Una serie di consigli per ridurre il rischio di essere colpiti

Attacchi DDoS: la quiete prima della tempesta

Di Florian Malecki, International Product Marketing Director di Sonicwall

I recenti attacchi Distributed Denial of Service (DDoS) sul Domain Name System (DNS) del service provider Dyn hanno coinvolto un grande numero di botnet IoT (Internet of Things) e hanno messo temporaneamente offline numerosi siti ad elevato volume di traffico tra cui Twitter, Spotify e Netflix.

A differenza di quanto si possa pensare, recenti rapporti suggeriscono che potrebbe trattarsi del più esteso attacco nel suo genere mai perpetrato da hacker amatoriali piuttosto che da parte di qualcuno con competenze più sofisticate. L’attacco è stato possibile grazie a uno sviluppatore anonimo del malware Mirai che ne ha recentemente pubblicato il codice sorgente in modalità open source nella rete sotterranea degli hacker, il mercato nero del web dove competenti cyber criminali condividono contenti, innovano, potenziano le loro capacità e offrono la loro expertise e codice malevolo a criminali meno capaci. I delinquenti non hanno più neanche bisogno di sviluppare un codice. C’è un intero sistema di supporto che permette campagne come questa. E l’attacco DDoS Mirai-based rappresenta un altro monito che non bisogna essere compiacenti con il proprio modello di security.

E’ evidente che l’ambiente in cui le minacce evolvono influisce profondamente sul modo in cui gestiamo i rischi rispetto alle vulnerabilità dei dispositivi IoT. Si stima che il numero di questi device connessi a reti IP triplicherà rispetto alla popolazione mondiale entro il 2017. Sono già più di 9 miliardi i dispositivi connessi a internet e, entro il 2020, Gartner, IDC e altri stimano che diventeranno tra i 20 e i 50 miliardi. Ciò che dovremmo prevedere è una rete Wi-Fi molto complessa e controllata di device come i wearable, termostati, controlli dell’illuminazione, distributori automatici, e tutti i generi di smart appliance che potrebbero situarsi ovunque nelle nostre case, spazi pubblici, retail, e ambienti lavorativi. Dobbiamo ricordare che la maggior parte di questi dispositivi non è stata progettata con un focus sulla sicurezza. In effetti, una vasta percentuale ha note vulnerabilità all’interno del firmware che possono essere facilmente sfruttate da malware evoluti come Mirai. Le domande da porsi sono (1) quanti di questi sono connessi alla rete Wi-Fi, e (2) quale il rischio a cui l’organizzazione è esposta già oggi?

La realtà è che i metodi di attacco variano costantemente, e lo fanno molto rapidamente. Quelli IoT-based rappresentano uno dei vettori di attacco DDoS più frequenti e in crescita del 2016. Molte imprese devono comprendere il proprio profilo di rischio, su quali focalizzarsi, e dove ottimizzare la sicurezza, persone e risorse per migliorare la salvaguardia dell’ambiente da svariate tipologie di cyber-attack.  Diversamente dalle minacce ransomware o zero-day, gli attacchi DDoS vengono comunemente utilizzati a scopo di estorsione. Nonostante non si sappia ancora con esattezza quale fosse lo scopo dell’attacco a Dyn, è plausibile pensare che i malviventi fossero alla fine alla ricerca di soldi. Come per Dyn e alter aziende che potrebbero subire attacchi Mirai-based in futuro, non sarebbe inusuale che le vittime ricevano un pre-allarme circa l’imminente attacco DDoS se la richiesta di soldi non viene soddisfatta. Quindi, invece di attendere, Il consiglio è di seguire I 4 passi indicate qui di seguito per ridurre il proprio profilo di rischio.

Passare da protezione a rischio

Come rispondere alla domanda se la nostra azienda è sicura? Ovviamente oggigiorno la risposta è no. La realtà è che abbiamo a che fare con rischi imprevedibili quindi la domanda corretta dovrebbe focalizzarsi sui rischi: comprendere quali sono e quali le aree in cui non si può rischiare al fine di valutare attentamente il modello di sicurezza in essere e dove focalizzarsi.

Capire chi ci attacca

E’ fondamentale capire l’obiettivo finale di chi ci colpisce, quali metodi potrebbe utilizzare e assicurarsi di non adottare la sicurezza in maniera omogenea perché in questo modo si indebolisce la sicurezza dove invece deve essere rafforzata. In poche parole bisogna definire le aree di potenziale interesse degli avversari e dotarle della tecnologia e delle risorse necessarie.

Mettere alla prova risposte e piano di ripristino

Bisogna accettare che non è una questione di se, ma piuttosto di quando verremo attaccati.  Stabilire quindi una risposta solida e ripetibile e/o piano di ripristino è fondamentale per tornare all’operatività ottimale e proteggere la reputazione. Verificare il piano, condurre delle simulazioni, migliorare i processi rendono il tutto più efficace e veloce. E’ importante coinvolgere anche risorse non tecniche – PR, marketing, e legal – per definire come si muoveranno per mantenere la fiducia dei clienti ed evitare rischi normativi.

Ridurre la superficie di attacco

Gli attacchi DDoS mirano di solito al protocollo UDP. Tipicamente i cybercriminali utilizzano porte UDP casuali per colpire. NTP, DNS, SNMP sono più suscettibili perché si tratta dei protocolli più diffusi. Gli attacchi possono poi essere amplificati reindirizzando le risposte verso un target – come quelli di amplificazione DNS che hanno colpito Dyn.