Uno dei rischi maggiori, quando si parla di sicurezza, è dare per scontato di aver messo in atto tutte le contromisure possibili per garantire all’azienda e ai suoi dati il massimo livello di protezione.
Eppure, mai come oggi, in uno scenario sempre più dinamico, basterebbero le cronache dei giornali per far sorgere il dubbio: gli attacchi DDoS si moltiplicano ed è evidente che le tecniche di protezione DDoS adottate qualche anno fa non siano più adeguate.
Ivan Straniero, territory manager south-east and Eastern Europe di Arbor Networks, è convinto che sia arrivato il momento di sgomberare il campo da alcuni equivoci di fondo.
“Credo che sia possibile riassumere in cinque punti essenziali gli equivoci nei quali più comunemente si cade quando si parla di protezione DDoS – sostiene – a partire dal fatto che firewall, Ips e Cdn siano di per sé la risposta”.
In realtà, spiega Straniero, l’evoluzione delle infrastrutture IT e la dipendenza da cloud di terze parti hanno dato vita a un ambiente complesso che non possiede più un perimetro definito. Le tradizionali soluzioni per la sicurezza “perimetrale” continuano a rappresentare un elemento essenziale di una strategia di sicurezza integrata; tuttavia, si sottovaluta il fatto che, dal momento che questi stessi dispositivi ispezionano il traffico delle connessioni di rete, diventano essi stessi bersaglio di attacchi DDoS.
“Per quanto riguarda invece le CDN, ovvero le Content Delivery Network, anche in questo caso non siamo di fronte a una risposta sufficiente: una CDN affronta semplicemente i sintomi di un attacco DDoS, ma lascia comunque passare le informazioni all’interno della rete con un approccio all’insegna del nessuno escluso”.
Non solo.
In genere le soluzioni basate su CDN rispondono ad attacchi DDoS HTTP/HTTPS ignorando tutti gli altri, ad esempio quelli NTP/DNS, pur molto comuni.
Il secondo equivoco citato da Straniero è che sia sufficiente un unico strato di protezione DDoS. “In realtà, gli
attuali attacchi DDoS sfruttano una combinazione dinamica di vettori d’attacco, volumetrici, a esaurimento di stato TCP e diretti contro il layer applicativo: meglio adottare un approccio stratificato alla protezione. Si parte al cloud del provider, di fatto il luogo migliore per bloccare i grandi attacchi, prima che riescano a saturare la connettività Internet locale o i sistemi di protezione DDoS on-premises, e si arriva direttamente sul cliente, ovvero dove risiedono le applicazioni o i servizi chiave, che è il punto migliore per fermare gli attacchi diretti contro il layer applicativo”. Va da sé che i due layer debbano comunicare, per poter neutralizzare gli attacchi DDoS dinamici multivettore.
Il terzo equivoco è illudersi che tutto sommato si possa correre il rischio, tanto difficilmente si diventa obiettivo. “In realtà oggi lanciare un attacco DDoS non solo è facile, ma anche economico. E i motivi per farlo possono essere molteplici. Solo che se per l’attaccante il costo è minimo, per l’attaccato il rischio economico può essere davvero rilevante. E contare sulla sola fortuna potrebbe non essere saggio.
“Ed è qui che arriviamo all’ulteriore equivoco: pensare che il costo della protezione sia in fondo superiore al reale impatto di un attacco DDoS. Se ci si ferma alla sola valutazione del costo del fermo operativo, il ragionamento potrebbe trovare un qualche fondamento, ma poi si arriva ai costi associati: i crediti Sla, i costi
legali/regolamentari, i costi PR per i danni alla reputazione del brand, la perdita di clienti”.
Senza contare che per il manager che non riesce a proteggere adeguatamente l’azienda per la quale lavora rischia seriamente.
L’ultimo equivoco è di natura “ideologica”.
“Generalmente si pensa che gli attacchi DDoS non devono essere considerati attacchi avanzati e tecnicamente parlando è vero”.
Tuttavia, prosegue Straniero, è vero che esiste uno stretto rapporto con le campagne di minacce avanzate: gli attacchi DDoS sono funzionali nelle fasi di ricognizione iniziale per mettere alla prova la capacità di un’azienda di rispondere a determinate minacce, nelle fasi di consegna del malware, nelle fasi di estrazione dei dati. “L’errore dunque è non domandarsi se un attacco DDoS sia un evento isolato o faccia parte di una campagna di minacce più avanzate”.
Per questo e per tutti i motivi sopra elencati è importante avvalersi di un’intelligence globale capace di rilevare preventivamente i segnali di una possibile violazione prima che possa avere conseguenze sull’azienda e occorre proteggere costantemente la propria azienda attraverso un approccio multistrato integrato alla difesa DDoS.