Le indicazioni di Ivan Straniero di Arbor Networks portano a un approccio completo, multilivello.
Le minacce alla sicurezza si evolvono in maniera costante e per la maggior parte delle aziende riuscire a restare al passo con uno scenario che muta in continuazione rappresenta una sfida senza fine. Tuttavia, questo aspetto sta assumendo un’importanza crescente per gli operatori di Internet datacenter sempre più bersagliati da ogni tipologia di cyber-attacco, primo tra tutti quello di tipo DDoS (Distributed Denial of Service).
Ce lo spiega bene Ivan Straniero, Territory Manager di Arbor Networks.
Negli ultimi dieci anni, osserva, i DDoS sono aumentati per dimensioni, complessità e frequenza, e oggi sono moltissime le realtà che sono costrette a subirli.
Non necessariamente si tratta di organizzazioni aventi legami politici o che svolgono attività di alto profilo: qualunque azienda che utilizzi Internet per vendere prodotti, offrire servizi o accedere a dati e applicazioni basate su cloud, ovvero la gran parte delle realtà operanti nei settori più diversi, a prescindere dalle dimensioni, può diventare un bersaglio per via della sua attività, delle partnership che possiede o dell’affiliazione reale o percepita.
Le motivazioni che generano un attacco DDoS sono ormai sensibilmente diversificate: hacktivismo ideologico, estorsione, mascheramento di altri tipi di cyber-crimine, vandalismo, arma competitiva ecc. Il moltiplicarsi delle ragioni che risiedono alla base di un attacco determina un incremento dei rischi per le aziende.
L’ultimo studio Worldwide Infrastructure Security Report di Arbor Networks pubblicato a gennaio, ricorda Straniereo, fornisce una serie di indicazioni e valutazioni sulle minacce e sulle modalità utili per gestirle e affrontarle.
Il Wisr si basa su dati raccolti con cadenza annuale presso gli operatori specializzati in sicurezza mettendo insieme le osservazioni, le esperienze e le priorità dei professionisti di tutto il mondo.
L’ultima edizione ha evidenziato che il 94% degli operatori di Internet datacenter subisce attacchi DDoS regolarmente.
Perché è un problema tanto serio?
I datacenter Internet, spiega Straniero, rappresentano un obiettivo di grande interesse, fatto che trova corrispondenza nei dati raccolti dal sondaggio: è aumentata sensibilmente infatti la proporzione di intervistati che riferisce attacchi alla propria infrastruttura di datacenter (dal 33% al 61%) e all’infrastruttura dei servizi di supporto (Dns, dal 16% al 42%); resta poi molto alto il valore relativo agli intervistati che riferiscono di attacchi diretti contro i clienti dei datacenter.
Vista l’aumentata frequenza delle minacce, gli operatori di datacenter si trovano costretti a impegnare notevoli risorse per fare fronte a questo problema, con costi che possono essere considerevoli.
L’88% di gestori di datacenter che hanno partecipato allo studio Wisr ha registrato nel 2012 un incremento delle spese operative dovute agli attacchi DDoS, con il 31% di essi messo alla prova anche dalla perdita di clientela, fatto che qualsiasi service provider cerca di evitare.
Le minacce DDoS colpiscono la disponibilità del servizio: il cliente che non riesce ad accedere ai propri dati e alle proprie applicazioni subisce un danno in termini di continuità del business.
L’infrastruttura del datacenter è il bersaglio maggiormente colpito; essa è spesso condivisa fra più clienti, a significare che un attacco diretto contro uno di essi può produrre un impatto su molti altri.
Dal punto di vista del cliente cresce il bisogno di considerare non solo il rischio personale ma anche quello delle altre aziende presenti nel medesimo datacenter.
Di conseguenza i clienti si affidano sempre di più a service provider i cui datacenter implementano soluzioni e servizi di protezione da DDoS.
Come ci si protegge da questi attacchi?
Le preoccupazioni in tema di sicurezza riguardanti i servizi cloud-based e i datacenter condivisi sono oggi più che mai lecite, illustra Straniero, soprattutto alla luce delle normative che regolano la tutela dei dati e degli obblighi di auditing a livello di aziende e pubbliche amministrazioni.
Chi gestisce un datacenter deve pertanto garantire una protezione adeguata della disponibilità dei servizi Internet, e della sicurezza dei dati e delle applicazioni dei clienti presenti all’interno del datacenter stesso.
Con questa consapevolezza gli operatori devono possedere una conoscenza più approfondita della superficie di attacco cui sono esposti in quanto alcune minacce, come gli attacchi DDoS, richiedono un approccio alla sicurezza differente.
Il Wirs rivela una sostanziale crescita delle percentuali di intervistati che utilizzano i firewall come difesa. Se è vero che questa soluzione può fornire una tutela contro gli attacchi DDoS, è altrettanto vero che si tratta di un intervento parziale che non permette invece di gestire attacchi più sofisticati diretti contro il layer applicativo.
A complicare ulteriormente il quadro, possono diventare bersaglio diretto o indiretto di attacchi a esaurimento di stato: lo scorso anno il 35% dei service provider ha infatti registrato il fallimento dei firewall a causa di attacchi DDoS.
È necessario adottare un approccio più completo scegliendo soluzioni in-cloud e on-premise per la mitigazione degli attacchi DDoS.
La protezione in-cloud è utile per fare fronte ad elevati volumi di flood che saturano la connettività del datacenter.
La protezione on-premise permette di rilevare e bloccare proattivamente anche attacchi a esaurimento di stato o diretti contro il livello applicativo.
Il rafforzamento di un approccio multilivello trova conferma anche in un altro dato emerso dallo studio: l’aumento dal 32% del 2011 al 46% del 2012 di coloro che hanno registrato attacchi DDoS multi-vettore, ovvero quelli che comprendono sia vettori di attacco volumetrico mirati a causare congestione sulla rete e sui link, sia attacchi sul layer applicativo diretti contro i servizi.
La protezione DDoS multilivello consente ai datacenter di tutelare la disponibilità dei servizi offerti. Oggi chiunque può sferrare un attacco DDoS sofisticato semplicemente affittando una botnet o scaricando gratuitamente appositi tool liberamente disponibili su Internet.
Una protezione adeguata permette di garantire la disponibilità dei servizi del datacenter e di minimizzare i costi operativi derivanti dalla gestione degli attacchi – evitando il malcontento dei clienti e il loro conseguente abbandono.