Gli aggressori informatici hanno concentrato i loro sforzi sulla complessità. Per realizzare gli obiettivi prefissi i criminali informatici hanno sempre più sfruttato la possibilità di trasformare i dispositivi IoT in potenti armi, ricorrendo in minor misura ai grandi volumi di attacco.
È quanto affermano i responsabili di Netscout Systems spiegando come le aziende siano chiamate a rispondere a sfide sempre più complesse nel campo della sicurezza informatica.
Lo sfruttamento dei dispositivi IoT e le innovazioni introdotte dai servizi che consentono di lanciare attacchi DDoS (Distributed Denial of Service) stanno favorendo attacchi sempre più frequenti e complessi. Basti pensare che, sempre secondo Netscout – che ha appena pubblicato il consueto Arbor Worldwide Infrastructure Security Report – il 57% delle aziende e il 45% degli operatori di data center ha subito la saturazione della propria banda Internet a causa di attacchi DDoS.
Oltre che per dimensioni nel 2017 gli attacchi sono cresciuti per frequenza e complessità: lo scorso anno l’infrastruttura ATLAS di Netscout Arbor, che scandaglia un terzo circa del traffico Internet globale, ha registrato 7,5 milioni di attacchi DDoS. I service provider intervistati hanno dichiarato di aver subito maggiori attacchi volumetrici, mentre le aziende hanno riferito un incremento del 30% degli attacchi furtivi sferrati a livello delle applicazioni.
Inoltre, il 59% dei service provider e il 48% delle aziende ha subìto attacchi multivettore, con un aumento del 20% rispetto all’anno precedente.
Gli attacchi multivettore riuniscono in una singola offensiva, prolungata nel tempo, flood ad alto volume, attacchi mirati alle applicazioni e attacchi di tipo TCP-state exhaustion, rendendo sempre più complessa la mitigazione e incrementando le probabilità di successo dell’attacco.
Come difendere le imprese dagli attacchi informatici più evoluti
Il problema di oggi è che sempre più spesso le soluzioni tradizionali (firewall, IPS, antimalware,…) non sono sufficienti per individuare tempestivamente una nuova minaccia o quegli attacchi evoluti pensati per aggredire una singola realtà aziendale.
Spesso, dagli Stati Uniti, arrivano notizie circa la scoperta di advanced threat che sono stati utilizzati per accedere alle reti di grandi società e sottrarre imponenti quantitativi di dati. Dall’Italia, come da altri Paesi, queste notizie non giungono mai. E ciò non perché, evidentemente, si utilizzino strumenti di sicurezza più efficaci ma semplicemente perché non v’è la consapevolezza delle modalità di azione usate dalle nuove minacce ed esse generalmente sfuggono ai controlli più classici.
Sul tema abbiamo intervistato Marco Gioanola, Senior CE, Cloud Services Architect di Netscout Arbor.
Come le aziende possono difendersi concretamente dagli attacchi DoS e cos’è (e perché è necessario) un approccio multilivello?
Pare ormai chiaro che essere vittime di un attacco DDoS è sempre più frequente. Nel report di quest’anno abbiamo riscontrato che il 57% delle aziende intervistate ha subito la saturazione della propria banda Internet a causa di attacchi DDoS. Di fronte a un panorama simile – caratterizzato da minacce di livello avanzato – la best-practice prevede una difesa stratificata, che coinvolga – quindi – più livelli. Le tre componenti della strategia multi-livello sono: apparati dedicati specificamente alla protezione anti-DDoS installati sul perimetro della propria rete, per difendere non solo i server e la rete stessa, ma anche gli altri apparati di sicurezza, come IPS e Firewall, che costituiscono spesso un collo di bottiglia in caso di attacco; un servizio di protezione anti-DDoS fornito dall’Internet Service Provider, in grado di bloccare gli attacchi più grandi prima che questi raggiungano la rete di destinazione intasando la connettività a monte; un servizio anti-DDoS cloud in grado sia di bloccare attacchi di dimensioni record che di unificare sotto un unico ombrello di protezione tutti gli asset aziendali, ovunque essi siano, anche quando collegati a Internet tramite più di un ISP.
Quando si parla di DDoS, bisogna prima di tutto identificare con chiarezza il tipo di minaccia, la sua frequenza e la sua complessità. Solo allora sarà possibile misurare o valutare chiaramente i rischi associati agli attacchi DDoS. Si parte, quindi, dalla rilevazione. Senza un’adeguata velocità di individuazione degli attacchi non è possibile avviare un rapido programma di mitigazione. Essenziale è, poi, l’automazione perché ottimizza l’utilizzo del personale dei Security Operation Center e incide sensibilmente sulla velocità di risposta, pur non dimenticando che il fattore umano ha comunque un ruolo determinante.
Quali sono le soluzioni Arbor, su cosa vanno ad agire e in che cosa differiscono dalla concorrenza?
Per tutto ciò che riguarda la prevenzione, una delle soluzioni più innovative di Netscout Arbor è legata alla Dynamic Threat Intelligence. Arbor, infatti, si differenzia dai suoi concorrenti in quanto dispone della piattaforma più estesa al mondo per la raccolta di informazioni sulle minacce informatiche: si chiama ATLAS (Active Threat Level Analysis System) e fornisce una visibilità in tempo quasi reale sulle attività di minaccia globali presenti su Internet. Oltre a raccogliere e analizzare i dati, il team che lo gestisce si occupa anche di selezionare e rendere operative le informazioni acquisite sulle minacce informatiche, trasformandole in policy e modelli di contromisure che vengono poi forniti direttamente ai sistemi di mitigazione DDoS intelligenti APS e SP/TMS di Arbor attraverso il canale ATLAS Intelligence Feed.
Per essere, invece, protetti contro gli attacchi DDoS di tipo ibrido o stratificato, Netscout Arbor propone il cloud signaling, che permette la comunicazione tra le funzioni di mitigazione on-premise e in cloud. Con questa soluzione le aziende possono avere a disposizione un servizio di difesa scalabile e adattabile ad attacchi di vario tipo e grandezza. Gli strumenti di protezione on-premise (Arbor APS e Arbor TMS) riescono a identificare e mitigare immediatamente la maggior parte degli attacchi che colpiscono tipicamente i firewall, i sistemi IPS e i dispositivi che gestiscono il perimetro di rete, mentre in caso di attacchi volumetrici su grande scala il cloud signaling si occupa di ingaggiare automaticamente il servizio Arbor Cloud o le protezioni fornite dall’ISP del cliente. Arbor offre un portfolio completo a sostegno di questo approccio ibrido.
Come Arbor suggerisce di “illuminare” gli “angoli bui” della rete aziendale? Quali sono gli strumenti e gli approcci che possono essere utilizzati nei confronti degli advanced threat?
Fare parte di Netscout è un grande vantaggio per Arbor, in quanto Netscout è leader nel mercato della service assurance, cioè della visibilità pervasiva nelle più grandi reti aziendali. Mentre le soluzioni anti-DDoS Arbor si occupano tradizionalmente di proteggere il perimetro della rete, l’integrazione con le soluzioni Netscout ci permette di esaminare ogni area della rete alla ricerca di intrusioni informatiche o anche solo di anomalie di traffico che possono preludere a un attacco.
Come garantire la sicurezza dell’infrastruttura aziendale affiancando agli strumenti tradizionali (firewall/IPS) meccanismi che offrano piena visibilità sugli eventi e il flusso dei dati all’interno del network?
I dispositivi IPS e i firewall sono elementi essenziali di una strategia di difesa stratificata, ma sono concepiti per risolvere problemi di sicurezza fondamentalmente diversi da quelli affrontati dalle soluzioni specifiche per la rilevazione e mitigazione degli attacchi DDoS. I dispositivi IPS, ad esempio, bloccano i tentativi di assalto all’origine dei furti di dati. I firewall svolgono un’azione di controllo per impedire l’accesso non autorizzato ai dati. Tuttavia, essendo progettate per tutelare l’integrità e la riservatezza dei dati, queste soluzioni non affrontano il principale bersaglio degli attacchi DDoS, ovvero la disponibilità della rete e delle applicazioni. Per questo risulta necessario affidarsi a dalle soluzioni IDMS, ossia di Intelligent DDoS Mitigation, che sono stateless, cioè non necessitano di tracciare lo stato di tutte le connessioni, e offrono una protezione immediata contro la maggior parte delle tipologie di attacco e consentono differenti configurazioni in base al tipo di applicazione protetta.