Support

Soluzioni per Protezione da DDoS

Solo con una difesa integrata a più livelli potrete difendere in maniera adeguata la vostra organizzazione dall'intera gamma degli attacchi DDoS.

Attacchi DDoS: Una introduzione, una spiegazione e le strategie per proteggersi


Cos’è un attacco DDoS?

Un attacco DDoS (Distributed Denial of Service) è un tentativo fatto da un malintenzionato di esaurire le risorse a disposizione di una rete, di una applicazione o di un servizio in modo che gli utenti autorizzati non possano ottenerne accesso. 

Fin dal 2010, e guidato in particolar modo dall’espansione dell’Hacktivism, abbiamo notato una recrudescenza degli attacchi DDoS che ha portato a innovazioni nel campo degli strumenti, degli obiettivi e delle tecniche.

Oggi, la tecnica DDoS si è evoluta in una serie di attacchi che prevedono grandi volumi di traffico, assieme a manovre più sottili e difficili da individuare che hanno come obiettivo applicazioni o strutture di sicurezza come firewall e IPS.

Quali sono le diverse tipologie di attacchi DDoS?

Gli attacchi DDoS variano in maniera significativa, e ci sono migliaia di modalità differenti con cui un attacco può essere condotto (i cosiddetti vettori di attacco), ma ognuno di questi metodi in generale rientra in una di queste tre grandi categorie:

Attacchi Volumetrici: Tentativi di consumare tutta la banda sia all’interno del network o del servizio bersaglio, o fra l’obiettivo e il resto di Internet. Questi attacchi causano semplicemente traffico eccessivo.

Attacchi per esaurimento dello stato TCP: Questi attacchi tentano di saturare le tabelle degli stati di connessione che sono presenti in parecchie componenti dell’infrastrutture come distributori di carico, i firewall e gli stessi server applicativi. Anche device ad alta capacità in grado di controllare lo stato di milioni di connessioni possono essere messi fuori gioco da questo tipo di attacchi.

Attacchi all’application layer: Questi hanno come obiettivo alcuni aspetti di un applicativo o di un servizio di Layer-7. Questo sono gli attacchi maggiormente letali visto che possono essere efficaci con poche macchine che generano un traffico molto basso, anche una sola macchina (questo rende gli attacchi molto difficili ad individuare e gestire in maniera proattiva). Questi attacchi sono avvenuti per la maggior parte negli ultimi tre o quattro anni e gli attacchi che congestionano semplicemente l’application layer (HTTP GET flood etc.) sono divenuti i più comuni attacchi DDoS registrati sul mercato.

Gli attacchi dell’ultimo periodo sono sofisticati e mescolano attacchi volumetrici, esaurimento di stato e application layer contro i device dell’infrastruttura in un singolo assalto prolungato. Questi attacchi sono molto popolari visto che è difficile difendersi e che spesso sono molto efficaci.

E non finisce qui. Secondo Frost & Sullivan, gli attacchi DDoS sono delle innovazioni “utilizzate in maniera crescente come tattiche diversive per attacchi mirati e persistenti.” Gli assalitori lanciano attacchi DDoS per distrarre il network e i team di sicurezza tentando nel contempo di inserire del malware nella rete con l’intento di rubare IP e/o informazioni critiche finanziarie o sulla clientela.

Perché gli attacchi DDoS sono così pericolosi?

Il DDoS è una minaccia importante per la continuità operativa. Man mano che le organizzazioni sono divenute più dipendenti da Internet e da applicativi basati sul web, essere connessi è divenuto essenziale come l’elettricità.

Il DDoS non è solo una minaccia per rivenditori, servizi finanziari e compagnie ludiche che hanno un bisogno ovvio di connettività. Gli attacchi DDoS colpiscono le applicazioni critiche sui cui la vostra organizzazione conta per gestire l’operatività giornaliera, come le email, la gestione della forza vendite, i CRM e molti altri. Inoltre, altre aziende, come quelle di produzione, quelle farmaceutiche e sanitarie, hanno sistemi web interni su cui vengono gestiti gli ordini e i rapporti con i partner nella operatività giornaliera. Tutti questi sono obiettivi dei sofisticati attaccanti di oggi.

Quali sono le conseguenze di un attacco DDoS riuscito?

Quando un sito o un’applicazione per il pubblico non è disponibile, questo può portare a scontento nella clientela, alla perdita di guadagni e a danni all’immagine. Quando le applicazione critiche per l’operatività divengono indisponibili, le operazioni e la produttività si fermano. Per i siti web interni su cui si basano i partner significa un’interruzione della catena di approvvigionamento e della produzione.

Un attacco DDoS riuscito significa che la vostra organizzazione attirerà ulteriori attacchi. Potrete aspettarvi che questi continuino fintanto che non avrete approntato difese più efficaci.

Quali sono le opzioni per proteggersi dai DDoS?

Data la natura di alto profilo degli attacchi DDoS, e delle loro conseguenze potenzialmente devastanti, molti fornitori di soluzioni per la sicurezza hanno iniziato a offrire sistemi di protezione dal DDoS. Con tutto questo peso sulla vostra decisione, diviene critico conoscere i punti di forza e le debolezze delle vostre scelte.

Soluzioni di infrastruttura esistenti (Firewall, Intrusion Detection/Sistemi di protezione, Controller di application delivery / Ripartitori di carico)

Device IPS, firewall e altri prodotti di sicurezza sono di fatto degli elementi di una strategia a più livelli, ma sono stati progettati per risolvere problemi di sicurezza che sono fondamentalmente diversi da quelli di prodotti dedicati all’individuazione ed alla attenuazione degli attacchi DDoS. Gli apparecchi IPS, per esempio, bloccano tentativi di accesso che possono causare il furto di dati. Nel frattempo un firewall applica le politiche di autorizzazione per impedire accessi non autorizzati ai dati. Mentre questi prodotti di sicurezza mantengono ” l’integrità e la riservatezza del network”, falliscono nel gestire un problema fondamentale negli attacchi DDoS—”l’operatività del network.” In più, strumenti IPS e firewall sono solide soluzione connesse il che significa che sono vulnerabili agli attacchi DDoS e spesso ne divengono  gli obiettivi essi stessi.

In maniera simile agli IDS/IPS e ai firewall, gli ADC e i ripartitori di traffico non hanno una visuale del traffico del network e non anno analisi integrate delle minacce e sono pure loro soggetti a attacchi per esaurimento dello stato. L’aumento delle minacce volumetriche a esaurimento degli stati, mescolate ad attacchi alle applicazioni rendono gli ADC e i ripartitori di carico una soluzione limitata e parziale per clienti che hanno bisogno di una protezione da DDoS di alto livello.

Network di fornitura contenuti (CDN)

La verità è che un CDN può gestire i sintomi di un attacco DDoS assorbendo semplicemente grandi quantità di dati. Lascia passare tutte le informazioni. Tutti sono benvenuti. Ci sono tre controindicazioni qui. La prima è che di deve essere una banda tale da assorbire questo intenso volume di traffico, e alcuni di questi attacchi volumetrici superano i 300 Gbps, e c’è un prezzo per questo tipo di capacità. In secondo luogo, ci sono maniere per superare i CDN. Non tutte le risorse o le pagine web hanno un CDN. Terzo, un CDN non protegge da un attacco ad una applicazione. Quindi lasciategli fare ciò per cui è progettato.

Qual’è l’approccio di Arbor alla protezione da DDoS?

Arbor ha protetto i network più estesi e cruciali nel mondo da attacchi DDoS da più di dieci anni. Arbor crede che la maniera migliore per proteggere le vostre risorse da moderni attacchi DDoS sia attraverso un utilizzo a molti livelli di soluzione costruite per attenuare gli effetti di un attacco DDoS.

Avrete bisogno di protezione nel Cloud per fermare gli attacchi volumetrici di oggi che superano i 300GB/sec. Avrete bisogno di protezioni locali contro attacchi a livello applicativo e contro i device della vostra infrastruttura come i firewall, gli IPS e gli ADC.

Solo con una difesa integrata a più livelli potrete difendere in maniera adeguata la vostra organizzazione dall’intera varietà degli attacchi DDoS.

I clienti Arbor hanno un considerevole vantaggio competitivo che unisce una visione dei loro network, attraverso i loro prodotti, combinata con una analisi del traffico dati globale attraverso la nostra infrastruttura di intelligence ATLAS.  Questa è una potente combinazione di risorse di network security che oggi non ha eguali. Da questo unico punto di vista, il team di ricerca di Arbor è posizionato nel modo migliore per fornire informazioni su DDoS, malware e botnet che minacciano le infrastrutture e l’operatività di Internet.