Minacce alla sicurezza come gli attacchi DDoS (Distributed Denial-of-Service) danneggiano le aziende di tutte le dimensioni, causando interruzioni e, peggio ancora, perdita di fiducia da parte degli utenti: Google Cloud ne è pienamente consapevole e ha messo in atto una serie di contromisure per proteggere le imprese.
Big G ha condiviso con gli utenti e le aziende i trend riguardanti le minacce DDoS che sta osservando e il modo in cui si prepara a bloccare tali attacchi, con metodi innovativi, per garantire l’affidabilità della piattaforma e far sì che i siti dei clienti rimangano operativi.
Con un attacco DDoS, spiega Google Cloud, un attacker spera di interrompere il servizio della sua vittima sommergendolo di traffico inutile. Benché questo attacco non esponga i dati degli utenti e non porti a compromettere il servizio, può però comportare un’interruzione e una perdita di fiducia da parte degli utenti, se non viene mitigato rapidamente.
Gli aggressori sviluppano costantemente nuove tecniche per interrompere i sistemi. Danno ai loro attacchi nomi fantasiosi, come Smurf, Tsunami, XMAS tree, HULK, Slowloris, cache bust, TCP amplification, javascript injection e una dozzina di varianti.
Chi si difende deve considerare ogni possibile bersaglio di un attacco DDoS, dal livello di rete (router/switch e funzionalità di collegamento) al livello dell’applicazione (web, DNS e server mail), sottolinea Google Cloud. Alcuni attacchi possono anche non concentrarsi su un obiettivo specifico, ma attaccare invece ogni IP di una rete. Moltiplicando le decine di tipi di attacco per la diverse infrastrutture che devono essere difese, si aprono infinite possibilità.
Per semplificare il problema in modo da renderlo gestibile, piuttosto che concentrarsi sui metodi di attacco Google raggruppa gli attacchi volumetrici in una manciata di metriche chiave:
- bps, network bits per second -> attacchi che prendono di mira i network link
- pps, network packets per second -> attacchi che prendono di mira apparecchiature di rete o server DNS
- rps, HTTP(S) requests per second -> attacchi che prendono di mira i server delle applicazioni
In questo modo, Google Cloud può concentrare gli sforzi per garantire che ogni sistema abbia una capacità sufficiente per resistere agli attacchi, come misurato dalle relative metriche.
Il task successivo di Google Cloud è quello di determinare la capacità necessaria per resistere ai maggiori attacchi DDoS per ogni metrica chiave. Ottenere questo risultato è un passo necessario per gestire in modo efficiente una rete affidabile: l’overprovisioning spreca risorse costose, mentre l’ underprovisioning può provocare interruzioni.
Per fare questo, Google Cloud ha analizzato centinaia di attacchi significativi ricevuti in relazione alle metriche elencate, inclusi report credibili condivisi da altri, e ha poi tracciato i maggiori attacchi visti nell’ultimo decennio per identificare le tendenze.
La crescita esponenziale in tutte le metriche è evidente e ha spesso generato titoli allarmistici al crescere del volume degli attacchi. Però, avvisa Google, bisogna tenere conto della crescita esponenziale della stessa Internet, che fornisce larghezza di banda e capacità di calcolo anche per la difesa da tali attacchi. Dopo aver tenuto conto della crescita prevista, i risultati sono meno preoccupanti, anche se ancora problematici, conclude Google.
Considerando i dati e le tendenze osservate, Google ha potuto estrapolare ciò che serve per determinare la capacità di riserva necessaria per assorbire i maggiori attacchi che potrebbero verificarsi.
bps (network bits per second)
L’infrastruttura di Google Cloud, ha sottolineato la società di Mountain View, ha assorbito un DDoS a 2,5 Tbps nel settembre 2017, il culmine di una campagna di sei mesi che ha utilizzato diversi metodi di attacco. Nonostante abbia preso di mira contemporaneamente migliaia di IP dell’azienda, presumibilmente nella speranza di superare le difese automatiche, l’attacco non ha avuto alcun impatto. L’aggressore ha utilizzato diverse reti per lo spoofing di 167 Mpps (milioni di pacchetti al secondo) verso 180.000 server CLDAP, DNS e SMTP esposti, che poi avrebbero inviato grandi risposte. Ciò dimostra i volumi che un aggressore con buone risorse può raggiungere: questo attacco è stato quattro volte più grande di quello da record di 623 Gbps della botnet Mirai dell’anno precedente e rimane l’attacco con la più alta larghezza di banda finora registrato.
pps (network packets per second)
Google ha osservato un trend di crescita costante, con un attacco di 690 Mpps generato quest’anno da una botnet IoT. Un notevole outlier è stato l’attacco del 2015 a una macchina virtuale di un cliente, in cui una botnet IoT è salita a 445 Mpps in 40 secondi, un volume talmente grande che inizialmente Google aveva pensato che si trattasse di un problema di monitoraggio.
rps (HTTP(S) requests per second)
Nel marzo 2014, un javascript nocivo iniettato in migliaia di siti web tramite un attacco di rete man-in-the-middle ha fatto sì che centinaia di migliaia di browser inondassero YouTube di richieste, raggiungendo un picco di 2,7 Mrps (milioni di richieste al secondo). Questo è stato il più grande attacco conosciuto fino a poco tempo fa, quando un cliente di Google Cloud è stato attaccato con 6 Mrps. La crescita lenta è diversa dalle altre metriche, il che suggerisce che il volume degli attacchi futuri potrebbe essere sottovalutato.
Anche se è possibile stimare una dimensione prevista degli attacchi futuri, evidenzia Google, bisogna essere preparati per l’imprevisto, e quindi sovradimensionare le difese di conseguenza. Inoltre, Google Cloud progetta i suoi sistemi in modo che si degradino in modo graduale in caso di sovraccarico e stila guide per istruire su una risposta manuale, se necessario.
La scala dei potenziali attacchi DDoS può essere scoraggiante, riconosce Google Cloud. Tuttavia, afferma altresì Big G, grazie all’implementazione di Google Cloud Armor integrato nel servizio di Cloud Load Balancing, che può scalare per assorbire massicci attacchi DDoS, è possibile proteggere i servizi distribuiti in Google Cloud, in altri cloud o on-premise dagli attacchi.
Google ha anche recentemente annunciato Cloud Armor Managed Protection, che consente agli utenti di semplificare ulteriormente le loro implementazioni, gestire i costi e ridurre il rischio complessivo per la sicurezza DDoS e delle applicazioni.
Avere una capacità sufficiente per assorbire i maggiori attacchi è solo una parte di una strategia di mitigazione DDoS completa. Oltre a fornire scalabilità, il load balancer di Google Cloud termina le connessioni di rete sull’edge globale, inviando solo richieste ben formate all’infrastruttura di backend. Di conseguenza, è in grado di filtrare automaticamente molti tipi di attacchi volumetrici. Ad esempio, gli attacchi UDP amplification, i synflood e alcuni attacchi application-layer vengono silenziosamente eliminati.
La successiva linea di difesa è la Cloud Armor WAF, che fornisce regole integrate per gli attacchi comuni, oltre alla possibilità di implementare regole personalizzate per eliminare le richieste abusive di livello applicativo utilizzando un ampio set di semantica HTTP.
Infine, Google collabora con terze parti e con la community di Internet per identificare e smantellare le infrastrutture utilizzate per condurre gli attacchi. Come esempio specifico portato da Mountain View, anche se l’attacco a 2,5 Tbps nel 2017 non ha causato alcun impatto, sono stati segnalati migliaia di server vulnerabili ai rispettivi provider di rete e Google ha anche lavorato con i provider stessi per rintracciare la fonte dei pacchetti spoofed in modo da poterli filtrare.
Affinché tutti diventino attori in questo sforzo contro gli attacchi, sottolinea Google, i singoli utenti dovrebbero assicurarsi che i loro computer e dispositivi IoT siano protetti dalle ultime patch e sicuri. Le aziende dovrebbero segnalare le attività criminali, chiedere ai loro provider di rete di rintracciare le fonti del traffico degli attacchi spoofed e condividere le informazioni sugli attacchi con la comunità Internet in modo tale da non fornire un feedback tempestivo all’avversario.
Secondo Google Cloud, solo collaborando tutti insieme è possibile ridurre l’impatto degli attacchi DDoS.