Come difendersi dai DDoS tra soluzioni IDMS e protezione cloud
“Il primo passo per difendersi dagli attacchi DDOS, le cui conseguenze possono essere disastrose per un’azienda, è identificare con chiarezza la minaccia esistente, la sua frequenza e la sua complessità. Senza questa indagine iniziale, non è possibile misurare o valutare chiaramente i rischi associati agli attacchi DDoS a cui va incontro un’organizzazione”.
Così si è espresso Ivan Straniero, Regional Manager, Southern & Eastern Europe di Arbor Networks, a margine della presentazione dei nuovi dati raccolti dall’infrastruttura ATLAS di Arbor Networks sugli attacchi DDoS registrati a novembre. Il report indica 9.000 attacchi DDoS registrati in Italia, con una media di circa 300 attacchi al giorno, mentre nel mondo gli attacchi sono stati 710.000, con una media di 23.666 al giorno.
Più del 35% di questi è stato sferrato dagli Stati Uniti e quasi il 30% dall’Italia, seguita da Olanda e Regno Unito, mentre il più grande attacco registrato in Italia a fine mese, è stato di 35.6 Gbps. Nel mondo, invece, la dimensione massima registrata nel corso di novembre è stata di ben 616 Gbps.
L’incremento dell’attività DDoS è riconducibile alla comparsa dei servizi di noleggio che permettono di lanciare attacchi DDoS a costi esigui. Questi servizi, detti booter/stresser, guadagnano sui grandi volumi, lanciando migliaia di attacchi con l’ausilio delle infrastrutture botnet costituite da computer e, sempre più spesso, dispositivi IoT controllati a distanza. Con un’infrastruttura di questo tipo, un botmaster riesce ad aggregare 10.000, 50.000 o talvolta centinaia di migliaia di dispositivi per lanciare gli attacchi.
“La velocità di individuazione degli attacchi DDoS è la prima e più importante abilità necessaria per avviare un rapido programma di mitigazione. La scelta della soluzione da utilizzare su questo fronte incide sensibilmente sul profilo di rischio. È preferibile affidarsi all’approccio su cloud offerto dall’attuale fornitore di CDN? O è meglio aggiungere una nuova funzione al firewall esistente? O è invece opportuno scegliere una protezione DDoS appositamente concepita e realizzata per questo scopo?”, continua Straniero.
Quando si parla di attacchi DDoS, si pensa generalmente ad attacchi di grande volume che mirano a saturare la banda disponibile. Questi attacchi sono certamente reali, ma rappresentano soltanto un aspetto del problema. In realtà, si verificano anche milioni di attacchi complessi, più contenuti e furtivi e spesso simultanei, rivolti contro le applicazioni Layer 7 e l’infrastruttura esistente.
La tecnica migliore per mitigare questi attacchi multivettore poco visibili è l’azione on-premise. Questo perché il cloud offre soltanto una soluzione ideale per gli attacchi di grandi dimensioni, mentre per una reale difesa contro gli attacchi DDoS è necessario intervenire localmente.
I dispositivi IPS, i firewall e gli altri prodotti di sicurezza sono elementi essenziali di una strategia di difesa stratificata, ma sono concepiti per risolvere problemi di sicurezza fondamentalmente diversi da quelli affrontati dai prodotti specifici per la rilevazione e mitigazione degli attacchi DDoS.
I dispositivi IPS, ad esempio, bloccano i tentativi di assalto all’origine dei furti di dati. Nel mentre, i firewall svolgono un’azione di controllo per impedire l’accesso non autorizzato ai dati. Tuttavia, pur riuscendo a tutelare efficacemente l’integrità e la riservatezza della rete, questi prodotti di sicurezza non affrontano uno dei principali bersagli degli attacchi DDoS, ovvero la disponibilità della rete.
Le limitazioni dei firewall e dei dispositivi IPS mettono in luce i fondamentali benefici offerti dalle soluzioni IDMS (Intelligent DDoS Mitigation Solution). Queste sono stateless, ovvero non tracciano lo stato di tutte le connessioni. I dispositivi stateful, come i firewall e gli IPS, sono invece vulnerabili agli attacchi DDoS e non fanno altro che accrescere il problema.
Le soluzioni IDMS non dipendono dalle firme create dopo che l’attacco ha colpito gli obiettivi e consentono diverse configurazioni, ma soprattutto permettono l’implementazione fuori banda, ove necessaria. Questa flessibilità espande la scalabilità della soluzione, un aspetto indispensabile a fronte di attacchi DDoS di dimensioni sempre maggiori.
“Le soluzioni IDMS possono infine essere arricchite con decine di contromisure integrate e automatizzate, ognuna mirata a una specifica tipologia di attacco. “In una configurazione di difesa DDoS ibrida, che abbina cioè la protezione con mitigazione on-premise alla protezione basata su cloud, la soluzione IDMS può infatti inviare un segnale per attivare le contromisure basate su cloud istantaneamente e automaticamente non appena il volume di attacco raggiunge una determinata soglia. Questa è una tecnica ottimale, soprattutto in considerazione delle dimensioni sempre più consistenti degli attacchi e della crescente stratificazione delle metodologie impiegate”, conclude Straniero.