L’incremento dell’attività DDoS è favorito da servizi di noleggio che permettono di portare attacchi a costi esigui. Arbor Networks suggerisce come difendersi
Per le aziende di oggi, la disponibilità di reti, applicazioni e servizi online è un aspetto ormai imprescindibile e indispensabile quanto la corrente elettrica. L’interruzione della disponibilità ha ripercussioni immediate sulle attività: i siti e i servizi online scompaiono e i clienti, i partner e i dipendenti sono costretti a interrompere il proprio lavoro. Se l’interruzione persiste, sorgono problemi anche per il brand e i suoi rapporti con i clienti, con mancate vendite, clienti persi e maggiori costi di marketing per riconquistarli.
Con la sicurezza sempre più a rischio cosa fare per difendersi? Alcuni suggerimenti li ha dati Ivan Straniero, Regional Manager, Southern & Eastern Europe di Arbor Networks.
Prima cosa: identificare le minacce
Il primo passo per difendersi è identificare con chiarezza la minaccia esistente, la sua frequenza e la sua complessità. Senza una indagine iniziale, non è possibile misurare o valutare chiaramente i rischi associati agli attacchi DDoS a cui va incontro un’organizzazione.
Nel solo mese di novembre sono stati registrati 9.000 attacchi informatici in Italia, con una media di circa 300 attacchi al giorno. Nel mondo, gli attacchi registrati a novembre sono stati – invece – 710.000, con una media di 23.666 al giorno.
L’incremento dell’attività DDoS è riconducibile alla comparsa dei servizi di noleggio che permettono di lanciare attacchi DDoS a costi esigui. Questi servizi, detti booter/stresser, guadagnano sui grandi volumi, lanciando migliaia di attacchi con l’ausilio delle infrastrutture botnet costituite da computer e, sempre più spesso, dispositivi IoT controllati a distanza.
Con un’infrastruttura di questo tipo, un botmaster riesce ad aggregare 10.000, 50.000 o talvolta centinaia di migliaia di dispositivi per lanciare gli attacchi.
Reagire velocemente per mitigare
La velocità di individuazione degli attacchi DDoS, osserva Straniero, è la prima e più importante abilità necessaria per avviare un rapido programma di mitigazione. La scelta della soluzione da utilizzare su questo fronte incide sensibilmente sul profilo di rischio.
È preferibile affidarsi all’approccio su cloud offerto dall’attuale fornitore di CDN? O è meglio aggiungere una nuova funzione al firewall esistente? O è invece opportuno scegliere una protezione DDoS appositamente concepita e realizzata per questo scopo?
Va considerato che gli attacchi stanno inoltre diventando sempre più stratificati, multivettore e spezzano le difese facendo leva su molteplici metodologie di attacco e tattiche diversive. La capacità di difendere la propria azienda e preservare la disponibilità dei servizi è direttamente correlata alla velocità di risposta a queste minacce multiple e prolungate.
La tecnica migliore per mitigare questi attacchi multivettore poco visibili è l’azione on-premise. Questo perché il cloud offre soltanto una soluzione parziale, ideale per gli attacchi di grandi dimensioni, mentre per una reale difesa contro gli attacchi DDoS è necessario intervenire localmente.
I benefici dell’automazione
L’automazione è ormai divenuta il Sacro Graal della sicurezza perché riduce il personale necessario e incide sensibilmente sulla velocità di risposta. Una buona soluzione, spiega Straniero, riesce a rilevare gli attacchi e avviare l’azione di mitigazione in modo automatico, spesso prima che gli operatori di sicurezza si accorgano dell’attacco.
Le soluzioni IDMS (Intelligent DDoS Mitigation Solution) possono essere arricchite con decine di contromisure integrate e automatizzate, ognuna mirata a una specifica tipologia di attacco.
In una configurazione di difesa DDoS ibrida, che abbina la protezione con mitigazione on-premise alla protezione basata su cloud, la soluzione IDMS può inviare un segnale per attivare le contromisure basate su cloud istantaneamente e automaticamente non appena il volume di attacco raggiunge una determinata soglia.
Questa è una tecnica ottimale, soprattutto in considerazione delle dimensioni sempre più consistenti degli attacchi e della crescente stratificazione delle metodologie impiegate.
Il fattore umano
il primo passo per una gestione efficace degli attacchi DDoS, conclude Straniero, è certamente l’implementazione di valide soluzioni tecnologiche e si può di certo essere d’accordo con il manager.
Tuttavia, anche nelle organizzazioni che si avvalgono di molteplici meccanismi di difesa DDoS automatici, dalle contromisure preinstallate alla connessione con mitigazione basata su cloud, il fattore umano ha ancora un ruolo determinante nella risposta e nella difesa globale.
I team di sicurezza devono essere preparati a riconoscere e contrastare le minacce senza alcuna esitazione. La preparazione è un fattore chiave per lo sviluppo dei “riflessi organizzativi” che permettono di accelerare la risposta agli incidenti anche nelle situazioni di maggiore pressione associate agli attacchi.
In sostanza, è difficile affrontare al meglio un attacco se non si è ben preparati. La pratica della risposta agli incidenti è uno strumento essenziale per una rapida ed efficace mitigazione delle minacce. Ignorare il fondamentale aspetto umano della difesa DDoS nuoce all’azienda quanto scegliere la soluzione sbagliata.