Tratto dallo speciale:

Attacchi DDoS: lo scenario odierno

di Anna Fabi

Pubblicato 25 Gennaio 2017
Aggiornato 26 Gennaio 2017 10:31

Nuovo Report di Arbor Networks sulla sicurezza delle infrastrutture mondiali: intervista sui nuovi attacchi DDOS.

Pubblicato il nuovo Worldwide Infrastructure Security Report (WISR) di Arbor Networks sulla sicurezza delle infrastrutture mondiali giunto alla sua dodicesima edizione. In 12 anni, il campo delle minacce informatiche ha subito profonde trasformazioni ed il Report lo evidenzia.

Ne abbiamo parlato con Marco Gioanola, Senior Consulting Engineer di Arbor Networks.

In dodici anni di WISR quanto si sono evolute le minacce informatiche?

Il nostro Report si concentra principalmente sulle problematiche operative affrontate quotidianamente dai professionisti della sicurezza informatica e sulle strategie adottate per gestirle e mitigarle. Si tratta quindi di una fotografia di ciò che stanno vivendo le maggiori organizzazioni aziendali e i principali provider di servizi di telecomunicazione, cloud e hosting a livello mondiale. Secondo me c’è un dato che può dare un’idea significativa della situazione: da quando Arbor ha iniziato a pubblicare il suo Report, l’entità degli attacchi DDoS è cresciuta del 7900% e solo negli ultimi cinque anni si è verificato un incremento del 1233%. Questo perché cambiano gli scenari, gli attaccanti ed i mezzi utilizzati per attaccare. Nel 2016, ad esempio, le botnet basate su dispositivi “IoT” sono state le principali responsabili di un clamoroso incremento della dimensione degli attacchi DDoS.

Che ruolo ha avuto l’IoT nel 2016 all’interno di questo quadro?

L’utilizzo dei dispositivi IoT sta incentivando l’avanzata delle minacce DDoS con attacchi che continuano a crescere in termini di dimensioni, frequenza e complessità. Rispetto alle botnet “tradizionali”, costituite da PC infetti, le botnet IoT possono sfruttare un numero molto superiore di apparati – per giunta più vulnerabili – col risultato di avere a disposizione una potenza di fuoco estremamente grande. Abbiamo osservato campagne di attacco che si protraggono per mesi e, senza gli opportuni interventi di mitigazione su scala globale, assisteremmo a fenomeni in grado di bloccare l’intero accesso Internet di nazioni di piccole e medie dimensioni. D’altro canto la comparsa di botnet capaci di sfruttare le debolezze intrinseche dei dispositivi IoT e la divulgazione del codice sorgente della botnet Mirai hanno anche indirizzato la dovuta attenzione alle best practice da adottare contro gli attacchi DDoS.

=> Mirai, la nuova minaccia IoT

Quali sono i numeri più sorprendenti che emergono dal report di quest’anno in relazione alla dimensione degli attacchi?

Il maggiore attacco segnalato quest’anno ammonta a 800 Gbps, con un aumento del 60% rispetto all’anno scorso. Questo massiccio incremento delle dimensioni degli attacchi è stato favorito da una maggiore attività mirata a tutti i protocolli di reflection-amplification, oltre che dalla già citata comparsa delle botnet IoT e dalla loro trasformazione in armi di attacco.

Con la dimensione cresce anche la frequenza degli attacchi o quella è rimasta costante?

Quanto emerge dal Report è che la probabilità di subire un attacco DDoS è più alta che mai. Il 53% dei service provider indica infatti di ricevere oltre 21 attacchi al mese, con un aumento del 44% rispetto all’anno scorso. Il 45% degli intervistati che operano in ambito istituzionale parla di oltre 10 attacchi al mese, con un aumento del 17% rispetto all’anno precedente. Il 21% degli operatori di data center riferisce oltre 50 attacchi al mese, cifra che lo scorso anno era stata segnalata dal solo 8% degli intervistati in questo settore.

Come si è evoluta la tipologia di attacchi negli ultimi anni? Con quali conseguenze?

Nel 2016, abbiamo assistito a un attacco DDoS, lanciato da una botnet IoT Mirai, che ha colpito l’infrastruttura DNS rendendo completamente inaccessibili un gran numero dei principali siti Web al mondo. Spesso si pensa che gli attacchi DDoS abbiano come unica conseguenza l’intasamento della rete con un effetto di tipo “flood”. In realtà, i criminali informatici si evolvono fin troppo velocemente ed iniziano ad introdurre nuovi strumenti, come i servizi di attacco “booter/stresser”. In tal modo gli attacchi DDoS diventano sempre più complessi e sfruttano molteplici vettori di attacco simultanei per colpire diversi aspetti dell’infrastruttura della vittima. Quasi tutti i service provider ad esempio hanno sperimentato attacchi contro il layer applicativo, che hanno come principale bersaglio i servizi DNS, HTTP e HTTPS.

Quali dati positivi emergono dal Report?

Di sicuro, di positivo c’è che l’attenzione legata al mondo della sicurezza informatica, che è molto più alta. Alcuni efferati attacchi dell’anno appena trascorso sono approdati sulle prime pagine dei quotidiani di tutto il mondo e queste notizie hanno quindi valicato i confini delle comunità informatiche, conquistando l’attenzione di dirigenze e consigli di amministrazione aziendali. E’ anche grazie a questo tipo di informazione se il 78% dei service provider intervistati riferisce una maggiore richiesta di servizi di difesa contro gli attacchi DDoS da parte dei clienti aziendali.  Vuol dire che una migliore comprensione del danno che si può subire ed una maggiore consapevolezza del rischio favoriscono l’adozione di migliori strategie.