Gli attacchi DDoS sono tra le tipologie di minacce esperite dal cybercrime più ‘antiche’, sfruttate da quando esistono le reti e il Web. Utilizzati per bloccare l’effettivo accesso a servizi e risorse, ancora oggi riescono a ‘preoccupare’ i team di sicurezza delle aziende. Per questo è importante approfondire quali sono i tratti distintivi che rendono pericolosa e insidiosa questa tipologia di attacco per chi si difende e quali i vantaggi per chi attacca. Ne parliamo con Valentina Angeleri, Senior Solutions Engineer di Akamai.
“Una ‘gallina dalle uova d’oro’: questo sono, ancora oggi, gli attacchi DDoS per chi li sferra – esordisce Angeleri – E rimangono oggi una minaccia temibile e frequente per i team di sicurezza in tutto il mondo per una ragione molto semplice: continuano ad essere efficaci”, nonostante siano uno dei tipi più antichi di attacchi informatici. L’attacco del 1999 all’Università del Minnesota è stato sicuramente uno dei primi attacchi DDoS per come li conosciamo. Ma anche prima di questo, prosegue Angeleri, “il potenziale per tali attacchi era stato dimostrato in un esperimento meno malevolo ma altrettanto impattante. Nel 1974 presso l’Università dell’Illinois, David Dennis, uno studente di 13 anni, prefigurò involontariamente il pericolo degli attacchi DDoS quando riuscì a disabilitare alcuni terminali connessi tramite un programma che inviava un ciclo di comandi problematici ad altri terminali”. Questo ha fatto emergere una debolezza fondamentale nei sistemi connessi: “possono essere sopraffatti e messi fuori uso da un numero eccessivo di richieste”. Ed è questo il concetto di un attacco DDoS, che non è solo vecchio ma anche semplice ed efficace se si tratta di “inondare una rete, un servizio o una risorsa con traffico eccessivo per interrompere le operazioni normali”. Un metodo tanto efficace da essere ancora oggi il motivo per cui si parla di attacchi DDoS.
“Certo è che gli attaccanti si sono evoluti – dettaglia Angeleri -. Se fino a pochi anni fa ci si è concentrati su un singolo target, come ad esempio il server di posta elettronica o i server DNS, ora gli attacchi sono spesso multivettoriali, colpiscono più livelli dello stack ISO-OSI nello stesso momento”. Si parla di una “campagna di attacchi” anziché di un attacco singolo. “E questo da un lato complica la difesa, e dall’altro consente spesso all’attaccante di mascherare, sotto questa ‘cortina fumogena’, richieste più mirate, spesso quelle a più alto rischio”. Si parla quindi di Triple Extortion Ransomware, la temibile combinazione di ransomware e attacchi DDoS (infiltrate/exfiltrate/disrupt).
Sono aumentati inoltre gli attacchi orizzontali. “Gli aggressori – prosegue Angeleri – non si limitano a prendere di mira un singolo IP, ma colpiscono indiscriminatamente ogni IP nell’ambiente di un’organizzazione. Ad oggi circa il 30% degli attacchi sono di questo tipo, contro il 10% rilevato all’inizio del 2021″.
Con l’evoluzione degli attacchi DDoS aumentano naturalmente anche le sfide per chi si deve proteggere. E questo “in uno scenario geopolitico in cui, peraltro, gli attacchi DDoS vengono spesso utilizzati come arma di massa della guerra cyber che si è scatenata negli ultimi due anni e che persiste, in conseguenza delle guerre in Ucraina ed Israele”. Fatto che spiega lo shift geografico: “la regione Emea nel 2023 ha ricevuto quasi doppio degli attacchi DDoS rispetto al Nord America, anche in questo caso invertendo il trend degli anni precedenti al 2021”.
E’ questo quindi lo scenario entro cui è possibile inquadrare l’approccio/paradigma di Akamai al problema. Un approccio che si distingue dalle proposte di “mitigazione” degli attacchi DdoS dei concorrenti e tiene conto del fatto che, on-premise, all’edge e in cloud il fronte sia sempre più esteso.
Angeleri: “Akamai suggerisce (ed implementa essa stessa) una strategia di sicurezza olistica, che miri a proteggere l’esperienza dei clienti interni ed esterni, i sistemi e le infrastrutture, e i dati”. Questo può avvenire soltanto “attraverso l’integrazione della sicurezza in ogni fase dello sviluppo e della distribuzione dei prodotti digitali, ovunque ciò avvenga”. A tal fine, Akamai si concentra sulla protezione delle applicazioni – sono il motore del business in ogni punto di contatto – e assicura che la performance e l’esperienza del cliente non vengano mai compromesse. “Per farlo – spiega Angeleri – lavoriamo al fianco dei nostri clienti ogni giorno su tutti i fronti: implementare il modello Zero Trust, identificare e fermare i ransomware, proteggere applicazioni ed API e combattere gli attacchi DDoS“. Non si tratta solo di fornire soluzioni avanzate. “Tutte le soluzioni di sicurezza Akamai sfruttano la visibilità sulle minacce che gestiamo sulla Akamai Connected Cloud (un numero su tutti: Akamai analizza in media al giorno circa 800 Terabyte di dati relativi a traffico d’attacco, Ndr.) per garantire una postura di sicurezza sempre aggiornata, anche e soprattutto a protezione dagli attacchi zero day”.
Si tratta di soluzioni avanzate sviluppate facendo tesoro di una threat intelligence ineguagliabile, coniugate con logiche all’avanguardia di machine learning, ma si parla anche di consulenza e supporto di livello: “I nostri esperti di cyber security e il personale dell’Akamai Security Operations Command Center (SOCC) sono elementi fondamentali in questa equazione”.
Confrontando il 2022 con il 2023, Akamai ha registrato un aumento del 20% nel carico di lavoro dei team di sicurezza a causa di un incremento non solo degli attacchi, ma in generale del numero di allarmi che, data la crescente complessità, spesso rendono necessario l’intervento dell’intelligenza umana per verificarne la veridicità da un lato, ed identificare eventuali nuovi vettori (zero day). “Per essere ancora più efficaci e veloci, allora – dettaglia Angeleri -, un team di data science lavora all’interno del nostro SOCC, per mettere in pratica le scoperte e posizionare l’analisi dati in prima linea, con l’obiettivo di potenziare la nostra risposta agli attacchi e migliorare costantemente le nostre strategie di difesa”.
App e API Protector, Prolexic e Edge DNS nel portafoglio Akamai rappresentano tre soluzioni con un unico denominatore comune. La loro specificità indirizza le criticità legate all’ampia varietà degli attacchi DDoS.
Angeleri: “Gli aggressori spesso impiegano più di un tipologia per causare danni ai loro obiettivi. I tre tipi principali sono attacchi volumetrici, attacchi a livello di protocollo (e tra questi gli attacchi al DNS sono i più diffusi) e attacchi al livello applicativo“. Le soluzioni Akamai sono davvero efficaci perché “specifiche, ciascuna progettata per affrontare le sfide e i meccanismi propri di ciascun tipo di attacco DDoS; ma, allo stesso tempo, sono perfettamente complementari e interoperabili”.
Gli attacchi volumetrici, che inondano la rete di traffico, “sono mitigati da soluzioni che possono identificare, assorbire e neutralizzare questo eccesso di traffico”. Gli attacchi che tentano di sfruttare le debolezze a livello di protocollo “sono contrastati da soluzioni in grado di identificare e filtrare i pacchetti malevoli”. Gli attacchi al livello applicativo, che prendono di mira applicazioni specifiche, “richiedono soluzioni che operino su più livelli, sempre aggiornate e customizzabili”.
Akamai per questo offre tre piattaforme distinte ma perfettamente integrate, ciascuna dedicata alla protezione contro uno di questi tipi di attacchi DDoS. Punti di forza e potenziale di ognuna di esse sono dettagliati da Angeleri.
- AAP (Application and API Protector) “è una soluzione leader di mercato che include un Web application firewall in cloud estremamente avanzato, funzionalità di mitigazione dei bot, sicurezza delle API e protezione DDoS fino a livello 7″. L’intelligenza di AAP è distribuita su tutti i 4100+ edge Pop di Akamai, capaci di gestire una mole inimmaginabile di traffico. Ad oggi abbiamo raggiunto picchi di traffico erogato agli utenti finali di oltre 270 Tbps.
- Edge DNS “è la soluzione di DNS autoritativo basata su cloud di Akamai che garantisce la disponibilità del DNS 24/7, migliora la reattività del DNS ed è talmente resiliente da difendersi dagli attacchi DDoS più grandi”. Opera con migliaia di server DNS situati in più di 1.000 punti di presenza in tutto il mondo, garantendo che le query DNS siano risposte rapidamente e in modo affidabile alle richieste legittime, anche sotto attacco.
- Prolexic “è stato sviluppato appositamente per fermare gli attacchi DDoS prima che queste minacce possano raggiungere applicazioni, data center e qualsiasi infrastruttura rivolta a Internet, sia essa pubblica o privata, includendo tutte le porte e i protocolli”. Fornisce protezione all’infrastruttura del cliente, nel cloud, o attraverso una combinazione ibrida di entrambi, con più di 20 Tbps di capacità globale dedicata distribuita in 32 aree metropolitane.
Chiude Angeleri: “Insieme, queste piattaforme permettono ai clienti di implementare una strategia di difesa completa dagli attacchi DDoS, che protegge l’infrastruttura a tutti i livelli, assicurando che i servizi rimangano sempre disponibili e sicuri”.
Non perdere tutti gli approfondimenti della room Security Everywhere by Akamai e Criticalcase
© RIPRODUZIONE RISERVATA