di crittografia, che siano utilizzati per accesso HTTPS o per la cifratura dei file aziendali, sono parte integrante dell’infrastruttura IT e come tali vanno mantenuti accessibili e utilizzabili coi più alti livelli di protezione.

6Quanti fronti di attacco apre l’IoT e quali devono essere le azioni di tutela che un’azienda di produzione può mettere in atto?

Nel 2017, oltre ad essere impiegate per realizzare attacchi di grande volume, le botnet IoT sono state sfruttate anche per colpire applicazioni, servizi e dispositivi di infrastruttura come i firewall. Rispetto alle botnet "tradizionali", costituite da PC infetti, le botnet IoT possono sfruttare un numero di gran lunga maggiore di apparati, che per giunta sono anche più vulnerabili, col risultato di avere a disposizione una potenza di fuoco estremamente grande.

I dispositivi IoT sono prede davvero allettanti per gli attaccanti perché in moltissimi casi vengono distribuiti con impostazioni di fabbrica non sicure, ad esempio contengono password di default che non vengono poi modificate dall’utente, spesso consentono il libero accesso ai sistemi di gestione tramite le interfacce Internet presenti sui dispositivi o ancora sono dotati di codici non sicuri sfruttabili in modalità remota.

È quindi necessario che le aziende includano gli attacchi DDoS nelle loro strategie di valutazione del rischio, alla stregua di eventi naturali come terremoti, inondazioni e incendi, e adottino opportune soluzioni di protezione, business continuity e disaster recovery, che nel caso della protezione da attacchi DDoS “IoT” si traducono in servizi cloud utilizzabili on demand in caso di necessità.. Dal punto di vista della prevenzione, in mancanza di standard di sicurezza adeguati da parte dei produttori di apparati IoT, resta fondamentale la cooperazione internazionale tra ISP allo scopo di bloccare gli attacchi il più possibile vicino alle sorgenti.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here