Ivan Straniero, Territory Manager South-East and Eastern Europe di Arbor Networks, analizza gli scenari moderni e spiega come prepararsi alle minacce di domani.
In questi ultimi mesi i mezzi di informazione hanno continuato a riportare notizie inerenti sottrazioni di dati e attacchi DDoS che hanno colpito organizzazioni di alto profilo in tutto il mondo. Questa copertura stampa ha evidenziato come le minacce siano riuscite ad avere ragione persino di bersagli attrezzati con grandi team di sicurezza dotati di tutte le risorse necessarie. Come mai?
Uno dei problemi fondamentali che dobbiamo affrontare è che chi attacca sono persone, non macchine, e innovano costantemente. In alcuni casi possiedono eccellenti conoscenze circa il funzionamento delle nostre soluzioni e delle nostre procedure di sicurezza, e fanno evolvere le loro tattiche, tecniche e procedure (TTP) per aggirarle. Vi sono anche molti scambi di informazioni e toolkit che consentono, fino a un certo punto, di far leva sulle competenze collettive per colpire un singolo obiettivo specifico.
La tecnologia e gli strumenti che essa rende disponibili, sebbene utile, non è tuttavia in grado di proteggerci da campagne di attacchi sofisticati che colpiscono sempre più spesso la proprietà intellettuale delle aziende e i dati dei relativi clienti; sono le persone che usano questi strumenti a poterlo fare. Dobbiamo usare al meglio le risorse umane che possediamo sul fronte della sicurezza. Per far ciò dobbiamo accertarci che i tool e i processi che esse adoperano permettano di concentrarsi sulla disponibilità, sull’integrità e sulla riservatezza della nostra infrastruttura business. Inoltre dobbiamo saper condividere meglio le informazioni riguardanti quanto accade, quanto funziona e quanto non funziona per contrastare le minacce che siamo chiamati ad affrontare.
Recentemente Arbor Networks ha pubblicato la decima edizione dello studio annuale Worldwide Infrastructure Security Report (WISR) evidenziando le principali tendenze e preoccupazioni cui sono esposte le aziende di tutto il mondo. In particolare sono emerse quattro tendenze chiave.
1. Gli attacchi DDoS stanno crescendo di dimensioni, complessità e frequenza
Una delle principali scoperte emerse dallo studio è che gli attacchi DDoS (Distributed Denial of Service) stanno diventando sempre più grandi e frequenti, con il 38% delle aziende che ha registrato più di 21 attacchi al mese. Dieci anni fa l’attacco più grande osservato era di 8Gbps, mentre quest’anno il valore è stato di 400Gbps, con un tasso di crescita assolutamente enorme. È anche importante notare come oltre alla crescita delle dimensioni dei picchi degli attacchi stia crescendo tantissimo anche la quantità dei grandi attacchi. Tre anni fa c’erano stati solo alcuni attacchi superiori ai 100Gbps, nel 2013 ne abbiamo intercettati 39 mentre lo scorso anno se ne sono visti 159: un grosso problema sotto tutti i punti di vista.
Oltre alla crescita degli attacchi volumetrici, ovvero quelli che tentano di saturare la connettività Internet del bersaglio, sono ancora prevalenti i più sofisticati attacchi diretti contro il layer applicativo, con il 90% delle aziende che ha dichiarato di averli subiti. Questi attacchi sono più avanzati e meno visibili, e possono portare a tempi di ripristino più lunghi dal momento che tendono ad avere un impatto direttamente sull’infrastruttura applicativa. Per esempio, occorre riavviare i server applicativi anche dopo aver mitigato con successo un attacco che sia riuscito a scavalcare le difese.
Gli attaccanti stanno anche mescolando sempre più spesso le tipologie di attacco per renderne più difficile il blocco. Quest’anno il 42% delle aziende ha registrato attacchi multi-vettore, con un aumento del 39% rispetto al 2013. Poiché molte aziende affidano la propria continuità operativa a Internet, il problema degli attacchi DDoS si è fatto estremamente serio.
2. Le aziende sono il principale bersaglio degli attacchi DDoS
I bersagli più comuni degli attacchi DDoS monitorati dai service provider sono i loro clienti, come accade già da diversi anni. Dal punto di vista dell’utente finale (aziende, scuole ed enti pubblici che hanno preso parte al sondaggio sulla cui base è stato realizzato lo studio WISR), quasi metà degli interpellati è stata bersaglio di un attacco DDoS nel 2014, con quasi il 40% delle aziende che ha visto saturata la propria connettività Internet. Uno degli obiettivi principali di questi attacchi sono state le infrastrutture esistenti, compresi firewall e dispositivi IPS, con oltre un terzo degli intervistati che ne ha registrato un malfunzionamento in conseguenza di un attacco.
È poi interessante notare come le differenze tra i punti di vista dei service provider e delle aziende influiscano sulla visione delle attività DDoS. I service provider hanno una visione macroscopica del traffico di rete che permette di identificare la maggior parte degli attacchi diretti contro i loro clienti. Le aziende possiedono invece una visione più granulare – dal momento che si tratta del loro traffico – e questo cambia la prospettiva. I service provider registrano il 17% degli attacchi diretto contro il layer applicativo, mentre per le aziende questo valore sale al 29%.
Gli attacchi diretti contro il layer applicativo possono essere veramente invisibili e non sempre lasciano grandi tracce all’interno delle reti, rendendoli più difficili da intercettare dal punto di vista del service provider. Questa è una ragione per cui è importante una protezione DDoS stratificata o a layer, dato che le soluzioni perimetrali per aziende e Data Center intercettano e bloccano spesso gli attacchi lasciati passare dai service provider prima che possano avere conseguenze sulla disponibilità dei servizi.
3. Gli operatori dei Data Center subiscono il costo dell’evoluzione del DDoS
Come nelle precedenti edizioni dello studio, anche quest’anno gli operatori di Data Center sono stati obiettivo di attacchi DDoS con quasi un terzo di essi che ha finito con l’esaurire la propria bandwidth Internet. Il modo in cui gli attacchi DDoS si sono evoluti negli ultimi 18 mesi, con un ricorso più massiccio ai vettori di attacco a riflessione e amplificazione alla base di grandi attacchi volumetrici, rappresenta un grosso problema per i Data Center . Gli attacchi diretti contro un unico cliente possono saturare la connettività Internet dell’intero ambiente del Data Center causando importanti danni collaterali.
Come ci si può aspettare, lo scorso anno l’81% degli operatori di Data Center ha registrato un aumento dei costi operativi in conseguenza degli attacchi DDoS. Ancora più preoccupante l’incremento della percentuale che ha perduto fatturato a causa degli attacchi, passata dal 27% al 44%.
Su una nota più positiva, c’è stato un massiccio aumento nella proporzione di operatori di Data Center che adottano soluzioni specializzate per la mitigazione DDoS, passati dal 6% al 48%, a indicare che le giuste soluzioni per affrontare questo problema sono in fase di diffusione.
4. Le aziende sono scarsamente preparate ad affrontare le minacce
La frequenza degli incidenti di sicurezza nelle reti corporate dei service provider e delle aziende sta aumentando, con il 34% delle aziende e il 50% degli ISP interessati da questa tendenza. Sfortunatamente, solo metà circa degli interpellati è ragionevolmente o sufficientemente preparata ad affrontare un incidente mentre il 10% circa è totalmente impreparato. Questo è un grosso problema, specialmente considerando la prevalenza delle minacce avanzate in grado di aggirare le nostre difese. Quest’anno il 20% delle aziende ha dichiarato di aver osservato un attacco APT (Advanced Persistent Threat) sulle proprie reti.
E quindi?
Queste quattro tendenze dimostrano come gli attacchi DDoS non siano destinati a scomparire; anzi, si stanno facendo sempre più gravi. D’altra parte gli attaccanti stanno perfezionando le loro capacità di sottrarre dati, solitamente avvalendosi di tecniche stealth e di evasione. Per contrastare tutto questo dobbiamo essere sicuri di possedere le migliori difese possibili e la miglior dotazione di persone e processi per utilizzare le tecnologie a nostra disposizione. Facendo tutto per bene potremo ridurre drasticamente il rischio di un costoso incidente.
Come possiamo contrastare queste minacce?
Per quanto riguarda gli attacchi DDoS, quasi tutti gli analisti concordano sul fatto che una difesa ibrida o stratificata rappresenti la miglior forma di tutela. Queste soluzioni comprendono un componente perimetrale per la rete o il Data Center che blocca preventivamente tutte le forme di attacco non appena vengono osservate, funzione che dovrebbe essere combinata con il servizio di un cloud o un service provider che si occupi degli attacchi di magnitudine superiore che finirebbero altrimenti col saturare la connettività Internet. Le migliori soluzioni di questo tipo integrano questi layer in modo che il componente del cloud o service provider possa essere attivato automaticamente dal componente perimetrale non appena un attacco inizi a scalare verso l’alto la propria attività.
Per quanto invece concerne le minacce interne, ci sono diversi accorgimenti che possiamo intraprendere per ridurre i rischi. Per prima cosa abbiamo bisogno di una visibilità ampia e approfondita sulle nostre reti: ampia, per poter identificare le comunicazioni sospette ovunque esse avvengano; e approfondita nei punti chiave delle nostre reti, dove abbiamo bisogno di una visione più mirata. Successivamente dobbiamo utilizzare le giuste tipologie di dati di intelligence per identificare le minacce presenti nelle nostre reti e potenziare il rilevamento aggiungendo il contesto alla natura della minaccia. Infine, possiamo potenziare il nostro processo event-driven di risposta agli incidenti attraverso un approccio più proattivo di vera e propria caccia alle minacce – così da permettere agli analisti di dedicare più tempo ed energia a ricercare le minacce che riuscirebbero altrimenti ad aggirare i sistemi di rilevamento.
Prepariamoci al domani
Man mano che le minacce continueranno a evolvere, il modo in cui le aziende guardano ai cyberattacchi dovrà cambiare per riflettere la realtà e le capacità sofisticate dei cybercriminali. I nostri avversari sono persone, e alla loro innovazione dobbiamo contrapporre l’intelligenza del nostro personale dedicato alla sicurezza. Perché questo accada dobbiamo mettere a disposizione i giusti strumenti per massimizzarne l’efficacia e minimizzare i nostri rischi.