Nelle scorse settimane abbiamo assistito a un attacco DDoS (Distributed Denial-of-Service) senza precedenti, che ha preso di mira siti di estrema rilevanza quali Twitter, Pinterest, Amazon e Paypal solo per citarne alcuni. Concretamente non sono stati i siti ad essere colpiti bensì l’infrastruttura di Dyn, importante DNS provider che veicola verso i server dei website appena menzionati il traffico proveniente dagli utenti. La tecnica utilizzata dagli hacker ha previsto l’utilizzo di una botnet denominata Mirai che tramite una rete di device IoT violati, ha creato una grande quantità di traffico “finto” per danneggiare e bloccare la produttività della rete e impedirne così il corretto funzionamento, compromettendo l’erogazione dei servizi da parte dei siti bersagliati.
=> Difesa proattiva contro i nuovi attacchi DDoS
Toolkit malevoli quali Mirai stanno semplificando la vita agli hacker, i quali ora possono sfruttare enormi volumi di device IoT compromessi per sferrare i propri attacchi. Abbiamo registrato il triplicarsi di questa tipologia di strumenti solo negli ultimi due anni. Per giunta, i toolkit di malware stanno diventando sempre più sofisticati in termini di automazione e scalabilità. Prevediamo uno sviluppo consistente di worm cross-platform che possono diffondersi sui device utilizzando diversi firmware e sistemi operativi.
Mirai si diffonde compromettendo dispositivi IoT vulnerabili come i DVR. Molti produttori IoT non sono stati in grado di proteggere tali device in modo appropriato, e per di più questi ultimi non dispongono della memoria e della capacità di elaborazione necessarie per essere aggiornati. Non controllano nemmeno la destinazione del loro traffico in uscita, per cui se queste informazioni vengono modificate o peggio ancora compromesse, non c’è nulla che possano fare per porvi rimedio. Su tali dispositivi un eventuale attacco non può quindi essere bloccato in uscita. A tal fine, è fondamentale dotarsi di una soluzione di network segmentation, anche se occorre tenere bene a mente che la protezione contro attacchi DDoS basati su IoT, si gioca tutta nel punto di ingresso nella rete.
Tornando ad analizzare più da vicino la modalità di attacco della scorsa settimana, cerchiamo di capire perché è particolarmente semplice intasare un servizio DNS. Un DNS si basa principalmente sul protocollo UDP. Tale protocollo può essere facilmente raggirato – per cui risulta particolarmente difficile trovare la causa nella destinazione oggetto di attacco. Esistono moltissimi servizi DDoS-for-hire che consentono praticamente a chiunque di creare tali attacchi. Tali booter hanno reso accessibile a tutti l’attacco DDoS, per cui ora è davvero semplice attaccare e intimidire le aziende per avere un ritorno economico.
Di fronte a minacce come queste, che si fanno sempre più sofisticate oltre che persistenti, l’unica difesa realmente efficace sta nella correlazione degli eventi e nella condivisione delle informazioni. Se apparati e device vengono monitorati in modo efficace, con la distribuzione tempestiva di alert nel caso di anomalie, i tempi di identificazione dei security breach si riducono di molto, e con loro l’impatto potenziale sul business di una qualsiasi violazione.
A livello preventivo, esistono appliance anti-DDoS che possono e devono essere collocate davanti a una rete, per bloccare sul nascere problemi di questo tipo. Ma per moltiplicare la loro efficacia, devono essere idealmente parte di una strategia di fondo basata su pilastri condivisi – correlazione, comunicazione, gestione centralizzata. In questo modo, l’approccio alla sicurezza risulta sia preventivo che correttivo, e soprattutto entra a pieno titolo tra gli asset strategici di ogni organizzazione.
_______
A cura di Antonio Madoglio, SE Manager di Fortinet Italia
