Arbor Networks pubblica la decima edizione dello studio Worldwide Infrastructure Security Report (WISR), uno spaccato delle sfide più impegnative che gli operatori di rete devono oggi affrontare nel campo della sicurezza. Basato su informazioni dettagliate relative alle minacce e alle preoccupazioni registrate sia dai service provider che dalle aziende, questo report intende evidenziare le principali tendenze riguardanti i rischi affrontati dalle aziende e le strategie adottate per affrontarle e mitigarle. Ecco, nel dettaglio, lo scenario tracciato dal rapporto:
• Se un decennio fa gli attacchi DDoS erano soprattutto un fastidio composto da nulla più che da eventi indipendenti, oggi essi rappresentano una seria minaccia alla continuità operativa e alle attività delle aziende. Gli attacchi DDoS sono oggi i componenti di campagne complesse destinate spesso a protrarsi per lungo tempo.
• Il più grande attacco DDoS registrato nel 2014 è stato di 400Gbps; dieci anni fa l’attacco più grande osservato era stato di soli 8Gbps.
• Attacchi diretti contro il layer applicativo sono stati registrati dal 90% del campione interpellato nel 2014. Dieci anni fa, il 90% degli intervistati aveva indicato negli attacchi a forza bruta basati sui “flood” il vettore di attacco più comune.
• L’elemento umano continua a rappresentare un fattore nelle capacità difensive, non solamente oggi ma in tutto l’arco dei dieci anni di report WISR. Solo nello scorso anno, il 54% degli intervistati ha riportato difficoltà nell’assumere e mantenere personale competente all’interno delle proprie organizzazioni responsabili della sicurezza.
Gli attacchi crescono di dimensioni, complessità e frequenza
• Ricorso a tecniche di riflessione/amplificazione per lanciare attacchi di enormi dimensioni: L’attacco più grande registrato nel 2014 è stato di 400Gbps, con ulteriori eventi osservati da 300, 200 e 170 Gbps e altri sei intervistati che hanno sperimentato attacchi sopra la soglia dei 100 Gbps. Dieci anni fa, l’attacco più grande era stato da 8 Gbps.
• Gli attacchi DDoS multivettore e diretti contro il layer applicativo si stanno diffondendo: Il 90% degli intervistati ha riportato attacchi contro il layer applicativo, e il 42% ha sperimentato attacchi multivettore che combinano tecniche volumetriche, di esaurimento di stato e di attacco contro il layer applicativo in un unico attacco sostenuto.
• La frequenza degli attacchi DDoS è in aumento: Nel 2013 solo poco più di un quarto del campione aveva registrato oltre 21 attacchi al mese; nel 2014 questa percentuale è quasi raddoppiata balzando al 38%.
Le aziende sono sotto attacco
• Minacce avanzate e attacchi DDoS sono sempre più frequenti: Quasi metà degli intervistati ha registrato attacchi DDoS nel periodo analizzato dalla ricerca, e quasi il 40% di essi ha visto saturata la propria connettività Internet.
• Firewall e dispositivi IPS continuano a essere bersagli di attacchi: I firewall e i dispositivi IPS di oltre un terzo delle aziende si sono guastati o hanno contribuito al blocco dei servizi durante un attacco DDoS.
• I servizi cloud sono ambitissimi dagli attaccanti: Oltre un quarto degli intervistati ha indicato di aver registrato attacchi diretti contro servizi cloud.
• Gli incidenti sono in aumento ma le aziende non sono completamente preparate a rispondervi: Poco più di un terzo degli intervistati ha indicato un aumento degli incidenti occorsi nell’anno, e circa la metà ha registrato livelli simili a quelli dell’anno precedente. Il 40% del campione si è detto ragionevolmente o adeguatamente preparato ad affrontare un incidente, mentre il 10% si sente completamente impreparato.
I data center, obiettivi ad alto volume e alto impatto
• Oltre un terzo degli operatori di data center ha registrato attacchi DDoS che hanno saturato la bandwidth Internet disponibile. Questo sottolinea la criticità del problema per gli operatori di data center: un’interruzione non significa solamente perdita di ricavi ma anche danni collaterali estesi ai clienti che nel cloud possiedono le loro infrastrutture business critical.
• Le spese operative sono il principale costo attribuito dagli operatori di data center agli eventi DDoS.
• Le perdite di fatturato causate da attacchi DDoS sono in netto aumento: il 44% dei data center intervistati ha subìto perdite di ricavi a causa di eventi DDoS.
• I firewall di poco meno di metà degli intervistati hanno sperimentato o contribuito a un blocco dei servizi a causa di eventi DDoS: un valore in aumento rispetto al 42% dell’anno precedente. Problemi si sono registrati anche nei load balancer, con oltre un terzo del campione che lo scorso anno ha affrontato guasti di questi dispositivi a causa di attacchi DDoS.
Ambito e campione dell’indagine
• Il campione comprende 287 risposte – in aumento rispetto alle 220 dell’edizione precedente – fornite da un mix di operatori Tier 1, Tier 2/3, società di hosting, provider mobili, aziende e altri tipi di operatori di rete di tutto il mondo.
• Dieci anni fa al WISR avevano contribuito 36 intervistati: pertanto, i dati presentati oggi sono significativamente più rappresentativi di un più ampio campione geografico e di tipologie di operatori di rete.
• Oltre il 60% degli intervistati di quest’anno è composto da service provider e il 30% circa da aziende, enti pubblici, scuole e università, offrendo così una visione globale del traffico e delle minacce che colpiscono le loro reti, i loro servizi e i loro clienti.
• I dati coprono il periodo compreso tra novembre 2013 e ottobre 2014.
Darren Anstee, Director of Solutions Architects di Arbor Networks
Arbor pubblica la ricerca Worldwide Infrastructure Security Report da dieci anni e abbiamo avuto il privilegio di poter seguire l’evoluzione di Internet e dei suoi utilizzi dalla prima adozione dei contenuti online fino all’attuale società iperconnessa. Nel 2004 il mondo era sul chi va là nei confronti di worm autoreplicanti come Slammer e Blaster che avevano devastato le reti l’anno prima; le violazioni dei dati erano soprattutto effettuate da dipendenti dotati di accesso diretto ai relativi file. Oggi le aziende devono badare a un ventaglio di minacce assai più ampio e sofisticato difendendo una superficie di attacco molto più vasta. L’impatto sul business di un attacco o di una violazione può essere devastante: ora la posta in gioco è enormemente maggiore.