Per difendersi serve una soluzione ibrida: difese on-premise e capacità di mitigazione basate su cloud

Ivan Straniero

A cura di Ivan Straniero, Regional Manager, Southern & Eastern Europe di NETSCOUT Arbor

Cosa rende un attacco DDoS diverso da una comune violazione di dati? La risposta si cela nel nome stesso: “denial of service”. Gli attacchi DDoS mirano a impedire la fornitura di servizi online di grande utilità per gli utenti. Istituti finanziari e siti web di gaming e di e-commerce sono tra i principali destinatari degli attacchi DDoS, al pari di provider di servizi cloud che ospitano siti e applicazioni di servizio per i clienti aziendali. Per un’azienda, anche una breve interruzione del servizio può tradursi in una perdita di opportunità commerciali del valore di molti milioni, per non parlare degli effetti collaterali legati ai clienti che si allontanano e al danno di immagine.

Gli attacchi DDoS e le violazioni di dati hanno nature estremamente diverse; di conseguenza, i componenti infrastrutturali normalmente impiegati per garantire la sicurezza contro le violazioni, quali firewall perimetrali, sistemi anti-intrusione e di rilevamento delle intrusioni (IDI/IPS) e altri, sono relativamente inefficaci per la mitigazione degli attacchi DDoS. Infatti, sebbene questi prodotti per la sicurezza abbiano valenza nell’ambito di una strategia difensiva stratificata, visto che proteggono la riservatezza e l’integrità dei dati, non sono in grado di ovviare al problema sostanziale creato dagli attacchi DDoS, ossia la disponibilità della rete.

In realtà, proprio questi stessi componenti sono sempre più spesso l’obiettivo degli attacchi DDoS che mirano a neutralizzarli. Il tredicesimo Worldwide Infrastructure Security Report, il report che NETSCOUT Arbor svolge ogni anno tra i professionisti della sicurezza (sia service provider sia del segmento aziendale), ha svelato un aumento notevole di attacchi DDoS rivolti alle infrastrutture rispetto all’anno precedente. Per quanto riguarda le aziende, il 61% ha registrato attacchi all’infrastruttura di rete e il 52% ha dichiarato che i firewall o i dispositivi IPS hanno subito un’interruzione o hanno contribuito a causarla durante un attacco DDoS. Gli attacchi contro l’infrastruttura sono meno frequenti tra i service provider, i cui clienti restano comunque l’obiettivo privilegiato degli attacchi DDoS. Ciò detto, il 10% degli attacchi sferrati contro i service provider è stato rivolto all’infrastruttura di rete e un altro 15% all’infrastruttura di servizio.

D’altro canto, gli operatori di data center hanno segnalato che il 36% degli attacchi in ingresso era rivolto a router, firewall, bilanciatori di carico e altre infrastrutture tipiche del proprio settore. Circa il 48% dei data center intervistati ha attestato che i firewall, i dispositivi IDS/IPS e gli bilanciatori di carico hanno subito un’interruzione o hanno contribuito a causarla durante un attacco DDoS, una percentuale maggiore rispetto al 43% del 2016.

I componenti infrastrutturali sono particolarmente vulnerabili agli attacchi di tipo TCP State Exhaustion che tentano di saturare le tabelle di stato impiegate in bilanciatori di carico, firewall, IPS e server applicativi per individuare il traffico a pacchetto legittimo. Attacchi come questi sono in grado di piegare persino dispositivi usati per mantenere lo stato di milioni di connessioni. Nell’ultimo WISR gli attacchi di tipo TCP State Exhaustion avevano raggiunto quasi il 12% di tutti gli attacchi segnalati.

Nonostante la vulnerabilità intrinseca, firewall, IPS ed bilanciatori di carico restano tra le misure di sicurezza più apprezzate dalle aziende per mitigare gli attacchi DDoS. Tra i service provider i firewall erano la seconda opzione di mitigazione degli attacchi DDoS, mentre tra le aziende erano la prima scelta per l’82% degli intervistati. È un po’ demoralizzante pensare che alcune delle misure più diffuse per la mitigazione degli attacchi DDoS sono anche le meno efficaci, vista la semplicità con cui vengono travolte da attacchi state-based.

Osservando ora il lato positivo della cosa, però, la maggiore frequenza degli attacchi DDoS segnalati nel Report del 2016 sembra avere stimolato una più ampia adozione di soluzioni Intelligent DDoS Mitigation System (IDMS) nel 2017. Circa la metà degli intervistati ha infatti dichiarato di avere introdotto un IDMS nella protezione perimetrale, un aumento marcato rispetto al 29% dell’anno precedente.

Le organizzazioni che prestano servizi sul Web hanno bisogno di una solida protezione appositamente concepita per gli attacchi DDoS. Gli esperti della sicurezza continuano a suggerire come best practice una soluzione ibrida composta da difese on-premise e da capacità di mitigazione basate su cloud. Per quanto riguarda nello specifico gli attacchi all’infrastruttura di rete, davanti ai componenti infrastrutturali andrebbe previsto un dispositivo on-premise apposito per gli attacchi DDoS che li protegga dagli attacchi e permetta loro di continuare indisturbati a funzionare.