Come mettersi al sicuro dagli impedimenti massivi alla disponibilità della rete. Il ruolo della tecnica di anomaly detection
Uno dei pericoli maggiori che viaggiano su Internet si chiama DdoS (Distributed
Denial of Service). Si tratta di un attacco che agisce sovraccaricando una rete
di traffico che di per sé non è dannoso, ma che finisce con intasare
le linee fino al punto di bloccare il servizio. Da una ricerca effettuata presso
55 operatori di Tlc da Arbor Networks (vendor statunitense che dal 2000 propone
una soluzione in grado di bloccare questo tipo di attacchi), emerge che gli
Isp di tutto il mondo sono impegnati a difendersi da queste minacce, che diventano
sempre più insidiose sia per numero (la media, secondo il sondaggio,
è di 40 attacchi al mese), sia per entità: si raggiungono, infatti,
flussi di traffico di 10-20 Gbps, quantità di dati che neanche le dorsali
più capienti dei provider sono in grado di assorbire.
Difficile anche capire da dove arriva il traffico, perché la fonte non
è una sola, bensì un insieme di computer compromessi allo scopo,
chiamato botnet. Queste macchine, che possono essere centinaia di migliaia,
simultaneamente inviano verso il bersaglio false richieste (per esempio verso
un server Dns, il dispositivo che traduce i nomi dei domini di Internet nel
corrispondente indirizzo Ip, o verso un singolo utente) oppure messaggi spam.
«La sfida del futuro per i service provider – sostiene Gerard
Schmid, Sales manager C&Eeme (Central & Eastern Europe, Middle East)
di Arbor – è adottare il giusto comportamento verso i pc infetti.
Non è possibile semplicemente staccare il servizio ai clienti oggetto
di attacco, isolando l’indirizzo Ip compromesso, e neanche chiedere al
cliente di pulire il pc infetto, perché non è in grado di farlo.
Ci sono anche aspetti legali, poiché non è sempre possibile monitorare
il traffico di un cliente. È necessario mitigare l’attacco agendo
all’interno della rete dell’operatore. Il cliente può proteggersi
con i firewall e gli Ips, che bloccano il traffico all’entrata, ma rimane
comunque senza servizio. È il provider che deve intervenire».
La soluzione Peakflow di Arbor fa proprio questo, attraverso una tecnica di
anomaly detection, che rileva le anomalie del traffico rispetto a un comportamento
“normale” della rete, che viene memorizzato dal sistema attraverso
un processo di apprendimento automatico. In questo modo, analizzando il traffico
si riesce, per esempio, a capire se c’è un attacco al Dns in corso,
malgrado i singoli pacchetti siano “valide” richieste di indirizzi
Ip.
Inoltre, Arbor ha creato una sorta di osservatorio di Internet, un gruppo di
esperti che agisce da collettore degli allarmi che si generano nelle reti dei
diversi provider. In pratica, quando un attacco viene rilevato, subito l’informazione
arriva all’osservatorio che ne informa gli altri provider coinvolti, che
possono intervenire. La soluzione Arbor è oggi implementata da un centinaio
di provider, tra cui Telecom Italia, Colt e British Telecom. Nel nostro paese,
in particolare, è attiva da un paio d’anni un’alleanza con
Italtel, che ha realizzato un’integrazione fra la piattaforma Peakflow
e la piattaforma Cisco Guard adottata con successo, a detta di Schmid, da un
buon numero di operatori italiani ed europei. L’azienda propone anche
una versione di Peakflow dedicata alle imprese, che traggono beneficio soprattutto
dalla innovativa tecnica di anomaly detection, che consente di avere una visibilità
completa della rete, fornendo informazioni utili per la protezione. In Italia,
la versione enterprise dell’appliance Peakflow è commercializzata
da Iss, grazie a un accordo Oem.
Secondo Schmid, Gartner prevede una forte crescita per questi dispositivi, che
vengono definiti Nba (Network behaviour and analysis): colmano il gap fra le
soluzioni perimetrali e quelle basate sulle signature.