Ivan Straniero, Regional Manager, Southern & Eastern Europe di Netscout Arbor, spiega come l’automazione possa giocare un ruolo attivo per la protezione DDos.
Durante gli attacchi DDoS, il tempo è davvero spietato e pochi secondi possono fare la differenza tra una mitigazione efficace ed un costoso periodo di inattività della rete. Di conseguenza, qualsiasi strumento che permetta di accelerare il tempo mediamente necessario per individuare (MTTD) e contrastare (MTTR) un attacco rappresenta un grande vantaggio per l’utente.
Questa situazione è particolarmente evidente negli odierni ambienti cloud e aziendali, dove la maggiore dipendenza dalla connettività Internet, associata all’impiego di applicazioni distribuite e alla presenza di un’ampia varietà di minacce, può sopraffare i team addetti alle operazioni di rete e alla sicurezza. Gli specialisti della sicurezza sono ormai sottoposti a crescenti pressioni e si trovano a dover identificare con la massima rapidità le minacce reali e le misure di mitigazione da adottare, in una continua corsa contro il tempo.
E la mole di attacchi da identificare si fa sempre più imponente. Basti pensare che l’infrastruttura Atlas di Netscout Arbor – che raccoglie dati sul traffico anonimo da 400 service provider su scala globale, offrendo la possibilità di osservare circa un terzo dell’intero traffico Internet, ha rilevato che nel solo mese di gennaio 2018 sono stati registrati 6.400 attacchi informatici in Italia, con una media di circa 206 attacchi al giorno.
L’automazione diventa quindi un elemento assolutamente prioritario nella scelta delle soluzioni di difesa contro gli attacchi DDoS. La soluzione giusta è quella che permette di guadagnare tempo prezioso individuando gli attacchi con la massima tempestività e implementando automaticamente le contromisure più indicate, prima che i servizi di rete siano compromessi. L’automazione deve però sostanzialmente bloccare gli attacchi senza bloccare il traffico legittimo e deve comunicare all’operatore cosa è stato bloccato e per quale motivo. In altri termini, per risultare efficace, l’automazione deve condurre l’utente verso la risposta giusta, fornendo dati contestuali e analisi di supporto, e soprattutto deve essere guidata da un elemento umano invece di offrire una semplice “scatola nera”.
La tempestività nell’identificazione e mitigazione delle minacce informatiche è fondamentale. L’automazione colloca l’utente in prima linea di fronte all’attacco e moltiplica l’efficacia dei team di sicurezza, ma può farlo soltanto se fornisce un adeguato livello di visibilità. Molte soluzioni DDoS disponibili sul mercato si appoggiano in gran parte, o talvolta interamente, ai cosiddetti sistemi di automazione “set and forget”, ovvero sistemi che prevedono un esteso periodo iniziale di apprendimento e acquisizione dei dati basali ma non riescono in molti casi a distinguere un attacco reale da un semplice picco del traffico legittimo e offrono dati analitici sugli attacchi molto scarsi o non li offrono affatto. Questo approccio comporta tre svantaggi: la creazione di falsi positivi, il blocco di sessioni valide dei clienti e l’assenza di visibilità.
È importante selezionare una soluzione di mitigazione DDoS intelligente, capace di distinguere in modo rapido e automatico i veri attacchi dai picchi di traffico e di abilitare o disabilitare dinamicamente le contromisure idonee durante lo svolgimento dell’attacco. È altrettanto importante disporre della flessibilità necessaria per aggiornare, riconfigurare e affinare le funzioni di risposta automatica man mano che la sofisticazione e le tecniche dei pirati DDoS si evolvono e che le organizzazioni acquisiscono maggiori conoscenze sulla natura degli attacchi a loro rivolti. Le contromisure intelligenti di Netscout Arbor, sempre guidate da un elemento umano, i suoi dati di intelligence sulle minacce forniti in tempo quasi reale e le sue tecnologie di Cloud Signaling fanno leva sulle conoscenze più approfondite del settore in materia di minacce DDoS note ed emergenti. Sfruttando questi tre pilastri delle buone pratiche in ambito DDoS, le aziende e i service provider possono proteggere le proprie reti nel modo più pratico ed efficace possibile.