Arbor Networks, principale fornitore al mondo di strumenti per la protezione da attacchi DDoS (distributed denial-of-service) nei segmenti enterprise, carrier e mobile, ha pubblicato il suo resoconto annuale sulle sfide più impegnative che gli operatori di rete, le imprese ed i professionisti devono oggi affrontare nel campo della sicurezza. Il report diramato da Arbor offre una visione complessiva sulle minacce che interessano le aziende e sulle strategie che è possibile adottare per difendersi.
Per Arbor le cosiddette minacce APT (Advanced Persistent Threat) sarebbero aumentate del 36%. Gli aggressori sono quindi sempre più soliti sferrare attacchi mirati con l’obiettivo di violare un’intera infrastruttura aziendale. Gli attacchi APT vengono sfruttati per mantenere attivo un canale di comunicazione con i sistemi bersagliati e sottrarre informazioni di valore.
Sull’argomento abbiamo chiesto un commento a Marco Gioanola, Consulting Engineer di Arbor Networks. “Quali sono le vulnerabilità e le falle di sicurezza che vengono per prime prese di mira dagli aggressori per fare breccia nell’infrastruttura aziendale?“, abbiamo chiesto.
“Purtroppo spesso le intrusioni vengono effettuate sfruttando vulnerabilità note ma per le quali non sono state applicate le necessarie patch, o attraverso tecniche di social engineering per carpire password o altre informazioni necessarie all’accesso. In quest’ultimo caso, l’anello debole della catena non è la tecnologia ma l’essere umano: è quindi necessario da un lato avere strumenti in grado di rilevare anomalie di comportamento nel traffico di rete, e dall’altro avere strumenti di incident response in grado di scoprire e visualizzare chiaramente l’accaduto“, ha risposto Gioanola. “In altri casi, abbiamo osservato intrusioni effettuate attraverso attività prolungate nel tempo e che hanno coinvolto diversi vettori d’attacco contemporaneamente, dall’invio di documenti PDF infetti, allo sfruttamento di vulnerabilità zero-day (cioè ancora ignote ai vendor), all’utilizzo di attacchi DDoS come diversivo. Anche in questo caso, Arbor ritiene che la visibilità e il rilevamento delle anomalie siano i fattori chiave nella risposta a questi attacchi“.
Ma quali sono, oggi, gli aspetti della sicurezza che vengono maggiormente trascurati in azienda e quali le difese da porre in essere?
Per Gioanola “gli aspetti della sicurezza trascurati sono ancora tanti, soprattutto per ciò che concerne il versante operativo: il 55% degli intervistati dichiara di non effettuare alcuna attività di simulazione di risposta a un attacco DDoS, col forte rischio di trovarsi impreparati nel momento del bisogno. Il problema fondamentale è la mancanza di una preparazione anche minima, senza la quale non è possibile difendersi. Emblematica in tal senso è la percentuale di quanti hanno indicato di non possedere al proprio interno alcun gruppo specializzato in sicurezza avente responsabilità formale della sicurezza DNS“.
L’esperto registra come anche non si percepisca in maniera netta la necessità di disporre di strumenti opportuni di visibilità che permettano di identificare le sorgenti e la natura dell’attacco: “per difendersi è essenziale cambiare la mentalità di quelle aziende che si pensano al sicuro dagli attacchi DDoS per il solo motivo di aver raddoppiato la propria banda Internet o perché possiedono un antivirus installato su tutte le postazioni. Questo non basta a garantire un buon livello di protezione. Le aziende devono considerare la sicurezza informatica come una funzione “core” da sviluppare internamente, e quindi selezionare con cautela consulenti, prodotti e servizi a cui affidarsi. Ad esempio noi di Arbor con Pravail NSI (Network Security Intelligence) forniamo gli strumenti per identificare le campagne di attacco e intrusione in corso, e a breve annunceremo ufficialmente Pravail SA (Security Analytics), la soluzione basata sulla recente acquisizione di Packetloop, una tecnologia innovativa di analisi di grandi quantità di dati della quale siamo particolarmente orgogliosi“.
Gli attacchi contro il layer applicativo sono sempre più la porta d’accesso per fare razzie di dati. Quali le misure migliori per evitare che una singola workstation possa fungere da testa di ponte per aggredire l’intera struttura aziendale?
Per rispondere alla nostra domanda, Gioanola ricorda innanzi tutto qualche dato: la percentuale di intervistati che ha registrato attacchi APT contro le proprie reti è salita dal 20% al 30% in un solo anno e tra i vari dati prodotti dal report è emblematico l’incremento dal 24% nel 2011 al 54% nel 2013 degli intervistati che hanno rilevato attacchi verso il servizio HTTPS. “Questi numeri ci dimostrano in modo tangibile la crescente sofisticazione dell’arsenale a disposizione di chi attacca e la fondamentale insufficienza delle soluzioni di sicurezza tradizionale. L’approccio alla sicurezza basato su signatures si è rilevato perdente perché non può che rincorrere i nuovi exploit sviluppati dagli attaccanti: oltre a rappresentare una soluzione di difficile gestione, è un grave errore pensare di essere al sicuro avendo semplicemente installato un agent software su ogni workstation o uno strumento di intrusion detection su ogni segmento di rete. Le soluzioni Arbor forniscono un’apprendimento intelligente delle baseline di comportamento normale della rete e dei singoli host e utenti, al fine di rilevare attività anomale effettuate su canali normalmente considerati “sicuri” o da user account con privilegi di amministratore“.
Quanto le politiche BYOD incidono sulla sicurezza aziendale? Quali sono i suoi consigli in merito?
“Per rispondere a questa domanda faccio riferimento a uno dei dati più sorprendenti emersi nel report di quest’anno: gli attacchi avanzati e persistenti (APT) e l’infezione da botnet sono in cima alla lista delle minacce percepite dagli intervistati, ciononostante quasi il 60% di questi ammette di non identificare o controllare in alcun modo gli apparati personali dei dipendenti utilizzati all’interno della rete aziendale o per accedere a dati o servizi critici“, ha spiegato l’esperto di Arbor. “Detto ciò, le politiche BYOD continuano a incidere molto sulla sicurezza aziendale e, premesso che impedire l’uso di apparati “non approvati” rimane del tutto illusorio, è necessario monitorare, rilevare accessi, comportamenti anomali e rivedere costantemente le proprie policy di sicurezza dei dati a fronte delle evidenze emerse“.
Quali le soluzioni più efficaci per difendersi dai sempre più frequenti – e ben orchestrati – attacchi DDoS?
“A fronte di attacchi sempre più frequenti e di dimensioni superiori ai 100Gbps“, osserva Gioanola, “risulta sempre più necessario che le aziende si accostino alla mitigation degli attacchi DDoS con un approccio multilivello; infatti gli attacchi di grandi dimensioni vanno sì contrastati attraverso i servizi forniti dagli ISP ma devono essere affiancati da soluzioni specifiche, presso la rete del cliente, per rilevare e bloccare in tempo reale gli attacchi allo strato applicativo“.
Può farci un quadro incentrato sulla situazione dell’Italia? Quali sono le aziende che avete sin qui posto sotto la lente? Quali i problemi più comuni?
Qui Gioanola esordisce evidenziando come il livello di consapevolezza in Italia in materia di sicurezza informatica rimanga ancora inferiore rispetto ad altri mercati, non soltanto di quelli tradizionalmente più avanzati come gli USA o il Nord Europa, ma anche rispetto ad esempio del mercato turco, dove gli ISP sono coinvolti ciclicamente in esercitazioni anti-DDoS. “Ciononostante, rispetto a qualche anno fa i maggiori Internet Service Provider italiani oggi hanno ben chiaro che gli attacchi DDoS sono un problema reale e hanno ormai approntato soluzioni per contrastarli, in alcuni casi offrendole come servizi a valore aggiunto ai propri clienti. A causa dell’elevata frequenza degli attacchi, stiamo registrando un incremento dell’interesse da parte delle aziende in maniera trasversale a tutti i mercati, dalle banche ai piccoli ecommerce, dall’industria alla pubblica amministrazione. Gli operatori di Internet data center costituiscono un segmento particolarmente attivo nella ricerca di soluzioni efficaci anti-DDoS in questo ultimo periodo. Purtroppo notiamo una generale difficoltà a far percepire al management il valore dell’implementazione di misure anti-DDoS per ottenere i fondi necessari: come spesso accaduto in passato, le spese in sicurezza informatica vengono erroneamente viste come un costo e non come un investimento; Arbor ritiene che la protezione anti-DDoS appartenga non solo al dominio delle soluzioni di sicurezza ma ancora di più a quello della protezione della disponibilità dei servizi e in quanto tale vada considerato come un tassello fondamentale della strategia Internet di ogni azienda“.