Proteggere le reti aziendali dagli attacchi DDoS è da sempre un lavoro arduo, ma ora i cybercriminali lo stanno rendendo ancora più difficile
I titoli dei giornali parlano continuamente di nuovi attacchi DDoS, violazioni dei dati o altri incidenti di sicurezza. Eppure, persino in uno scenario di minacce dinamico come quello odierno, molte aziende sono ancora convinte che le tecniche di protezione DDoS adottate qualche anno fa siano ancora valide e attuali. In questi casi sono aziende che mettono a rischio le proprie reti. È arrivato il momento di far chiarezza su alcune erronee convinzioni relative agli attacchi DDoS.
Ecco quali sono i cinque equivoci comuni sulla protezione DDoS:
Equivoco 1: La risposta sono firewall, IPS o CDN
L’evoluzione delle infrastrutture IT e la dipendenza da cloud di terze parti hanno dato vita a un ambiente complesso che non possiede più un perimetro definito. Le tradizionali soluzioni per la sicurezza “perimetrale” come firewall e IDS/IPS continuano a rappresentare un elemento essenziale di una strategia di sicurezza integrata; tuttavia, dato che questi dispositivi ispezionano il traffico delle connessioni di rete, sono anch’essi suscettibili di alcuni attacchi DDoS – il che può complicare ulteriormente le cose.
Molte aziende, inoltre, ritengono erroneamente che le reti CDN (Content Delivery Network) forniscano una soluzione per bloccare gli attacchi DDoS. La verità è che una CDN affronta semplicemente i sintomi di un attacco DDoS. Assorbendo grandi volumi di dati, una CDN lascia comunque passare le informazioni all’interno della rete con un approccio all’insegna del “nessuno escluso”. Da notare poi come la maggior parte delle soluzioni per la protezione DDoS basate su CDN si concentrino esclusivamente sull’assorbimento degli attacchi DDoS HTTP/HTTPS ignorando tutti gli altri, come quelli di amplificazione NTP/DNS, pur se molto comuni.
Equivoco 2: Un unico strato di protezione DDoS è sufficiente
Dal momento che gli attuali attacchi DDoS sfruttano una combinazione dinamica di vettori d’attacco (volumetrici, a esaurimento di stato TCP e diretti contro il layer applicativo), le best practice vigenti consigliano che le aziende adottino un approccio stratificato alla protezione.
Questo significa che il luogo migliore per bloccare i grandi attacchi sia a monte, nel cloud del provider, prima che riescano a saturare la connettività Internet locale o i sistemi di protezione DDoS on-premises. E il miglior posto dove fermare gli attacchi diretti contro il layer applicativo è direttamente presso il cliente, ovvero dove risiedono le applicazioni o i servizi chiave. Altrettanto importante è la disponibilità di una forma di comunicazione intelligente tra questi due layer supportata da un’intelligence aggiornata in grado di neutralizzare gli attacchi DDoS dinamici multivettore.
Sfortunatamente molte aziende scelgono un unico strato di protezione ottenendo di conseguenza una soluzione incompleta.
Equivoco 3: Difficilmente possiamo essere un obiettivo, quindi val la pena rischiare
L’enorme crescita del numero di attacchi DDoS verificatasi nel tempo è frutto di due fattori principali: la facilità con cui si può lanciare un attacco e le varie motivazioni che possono sottendere gli attacchi. Lanciare un attacco DDoS non è mai stato tanto facile come oggi: chiunque può scaricare un tool DDoS fai-da-te gratuito o pagare una piccola somma di denaro a elementi specializzati nello scatenare attacchi DDoS “as-a-service”. Se il prezzo richiesto per lanciare un attacco DDoS si misura in qualche decina di dollari, le perdite per le aziende colpite possono ammontare a centinaia di milioni. Le motivazioni che stanno dietro questi attacchi sono molteplici. Gli attacchi DDoS non sono più motivati solamente dalla ricerca di un illecito guadagno né causate solo da organizzazioni sponsorizzate da governi.
Oggi è sufficiente che qualcuno sia in disaccordo con le opinioni, con l’appartenenza politica o con le convinzioni di qualcuno per colpirlo con un attacco DDoS sfruttando la pletora di strumenti o servizi disponibili allo scopo. Per peggiorare le cose, non occorre nemmeno essere l’obiettivo di un attacco DDoS per subirne i danni collaterali se i propri servizi sono dislocati in un ambiente cloud condiviso. Bisogna allora chiedersi, “Mi sento fortunato?”.
Equivoco 4: L’impatto di un attacco DDoS non giustifica il costo della protezione
L’impatto di un attacco DDoS può essere immediato e grave. Il fatto è che molte aziende non eseguono analisi appropriate per l’identificazione dei rischi e delle contromisure necessarie a giustificare l’acquisto di una soluzione completa per la protezione DDoS. È vero che calcolare il costo del fermo operativo di un servizio da cui dipende la generazione del fatturato può essere praticamente automatico; ma avete mai considerato anche tutti gli altri costi associati a un attacco DDoS?
Esistono numerosi altri costi indiretti che vengono sistematicamente sottovalutati come crediti SLA, costi legali/regolamentari, costi PR per i danni alla reputazione del brand, perdita di clienti ecc. Vi sono persino casi documentati di dirigenti e manager cacciati perché le loro aziende non erano adeguatamente preparate a bloccare gli attacchi DDoS e altre minacce.
Equivoco 5: Gli attacchi DDoS non sono minacce avanzate
Tecnicamente parlando è vero, gli attacchi DDoS di per sé possono non essere avanzati. Tuttavia recenti ricerche condotte su reti botnet e attacchi DDoS hanno determinato uno stretto rapporto di questi ultimi con le campagne di minacce avanzate che sfruttano malware, RAT ecc.
Per esempio vi sono stati casi documentati di attacchi DDoS impiegati nel corso di:
- Fasi di ricognizione iniziale per mettere alla prova la capacità di un’azienda di rispondere a determinate minacce.
- Fasi di consegna del malware, dove l’attacco DDoS è stato usato per saturare i log e i file di dati dei prodotti usati per l’analisi forense così da rendere assai più difficile la ricerca del malware.
- Fasi di estrazione dei dati, con gli attacchi DDoS usati come tattica diversiva.Questo porta a chiedersi: “Quest’ultimo attacco DDoS è stato un evento isolato o è stato parte di una campagna di minacce più avanzate condotta contro la mia azienda?”. Per mettersi al riparo è altamente consigliabile avvalersi di un’intelligence globale capace di rilevare preventivamente i segnali di una possibile violazione prima che possa avere conseguenze sull’azienda.È tempo di un approccio intelligente multistrato alla protezione DDoSUsare soluzioni tradizionali per la sicurezza come firewall o IPS, o scommettere sull’eventualità che cybercriminali e hacktivisti non facciano nulla, è un grosso rischio. Ci si può permettere che le proprie applicazioni critiche diventino indisponibili? È possibile riprendersi dai costi associati a una violazione che renda pubblici i dati riservati di milioni di clienti? La realtà è che occorre proteggere costantemente un’azienda attraverso un approccio multistrato integrato alla difesa DDoS.
di Ivan Straniero, Territory Manager Sout-East and Eastern Europe.