Banche, Pa, provider e utility bersagli dei prossimi attacchi DdoS

Lo segnala Radware, che consiglia una check-list per la protezione delle reti.

Marzo è stato definito come il mese a “maggiore intensità di azioni hacktivist”, a seguito di vari avvenimenti: il 3 marzo un attacco DDoS alle organizzazioni governative e di e-commerce della Corea; il giorno seguente attacco DDoS a WordPress.com con interruzioni delle attività; il 6 marzo, attacco al governo francese; il 9 marzo attacco DDoS all’hosting provider gestito da Codero, con danni a Twitter, e lo stesso giorno gli Anonymous hanno annunciato una nuova “Operazione Payback” contro Bmi.com.

Le minacce sono state considerate molto serie ed hanno spinto il Financial Services – Information Security Advisory Council (Fs-Isac) a diramare un avviso (2011-03-024) a tutte le società finanziarie associate sul possibile verificarsi di attacchi Denial-os-Service; inoltre, è stata nuovamente pubblicata la guida Cert con le indicazioni per prepararsi a fronteggiare gli attacchi.

Sono considerate a maggior rischio le grandi istituzioni finanziarie, service provider, amministrazioni finanziarie pubbliche, infrastrutture tecnologiche indipendenti, infrastrutture sensibili: elettricità e gas, internet service provider e i provider della rete energetica nazionale statunitense).

Allo scopo Radware ha messo a punto una check-list per aiutare queste realtà a proteggere efficacemente le loro reti:

Come prima cosa va pianificato il perimetro per predisporre un’attack mitigation.
Per la società bisogna impostare un approccio security-in-depth per prepararsi a bloccare gli attacchi con una strategia anti-DDoS che metta in stato di allerta e poi mitighi tutto il traffico lanciato dall’attacco ed essenzialmente provveda a pulire le condutture su tutta la rete.

Poi serve assicurare che la soluzione possegga specifiche capacità perimetrali per individuare in tempo reale attività maligne o intrusioni, respingere gli attacchi a livello applicativo, riconoscere il traffico legittimo da quello illecito, ed infine attivare un sistema di logging/correlation per raccogliere tutti i dettagli dell’attacco e farne il report immediato.

Poi si deve pensare alle tecnologie complementari: oltre alla protezione di base con Ips e firewall, va impostata una soluzione in grado di mitigare attacchi sia noti che sconosciuti e che comprenda tool anti-DoS e anti-DDoS (a livello di rete e di applicazione) a contrasto di attacchi flood; dispositivi di analisi comportamentale capaci di creare firme in tempo reale contro abusi e attacchi zero-day; sistemi di intrusion prevention contro le vulnerabilità applicative già note; strategie di contrattacco attivo in caso di emergenza (Smart Hands/Man-in-the-Loop capability).

Infine bisogna prepararsi al contrattacco ispirandosi al classico principio, che stabilisce l’attacco essere la miglior difesa.
Ossia, va definito un piano che coinvolga tecnici esperti in real-time negli eventi per far sì che strumentazione, allarmi, correlazione e mitigazione vengano gestite nel modo corretto; bisongna assicurarsi che i team siano pronti a prestare assistenza immediata con azioni di mitigation attiva o di contrattaccare in difesa non appena il sistema è sotto attacco. In tal senso, il il concetto di difesa attiva è quello di un contrattacco proporzionato all’offesa, per eliminare definitivamente ogni traccia dell’attacco DDoS e chiudere un incidente.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome