Linea di difesa contro gli attacchi DDoS
Solo poche aziende reagiscono adeguatamente al crescente pericolo degli attacchi DDoS. NTT Com Security elenca le varianti di attacco tipiche e le relative contromisure.
Governi, autorità, fornitori di negozi online, banche e molte altre aziende sono già state vittime di attacchi DDoS. Molti hanno dovuto pagare un prezzo elevato, ad esempio con il crash del proprio sito web o l'interruzione delle operazioni del data center; alcuni hanno addirittura chiesto un riscatto perché ricattati dagli aggressori, come ad esempio NTT Com Sicurezza scrive. Non ci si può aspettare un miglioramento, perché la portata e il tipo di attacchi DDoS aumenteranno.
Tre tipi di attacchi, tre livelli di protezione
In generale, NTT Com Security distingue tre tipi fondamentali di attacchi DDoS. Questi includono, in primo luogo, i classici attacchi ad alto volume che inondano le linee Internet delle vittime; in secondo luogo, i crescenti attacchi ai componenti dell'infrastruttura, come il sovraccarico dei firewall o dei server; in terzo luogo, gli attacchi focalizzati sulle applicazioni che possono avvenire all'interno di una connessione crittografata e disconnettere la connessione ai server delle applicazioni.
In base a questi attacchi, anche i tipi di difesa sono diversi. La società di sicurezza raccomanda una protezione a tre livelli:
1. difesa dagli attacchi ad alto volume: In questo caso, la protezione è possibile solo tramite provider in grado di fornire un'ampia larghezza di banda o centri di scrubbing. Le CDN (Content Delivery Network) spesso non sono più sufficienti, visto l'elevato volume di attacchi DDoS; i centri di scrubbing, offerti anche da NTT, rappresentano un ulteriore livello di protezione e sono collocati a monte dei sistemi delle aziende. Si tratta di una sorta di centro di pulizia che è predisposto per volumi di dati estremi, analizza il traffico e filtra i diversi tipi di attacchi.
2. difesa dagli attacchi alle infrastrutture: In linea di principio, questo tipo di attacco può essere intercettato anche con centri di scrubbing. Tuttavia, se non si raggiunge il numero di connessioni al di sotto del quale un centro di scrubbing diventa attivo, l'uso di firewall DDoS-aware è più adatto. Sono in grado di elaborare un numero significativamente maggiore di connessioni rispetto ai firewall classici e quindi di intercettare gli attacchi corrispondenti.
3. difesa dagli attacchi incentrati sulle applicazioni: Lo strumento da scegliere in questo caso si chiama WAF, ovvero Web Application Firewall. A differenza dei firewall classici, i WAF esaminano la comunicazione specifica dell'applicazione e sono quindi in grado di rilevare gli attacchi che hanno come obiettivo l'applicazione.
Approccio graduale
Se un'azienda si occupa della difesa da possibili attacchi DDoS, deve procedere in più fasi:
1. analisi dell'inventario: La prima misura consiste nel verificare se esistono già sistemi che possono essere utilizzati per la protezione e come integrarli al meglio per garantire la migliore difesa DDoS possibile. I WAF, ad esempio, non sono molto diffusi nelle aziende, mentre è molto rara la protezione fornita dai centri di scrubbing.
2. monitoraggio: Spesso le aziende non sanno di essere sotto attacco. Il firewall registra tutte le connessioni, ma l'elevato numero di voci rende difficilmente possibile il monitoraggio a questo punto, almeno manualmente. Gli strumenti di monitoraggio delle prestazioni sono più adatti, ma di solito vengono interrogati troppo raramente per avere un'idea dello stato effettivo dell'infrastruttura. Vengono regolarmente eseguiti anche attacchi DDoS di ampia portata per distrarre dall'intrusione vera e propria con pochi pacchetti, ad esempio su un server. Per rilevare tali attacchi è necessario un sistema SIEM ben sviluppato.
3. processo di risposta: Cosa fare quando si verifica un attacco? Un'azienda deve preparare le rispettive misure per essere in grado di reagire in modo rapido e adeguato. Già alla prima prova degli attaccanti DDoS, un'azienda dovrebbe essere in grado di passare alla modalità di emergenza e attivare immediatamente un servizio di scrubbing, ad esempio.
Spostamento dell'attenzione
"Il DDoS è solitamente associato agli attacchi ai server web, ma gli operatori di server web sono ora molto ben equipaggiati per contrastarli", spiega Tom Hager di NTT Com Security. "Tuttavia, gli attacchi alle infrastrutture aziendali sono molto più gravi e probabilmente aumenteranno in futuro perché le aziende sono molto meno protette. Se il sistema logistico o di ordinazione crolla e non c'è più comunicazione o collegamento con i partner, l'azienda può bloccarsi. È quindi essenziale una preparazione adeguata".