Akamai ha annunciato il Rapporto sulla Sicurezza relativo al terzo trimestre 2015. Gli attacchi DDoS più pesanti hanno colpito media e intrattenimento; il retail è il settore più colpito su applicazioni web, con il 55% del totale, mentre i giochi online hanno il triste primato tra i mercati verticali.
Il rapporto dell’azienda leader mondiale nell’offerta di servizi di Content Delivery Network offre analisi e approfondimenti sullo scenario della sicurezza e delle minacce nel cloud. Dal punto di vista numerico il trimestre in analisi si è segnalato per un record di 1.510 attacchi DDoS, con un incremento del 23% rispetto al secondo trimestre 2015 e del 180% rispetto al terzo trimestre 2014. L’uso di metodi di attacco DDoS reflection-based da parte di siti DDoS-for-hire si traduce in attacchi in media meno intensi di quelli osservati da botnet infection-based.
“Gli attacchi basati sul DDoS-for-hire identificano e sfruttano i servizi Internet esposti come Ssdp, Ntp, Dns, Chargen e anche Quote of the Day”, ha aggiunto John Summers, responsabile della business unit Cloud Security di Akamai.
Anche i router Tier 1 possono collassare
A fronte dell’aumento numerico, gli attacchi sono però stati più brevi con banda media di picco e volumi minori. I mega-attacchi da oltre 100 Gbps sono stati solo 8, contro i 12 del trimestre precedente e i 17 del terzo trimestre 2014. Il più intenso ha toccato i 149 Gbps, un valore in calo rispetto ai 250 Gbps del trimestre precedente. Se anziché la banda si contano i pacchetti al secondo, però, il terzo trimestre ha visto battere il record, con 222 milioni al secondo contro i 214 del precedente: per confronto, si consideri che il volume di picco medio osservato nel trimestre è stato di 1,57 Mpps. Un attacco di queste proporzioni potrebbe mettere fuori uso un router tier 1, tipico device usato dagli Internet Service Provider.
Il settore del gaming online è stato il più colpito nel 2015, con circa il 50% di tutti gli attacchi. A seguire, il settore del software e tecnologia (25%).
Gli attacchi DDoS reflection-based sono risultati più popolari di quelli infection-based. Anziché investire tempo ed energie per costruire e manutenere botnet DDoS come avveniva in passato, gli autori degli attacchi hanno iniziato a sfruttare il panorama esistente di dispositivi di rete esposti e di protocolli non sicuri. Gli attacchi di tipo reflection, che rappresentavano solo il 5,9% del traffico DDoS nel terzo trimestre 2014, nell’ultimo trimestre sono cresciuti fino al 33,19%.
Edge Firewall, nuova fonte di dati DDoS
Per la prima volta il report comprende anche l’attività osservata su Edge Firewall, la piattaforma perimetrale globale di Akamai. I dati forniscono un punto di vista sull’attività, con informazioni sugli attacchi provenienti da oltre 200.000 server equipaggiati con la tecnologia Akamai.
Queste osservazioni mostrano che le 10 principali fonti di traffico autonomo (Asn) avevano origine in Cina e altri Paesi asiatici, mentre i mirror in Usa ed Europa erano più comunemente sfruttati in maniera distribuita.
Il traffico Tls come livello di sicurezza standard sta crescendo in generale, e con lui l’uso degli attacchi ad applicazioni web via Https è probabilmente destinato a crescere.
Gli attacchi ad applicazioni web si basano pesantemente su botnet che sfruttano router e dispositivi domestici non protetti. Nel terzo trimestre è stato osservato anche un aumento nei tentativi di attacco ai plugin WordPress, non solo per i più popolari ma anche per quelli meno conosciuti.
Gli Stati Uniti sono stati la principale fonte di attacchi ad applicazioni web, con il 59% del traffico, e l’obiettivo del 75% di questi attacchi. I tre principali punti da cui partivano gli attacchi sono risultati associati a fornitori di servizi cloud ben conosciuti: molti dei server virtuali quotidianamente aggiunti mancano dei requisiti minimi di sicurezza e possono essere facilmente usati nelle piattaforme di attacco.
