La versione più aggiornata del NETSCOUT Threat Intelligence Report ha analizzato l’evoluzione degli attacchi DDoS nell’ultimo biennio arrivando alla seguente conclusione: sebbene questi siano diminuiti, quindi un dato molto confortante, è la loro capacità ad essere incredibilmente cresciuta. Come si legge nel comunicato stampa, si stanno moltiplicando per grandezza e riescono spesso a superare ampiamente i livelli di capacità difensiva considerati sicuri dai service provider. Questo avviene perché gli attacchi DDoS sono ormai entrati nell’era del terabit.
Di terabit si era parlato per la prima volta nell’ottobre del 2016 quando il provider DNS statunitense Dyn fu travolto da un flusso di dati “spazzatura” stimato tra i 700Gbps ed 1tbps. L’evento suscitò apprensione tra gli addetti ai lavori, si trattava del più voluminoso attacco mai lanciato dopo quello di un mese prima indirizzato al blog di Brian Krebs, ma fu in grado di attirare anche l’attenzione dei media generalisti in quanto la sortita degli hacker rese praticamente irraggiungibili, per diverse ore, i portali di celebri compagnie come Amazon, AirBnB, Facebook, Twitter e molte altre.
L’ATLAS Security Engineering and Response Team Netscout ha tuttavia notato che il muro del terabit non rappresenta più un’eccezione ma può essere agevolmente superato nella prima metà del 2018:
le dimensioni massime degli attacchi DDoS sono aumentate del 174% […] rispetto allo stesso periodo dell’anno precedente. Infatti, nel febbraio 2018 un grande service provider nordamericano ha subito il maggiore attacco mai registrato, con un volume di ben 1,7 Tbps. Fortunatamente, la corretta progettazione e distribuzione dell’architettura del cliente, la sua capacità di risposta agli incidenti e la soluzione Arbor multistrato adottata contro gli attacchi DDoS hanno permesso di mitigare al meglio l’attacco, senza alcuna interruzione dell’attività. Ciononostante, questo attacco non fa che confermare una nuova realtà: le difese concepite per contrastare gli attacchi compresi nella fascia dei 300 Gbps sono ormai inadeguate e anche un’infrastruttura con capacità difensiva di 1 terabit non è esente da rischi.
Attacchi DDoS: dall’Internet delle Cose a Memcached
Il record di 1,7 Tbps, spiega NETSCOUT, è stato raggiunto sfruttando una falla del pacchetto software Memcached, popolare soluzione open source utilizzata dalle infrastrutture dei servizi cache e nelle reti aziendali allo scopo di incrementare la larghezza di banda. Gli hacker si sono semplicemente avvalsi delle risorse aggiuntive per lanciare un attacco fuori scala contro le stesse infrastrutture che se ne avvantaggiavano.
Nel caso del provider Dyn i criminali si erano affidati invece a Mirai (un malware) e ad una botnet costituita da migliaia di telecamere intelligenti, ma dalle misure di sicurezza elementari, travolgendo il bersaglio con un’ondata di dati spazzatura: nell’anno successivo l’attenzione per la situazione critica degli standard di sicurezza in ambito IoT era salita notevolmente, così come si erano moltiplicate le notizie circa svariate e pericolose botnet IoT, ma a distanza di due anni il trend sembra essersi ridimensionato.
La vicenda Memcached, prosegue il report, suggerisce che da ora in avanti questa metodologia di attacco sarà probabilmente molto popolare:
si può ragionevolmente ipotizzare che questo attacco sarà presto seguito da altri. I team di sicurezza dovrebbero pertanto prepararsi ad affrontare altri attacchi di impianto analogo. Del resto, man mano che gli strumenti vengono affinati ed emergono nuovi vettori di attacco, per i criminali informatici è sempre più facile ed economico lanciare attacchi più estesi ed efficaci.
Naturalmente attacchi di tale portata non andranno mai a colpire piccole e medie imprese, alle quali basterà appoggiarsi ad una classica soluzione on premise (virtuale o fisica) per gestire i più comuni attacchi a bassa intensità. Per realtà più grandi e con numerosi workload mission critical si dovrà invece ricorrere ad un approccio ibrido (on premise e cloud), il solo in grado di mitigare attacchi di tale portata:
ora che le capacità degli aggressori hanno superato la soglia del terabit, è essenziale disporre di un componente basato su cloud capace di mitigare anche attacchi su larghissima scala. Il vantaggio dell’approccio ibrido consiste nella possibilità di utilizzare le difese basate su cloud come una sorta di riserva (diversamente dalle soluzioni “always on”), da attivare istantaneamente nel momento in cui il componente on-premise rilevi un attacco di grandi dimensioni.
Le soluzioni hardware e software contro gli attacchi DDoS risultano ancora più efficaci se sono supportate dalle informazioni sulle minacce globali. Con l’ausilio di questi dati e dell’analisi condotta da un valido team di ricerca, le misure contro le minacce note ed emergenti possono essere integrate direttamente nei prodotti di mitigazione.
Fonte: da “L’era del Terabit: soluzioni di difesa contro attacchi DDoS sempre più imponenti” a cura di Ivan Straniero (Regional Manager Central & Southern Europe di NETSCOUT Arbor).
