Gli attacchi DDOS costituiscono una minaccia importante per la disponibilità dei servizi Internet, soprattutto alla luce della crescente dipendenza da essi. E la consapevolezza di questo pericolo aumenterà ancora di più nel corso del prossimo anno. Ce lo dice un esperto.
Ivan Straniero, Territory Manager, Italy & SE Europe di Arbor Networks, ha evidenziato le principali tendenze che si manifesteranno nel corso del 2013 sul piano della sicurezza.
Gli attacchi DDOS
Il termine Distributed Denial of Service è diventato familiare nel corso dell’anno che si sta chiudendo. La copertura mediatica relativa agli attacchi di Anonymous, la consapevolezza delle motivazioni che stanno dietro alle minacce e il fatto che molte realtà hanno sperimentato episodi di attacco sono tutti elementi che hanno contribuito a far prendere confidenza con questo scenario.
Ma esistono altri tipi di minacce che sono dettati da estorsione, dal bisogno di distrarre la vittima rispetto ad altre attività criminali, come ad esempio il furto di dati, e da vendetta. Oggi, in alcuni Paesi, gli attacchi DDOS vengono addirittura usati come arma competitiva.
È indubbio, per Straniero, che gli attacchi DDOS costituiscano una minaccia importante per la disponibilità dei servizi Internet, soprattutto alla luce della crescente dipendenza da essi: la compromissione della business continuity fa sì che il rischio di minaccia produca un impatto ancora maggiore sulle dinamiche di business.
Un numero sempre più ampio di organizzazioni fa oggi affidamento sulla Rete per vendere prodotti, gestire transazioni o accedere a dati e applicazioni basati sul cloud. In questo caso un attacco comporterebbe oneri non indifferenti se non vi fosse un’adeguata preparazione.
Ecco perché per quanto concerne le conseguenze sulla business continuity la minaccia DDOS inizia a essere considerata alla stregua di altri attacchi (ad esempio black-out, sicurezza fisica) e la relativa consapevolezza all’interno delle aziende sta aumentando sensibilmente.
Gli strumenti che i team finanziari utilizzano per modellare il rischio accolgono ora anche le cyber-minacce, e ai CISO (Chief Information Security Officer) viene chiesto di quantificare le possibili ripercussioni pianificando di conseguenza interventi ad hoc.
Più attacchi DDOS multi-vettore
Le minacce di questo tipo non sono tutte uguali, esistono infatti tre categorie principali: attacchi volumetrici, che sfruttano link esistenti o inoltrano capacità all’interno o tra reti; attacchi TCP State Exhaustion, che mirano a esaurire le tabelle di stato di firewall, load balancer e server; attacchi Application Layer, furtivi e particolarmente sofisticati, mirati a esaurire le risorse del layer applicativo.
I cybercriminali hanno imparato che, utilizzando più vettori contemporaneamente, hanno maggiori probabilità di successo nel disattivare, anche per tempi prolungati, siti e servizi; gli ultimi episodi di minacce rivolte contro l’industria finanziaria statunitense erano esattamente attacchi multi-vettore.
Straniero si aspetta che nel 2013 questo tipo di minacce aumenti, con più vettori usati e modificati in tempo reale per contrattaccare le strategie di mitigazione attuate.
Dagli attacchi DDOS ci si può effettivamente difendere, ma per farlo bisogna appoggiarsi a servizi e soluzioni di Intelligent DDOS Mitigation Systems (IDMS) appositamente pensati per gestire questo genere di minaccia.
Serve visibilità interna al perimetro di rete
Negli ultimi dodici mesi è stato fatto molto per proteggere dati e proprietà intellettuale contro minacce mirate e avanzate.
Le imprese nutrono comprensibili preoccupazioni a riguardo, ma il modo in cui i servizi e le architetture di rete si sono evoluti ha complicato non poco le attività di sicurezza.
In passato si è provveduto a mettere in sicurezza il perimetro delle reti, ma oggi è diventato arduo definire esattamente tale limite a causa di modelli di comportamento mobile sempre più diffusi, come il BYOD o l’utilizzo di servizi cloud-based. Inoltre, il panorama delle minacce vanta crescenti livelli di sofisticazione, e le tecniche di offuscamento impiegate per evadere i sistemi Ids si sono radicalmente evolute.
Oggi più che mai, per Straniero, è dunque necessario non perdere di vista tre elementi: visibilità su ciò che accade all’interno del proprio perimetro di sicurezza per poter rilevare gli attacchi che sono riusciti a scavalcare le misure di contrasto implementate; analisi dei comportamenti e degli indicatori da monitorare al fine di rilevare eventuali dispositivi compromessi; verifiche e controlli sull’operato di utenti e sistemi per poter identificare la portata di eventuali violazioni.
