Gli attacchi DDoS, Distributed Denial of Service, rappresentano una tra le maggiori preoccupazioni per i responsabili della sicurezza IT, perché hanno come obiettivo quello di interrompere o negare i servizi agli utenti legittimi che vorrebbero fruirne e mettere in crisi quindi tutta l’attività dell’organizzazione vittima.
Che si tratti di siti Web (ma anche Domain Name Service), servizi online come quelli di e-commerce o servizi di backend come l’elaborazione di pagamenti, che sia la comunicazione tra organizzazioni e il funzionamento delle applicazioni cloud (per esempio prendendo di mira le API), ma anche la connettività dei processi industriali controllati a distanza da internet o da sensori, ecco che è evidente come DDoS sia davvero un attacco in grado di poter mettere in ginocchio l’attività di un’azienda. Non solo: sovraccaricare una rete con traffico “artificiale e malevolo” distrae la vittima ed offre l’opportunità e il tempo per svolgere attività malevole, passando inosservati, mentre i difensori sono concentrati sul ripristino del servizio.
In altri insidiosi casi è possibile invece “consumare” le risorse di chi è attaccato e incidere negativamente sulla user experience, costringendo aziende ed organizzazioni ad investire più risorse con un maggior impegno di spesa. Oppure ancora, gli attaccanti possono sfruttare vulnerabilità software e hardware per provocare l’arresto di un dispositivo o degli applicativi essenziali per le attività.
Purtroppo, per chi si deve difendere, un attacco DDoS non richiede di avere grandi competenze o conoscenza specifiche, a volta basta conoscere posizione del servizio, indirizzo IP e sferrare l’attacco, oppure sfruttare i dispositivi IoT sempre più utilizzati per distribuire un attacco su larghissima scala. Da valutare caso per caso, invece, i rischi relativi alle infiltrazioni nelle reti ed al furto di dati perché, di suo, un attacco DDoS non implicherebbe né le prime né il secondo, salvo quando non è utilizzato proprio come “cortina fumogena” o “preparativo di attacco”. Si tratta complessivamente di una tipologia comunque vantaggiosa perché consente agli attaccanti di rimanere nascosti a lungo, senza possibilità di vedersi “attribuita” la responsabilità dell’attacco.
Facile comprendere come, per capire la reale minaccia, sia necessario invece conoscere gli attori e gli obiettivi, sapere come si muove l’attaccante, studiarne tattiche e tecniche.
Attacchi DDoS, lo scenario fotografato da Radware
Radware ha visto, a partire dal 2020, un’impennata nell’attività DDoS, a partire da campagne Ransom DoS caratterizzanti in modo persistente il panorama di queste minacce. Ransom DoS di fatto prevede la richiesta del pagamento di un riscatto per non dover subire un attacco massiccio DDoS, con eventuali azioni dimostrative di un piccolo attacco utilizzando solo una parte della loro infrastruttura contro una data risorsa dell’azienda minacciata. Sotto la lente dell’azienda anche i particolari Burst Attack, gli attacchi ai DNS, quelli di reflection/amplification che sfruttano la disparità di rapporto tra richieste e risposte di determinati protocolli, ed infine quelli in grado di sfruttare anche i protocolli SSL.
In ogni caso, che si tratti di attività di cybercrime, di hacktivisti, come di dipendenti insoddisfatti o arrabbiati (sì, capita anche questo), dell’attività di Paesi nemici o di concorrenti di mercato “scorrettamente” agguerriti, lo scenario degli attacchi DDoS è importante e pesa sui bilanci aziendali per la cybersecurity, anche per la possibilità di sfruttare le piattaforme As a Service, un’ulteriore possibilità che facilita l’attività agli attaccanti più sprovveduti.
La tendenza a crescere, degli attacchi e dei volumi di attacco DDoS è ben documentata da Radware ed anche l’ultimo anno chiuso, il 2021, ha sollecitato le aziende a raccogliere una serie di nuove sfide e minacce alla sicurezza.
I riferimenti offerti dall’ultima edizione del Global Threat Analysis Report di Radware (2021-2022) indicano infatti che il numero di eventi DDoS malevoli bloccati per ogni singolo cliente è cresciuto del 37%, con un incremento dei volumi medi di attacchi DDoS del 26%, mentre il volume medio degli attacchi di grande portata va da un minimo di oltre 4,5 TB fino ad oltre 50TB di traffico con una durata media anche fino a quasi 9 ore.
Sono proprio le applicazioni Web, come abbiamo accennato in apertura, a veder crescere la media di richieste malevole (+88%), mentre gli attacchi broken access control e injection rappresentano oltre il 75% sul totale di quelli portati sempre alle Web application.
Con la crescente adozione del cloud computing poi e la migrazione dei carichi di lavoro delle aziende sul public cloud, anche il cybercrime ha saputo adeguare le tecniche portando gli attacchi DDoS su larga scala. Un dato su tutti, ad offrire la misura: Microsoft ha registrato, proprio nell’ultimo trimestre del 2021, due attacchi da 2,5 Tbps ed il più grande attacco DDoS mai registrato, da quasi 3,5 Tbps.
Il 2021, inoltre, ha visto anche l’ottimizzazione e la massimizzazione nell’utilizzo di risorse Botnet, che proprio nel corso di quest’anno dovrebbero contribuire ad elevare ulteriormente l’asticella delle sfide. Per esempio, la botnet Mēris è stata sfruttata per un attacco in grado di generare quasi 22 milioni di richieste al secondo e se ne può immaginare l’impatto, consideratone proprio l’utilizzo in modalità Ransom DoS. Mentre non mancano le ricerche negli Usa, di università (Colorado e Maryland) che hanno svelato come sia possibile abusare delle falle di ben oltre 200 milioni di middlebox.
Ultimo, ma non meno importante, nel 2021 è cresciuto del 79% rispetto all’anno precedente il numero di micro flood e attacchi DDoS a livello applicativo.
Leggi tutti gli approfondimenti della room Sicurezza per l’Innovazione
Per saperne di più scarica il whitepaper: Principali attacchi DDoS a cui prepararsi
© RIPRODUZIONE RISERVATA
