Dall’11’ edizione del Worldwide Infrastructure Security Report di Arbor Networks emerge la richiesta di servizi di sicurezza gestiti e supporto di risposta agli incidenti per affrontare uno scenario di minacce ininterrotte
Arbor Networks, la divisione sicurezza di NETSCOUT, ha pubblicato l’11’ edizione del proprio studio Worldwide Infrastructure Security Report (WISR) che annualmente propone insight provenienti direttamente dalla comunità globale degli specialisti in sicurezza operativa su temi che spaziano dal rilevamento delle minacce e dalla reazione agli incidenti fino alle questioni inerenti il personale, i budget e le relazioni con i partner. Per la prima volta, quasi metà degli intervistati proviene dai settori privato, pubblico e dell’istruzione, mentre i service provider contano per il 52% del campione. I rapporti che Arbor intrattiene da lungo tempo con i propri clienti e la reputazione conquistata come solution provider e consulente di fiducia sono gli elementi che rendono possibile la realizzazione annuale di questo studio.
“Uno scenario di minacce in costante evoluzione è ormai un dato di fatto accettato dalle persone che abbiamo interpellato per questo studio”, ha dichiarato Darren Anstee, Chief Security Technologist di Arbor Networks. “Il report getta luce sulle problematiche che gli operatori di rete di tutto il mondo stanno affrontando, e sottolinea come la tecnologia sia solo una parte dell’intera questione dal momento che la sicurezza è un elemento umano con avversari capaci attivi su entrambi i fronti. Grazie alle informazioni offerte dagli operatori di rete di tutto il mondo, siamo in grado di offrire insight su persone e processi fornendo un quadro molto più ricco di quanto sta accadendo in prima linea”.
Le prime 5 tendenze in ambito DDoS
• Cambiamento delle motivazioni degli attacchi: la principale motivazione di quest’anno non è stata l’hacktivismo né il vandalismo, bensì ‘la dimostrazione delle capacità di attacco da parte dei criminali’, un elemento che normalmente risulta associato ai tentativi di cyber-estorsione.
• Le dimensioni degli attacchi continuano a crescere: il più grande attacco registrato è stato pari a 500 Gbps ed è stato seguito da altri attacchi di 450 Gbps, 425 Gbps e 337 Gbps. Negli undici anni di questo studio, le dimensioni massime di attacco sono cresciute di oltre 60 volte.
• Aumentano gli attacchi complessi: il 55% degli intervistati ha registrato attacchi multi-vettore diretti simultaneamente contro infrastrutture, applicazioni e servizi, in aumento rispetto al 42% dello scorso anno. Il 93% ha subìto attacchi DDoS diretti contro il layer applicativo. Il servizio più comunemente colpito dagli attacchi contro il layer applicativo è ora il DNS (anziché l’HTTP).
• Il cloud sotto attacco: due anni fa, gli attacchi lanciati contro servizi basati su cloud erano stati osservati dal 19% degli interpellati. L’anno scorso la proporzione era salita al 29% e quest’anno ha raggiunto il 33%, con una netta indicazione di tendenza. Il 51% degli operatori di data center ha infatti registrato attacchi DDoS che hanno provocato la saturazione della connettività Internet disponibile. Vi è stato anche un deciso incremento (34% contro il 24% dell’anno precedente) nel numero di data center che hanno visto attacchi in uscita lanciati da server ospitati sulle proprie reti.
• I firewall continuano a rivelarsi insufficienti durante gli attacchi DDoS: più di metà delle aziende intervistate ha registrato malfunzionamenti dei firewall in conseguenza di attacchi DDoS, un dato in aumento rispetto al terzo dell’anno precedente. Essendo dispositivi stateful in linea, i firewall estendono la superficie di attacco e rischiano di essere le prime vittime degli attacchi DDoS con l’esaurimento della loro capacità di tenere traccia delle connessioni. E poiché si trovano in linea, possono oltretutto aggiungere tempi di latenza alla rete.
Le prime 5 tendenze nelle minacce avanzate
• Focus su reazioni più efficaci: il 57% delle aziende intende dotarsi di soluzioni capaci di velocizzare i processi di risposta in caso di incidente. Tra i service provider, invece, un terzo ha ridotto a meno di una settimana i tempi necessari a rilevare un attacco APT (Advanced Persistent Threat) sulla propria rete, e il 52% ha affermato che i propri tempi che intercorrono tra il rilevamento e il contenimento sono inferiori a un mese.
• Più pianificazione: il 2015 ha registrato un incremento nella proporzione di aziende che hanno sviluppato piani formali per la reazione agli incidenti e hanno dedicato almeno qualche risorsa per queste necessità, passando dai due terzi circa dell’anno precedente al 75% di quest’anno.
• Attenzione agli insider: la proporzione di aziende che hanno avuto a che fare con malintenzionati al proprio interno è salita al 17% contro il 12% dell’anno precedente. Quasi il 40% di tutte le aziende intervistate non possiede ancora nulla in grado di monitorare i dispositivi BYOD collegati alle proprie reti. La proporzione di chi ha registrato incidenti di sicurezza associati ai dispositivi BYOD è raddoppiata da un anno all’altro passando dal 6% al 13%.
• Problemi di personale: si è verificata una forte riduzione (dal 46% al 38%) nella proporzione di aziende che intendono allargare le proprie risorse interne per meglio affrontare i casi di incidente.
• Aumenta la dipendenza dal supporto esterno: la carenza di risorse interne ha condotto a un aumento del ricorso ai servizi gestiti e all’assistenza in outsourcing, con il 50% delle aziende che ha affidato la risposta agli incidenti a fornitori esterni. Questo dato è del 10% superiore rispetto a quanto accade tra i service provider. E proprio tra i service provider, il 74% ha registrato un aumento delle richieste di servizi gestiti da parte dei propri clienti.
Ambito e campione dell’indagine
• Il campione comprende 354 risposte – in aumento rispetto alle 287 dell’edizione precedente – fornite da un mix di operatori Tier 1, Tier 2/3, società di hosting, provider mobili, aziende e altri tipi di operatori di rete di tutto il mondo.
• In linea con gli anni precedenti, la maggior parte delle risposte (52%) proviene da service provider.
• Per la prima volta negli 11 anni di storia di questa indagine, quasi metà degli interpellati (48%) proviene da altre categorie di organizzazioni in rappresentanza di una maggiore varietà di tipologie di rete. Questo dato è aumentato rispetto al 40% del 2014 e al 25% di cinque anni fa.
• Il mondo enterprise è ben rappresentato dal 38% del campione. Gli altri intervistati diversi dai service provider provengono dagli enti pubblici (6%) e dal settore dell’istruzione (4%).
• I dati coprono il periodo compreso tra novembre 2014 e novembre 2015.