Maurizio Desiderio, Country Manager di F5 Networks, spiega come difendersi dagli attacchi DDoS e come l’approccio di tipo ibrido sia vincente per una security di nuova generazione.
Il termine ibrido, nel mondo della tecnologia, è stato usato per indicare “qualcosa” composto da due o più oggetti di natura diversa: ad esempio, il cloud ibrido, che riunisce SaaS, IaaS, e on-premises come base per un nuovo ambiente informatico aziendale diversificato. Anche se divergente dalla definizione scientifica tradizionale, l’utilizzo di “ibrido” per descrivere queste nuove entità è interessante, ma rischia di risultare banale se non lo si analizza nello specifico.
Ad esempio, anche la sicurezza sperimenta oggi la pressione associata all’”ibrido”, in particolare quando si ha a che fare con gli attacchi DDoS. Questo perché gli attacchi stessi sono in gran parte ibridi dato che includono sia attacchi volumetrici di tipo tradizionale sia attacchi focalizzati sulle applicazioni, come notato da SANS Institute:
“Gli attacchi di tipo DDoS più dannosi combinano tecniche che portano alla saturazione con attacchi specifici mirati all’applicazione e hanno più o meno la stessa frequenza (39%) degli attacchi mirati (42%) e volumetrici (41%) presi singolarmente. Gli attacchi DDoS tendono a utilizzare un piccolo insieme di porte Internet, ma una varietà estesa di tecniche per causare danni. Tali attacchi sono in rapida evoluzione dal punto di vista della gravità, complessità e sofisticazione. Secondo un recente rapporto, il 64% dei DDoS sfrutta più tipologie diverse di attacco, impiegano tecniche volumetriche, di saturazione della larghezza di banda, authentication-based e a livello di applicazione per interrompere, impedire, degradare o distruggere le informazioni rese disponibili su Internet o le risorse applicative.
Proteggersi da questi attacchi oggi richiede un approccio su più fronti con la combinazione di tecniche on-premises e tecnologie out-of-band e cloud, una gestione centralizzata e analitiche e metodi avanzati per rilevare attacchi sempre più sofisticati. La velocità con la quale le organizzazioni sapranno scoprire e fermare queste minacce è fondamentale per garantire la continuità dei servizi e ridurre l’impatto finanziario sul business.”
SANS Institute, 2014
Due anni dopo, questa tendenza è sostanzialmente invariata, con una tecnica che viene sempre più chiamata “smokescreening” e che, secondo varie ricerche, è stata utilizzata nel 55% dei casi di attacco DDoS a un’azienda. Di questi attacchi, quasi il 26% hanno comportato la sottrazione di dati sui clienti e quasi la metà hanno avuto come conseguenza l’installazione di malware/virus. Con un tale tasso di successo possiamo essere certi che il modello di attacco ibrido continuerà a prosperare anche in futuro!
Come difendersi da questi attacchi? Per rispondere punto su punto è indispensabile un approccio di protezione DDoS di nuova generazione, anch’esso ibrido, cioè una soluzione che unisca la difesa volumetrica tradizionale con la protezione specifica dell’applicazione e sia in grado di sfruttare lo scrubbing sia on-premises sia cloud-based per respingere attacchi che altrimenti potrebbero sopraffare la connessione Internet aziendale. È quindi fondamentalmente disporre di una tecnologia di protezione sia on-premises, in grado di rilevare un attacco imminente che mira alla saturazione della larghezza di banda, sia un nel cloud di tipo on demand, che consenta di assorbire il volume per prevenire eventuali impatti sul business.
Adottare un approccio moderno significa molto di più che avere pronta un’opzione cloud-based. Le architetture di sicurezza ibride di nuova generazione devono abilitare in modo semplice lo spostamento con continuità dallo scrubbing on-premises a quello cloud-based in caso di attacco. In questo modo, la sicurezza ibrida di nuova generazione è in grado di rilevare gli attacchi e agire autonomamente, trasferendo la responsabilità dello scrubbing in base a parametri tecnici e di business dal on-premises al cloud prima ancora che l’azienda subisca un danno.
È quindi necessario un approccio multi-livello in grado di difendere le applicazioni aziendali, i dati e le reti, combinando la potenza di un’appliance specializzata nella protezione dagli attacchi DDoS con l’esperienza di un servizio cloud-scrubbing di protezione appositamente pensato per i DDoS, in una soluzione completa che si avvalga di un’analisi comportamentale on-premises dinamica per identificare e mitigare gli attacchi, del machine learning per rilevare le minacce sfuggenti o le anomalie del traffico, e di potenti funzionalità di automazione per aumentare l’efficienza.
Minacce indirizzate in modo specifico alle applicazioni possono essere scoperte a partire dalle logiche del flusso di dati, dai segnali aggregati da HTTP, dai confini delle richieste TCP, dalle transazioni, dalla salute del server, e da altre caratteristiche simili.
Quando il picco del volume on-premises minaccia di interrompere l’attività rallentando o arrestando l’accesso alle applicazioni, sia corporate sia consumer, il traffico dell’attacco volumetrico può essere facilmente reindirizzato al servizio on-demand cloud-based, con una scalabilità quasi infinita, che permette di alleviare la pressione creata da tali attacchi frontali al business.
È davvero il momento di adottare un approccio ibrido alla sicurezza, che combinando le migliori caratteristiche di due modelli diversi fornisca una soluzione unica, completa ed efficiente. Benvenuti nella nuova era della sicurezza!