Negli ultimi due anni, lo documentano le ricerche degli analisti, è cresciuta l’attenzione da parte delle aziende italiane per le problematiche di cybersecurity. E questo vale per le realtà di ogni verticale e dimensione. In particolare, anche in relazione agli ultimi report che ne documentano il livello di pericolosità, è alta la sensibilità sui temi che riguardano la protezione dagli attacchi DDoS, prima minaccia nel nostro Paese nel 2023. Garantiscono sempre buone percentuali di successo nel bloccare le attività di quelle organizzazioni che non affrontano il problema in modo serio e con una strategia chiara e definita ed è questo anche il punto di partenza del confronto con Riccardo Roasio, Senior Solutions Engineer Manager, Criticalcase, che entra nei dettagli di quello che è la situazione reale.
“Sostanzialmente due sono gli scenari tipici che individuiamo. Vi sono aziende che non percepiscono i rischi cui si espongono – anche perché probabilmente non sono state ancora colpite da un attacco DDoS e quindi ritengono di non aver bisogno di un sistema di protezione e si rivolgono a noi solo una volta colpite (sono poi le stesse che si devono muovere poi nell’emergenza e con urgenza, Ndr.) – ma tante sono anche le realtà che decidono di muoversi in anticipo, magari proprio facendo tesoro dell’esperienza di altre organizzazioni nello stesso verticale”. In questo secondo caso si parla di realtà che hanno già esperienza di qualche criticità – “di attaccanti che si presentano ed iniziano a bussare alle porte anche senza fare danni gravi” – e quindi si muovono e si attivano per proteggere poco alla volta tutto il perimetro. Parlando nello specifico di attacchi DDoS, la distinzione tra DDoS applicativo e volumetrico è già una prima distinzione importante, e la protezione deve riguardare entrambi gli aspetti. “Certo, oggi sono molto più evidenti che in passato i danni reali di cui queste tipologie attacchi sono responsabili – prosegue Roasio -. Cresce portata ed estensione e di anno in anno si parla di attacchi DDoS mirati su aziende specifiche. La risonanza è quindi maggiore, per cui un attacco DDoS è più facile diventi noto, sensibilizzando tutto il verticale”.
E’ evidente quanto sia importante pensare ad una strategia di difesa ‘preventiva’, e Criticalcase può aiutare i clienti a studiare la più adatta, tenendo presente come questa tipologia di attacchi venga utilizzata contro aziende di qualsiasi dimensione e verticale. “E’ importante attivarsi in modo preventivo perché mitigare un attacco DDoS che è in corso, purtroppo, richiede di ‘fare i conti con il male minore’ – spiega Roasio -. Significa che per limitarne gli effetti sarà necessario impostare in poco tempo regole rigide che danno origine a molti falsi positivi, proprio per il bisogno di scremare il più possibile gli attaccanti”. Purtroppo in questo modo viene sacrificata anche l’esperienza degli utenti/clienti che potrebbero utilizzare servizi e applicazioni in modo molto simile a quello di chi produce l’attacco (si pensi anche solo al mondo del gambling). Se invece si gioca d’anticipo “si può procedere prima con un’accurata analisi. E su questo Criticalcase può contare su un’importante esperienza su diversi verticali e persone con competenze specifiche proprio in questo ambito”.
In questi casi si parte allora con “un’analisi del traffico standard, che comunque tiene conto anche di alcuni picchi dati da eventi specifici, e si riesce a mettere in piedi una protezione valida senza dover bloccare o limitare l’esperienza degli utenti”. Oltre allo strumento di difesa di per sé conta quindi soprattutto l’esperienza maturata nel tempo che il team di Criticalcase può mettere in campo per agire nel modo più opportuno, nei diversi verticali e secondo le tipologie di clienti. In ogni caso, le aziende hanno bisogno di essere consigliate ed aiutate, ecco come.
“La componente di difesa anti-DDoS, per quanto riguarda la protezione applicativa si lega al Web Application Firewall in generale – spiega Roasio – per cui è raro che il cliente richieda un’ulteriore protezione specifica sul DDoS applicativo”, essendo questa già integrata nella proposizione Waf di Akamai. Si parla quindi di come gestire un attacco DDoS applicativo e come prepararsi, in questi casi, allo stesso modo di come si affrontano anche altre casistiche relative a Waf, come per esempio Geo block e IP block, incluse in quella tipologia di gestione della security.
“Discorso diverso invece per il DDoS volumetrico. In questi casi non ci si può certo affidare a soluzioni entry-level che potrebbero manifestare esattamente gli stessi problemi di saturazione di banda che si vogliono evitare ma necessariamente bisogna ricorrere a soluzioni enterprise come Akamai Prolexic“. In questo caso sarà da valutare con attenzione anche l’impegno economico richiesto, legato proprio alle specifiche “enterprise” della piattaforma che indirizza perfettamente le esigenze delle grandi aziende.
Oggi però gli attacchi DDoS volumetrici sono sempre più diffusi e di ampia portata: “quelli di ‘reflection’ per esempio impattano su tutto l’ecosistema delle aziende – terze parti, piccole aziende, anche Isp che di fatto si trovano ‘coinvolti'”. In questi casi “da un lato si può agire con prodotti non strettamente legati alla difesa DDoS volumetrica, arginando il più possibile i problemi”, oppure è possibile aggregare le esigenze per cui Criticalcase può configurarsi come Isp adottando la soluzione per la protezione dagli attacchi DDoS volumetrici ‘in vece’ delle aziende più piccole, con le opportune ri-configurazioni necessarie del traffico.
In un recente contributo si è affrontato il tema dell’importanza della protezione delle API e dei vantaggi della proposta di Akamai riconosciuti da Criticalcase e dai clienti. Si tratta di una proposta che evidenzia una serie di sinergie con le soluzioni per la protezione DDoS ed entrambe possono semplificare il ‘problema’ security guadagnando anche in trasparenza. I vantaggi per i clienti non sono indifferenti.
“Quando si parla di security non bisogna mai guardare alle soluzioni come a singoli blocchi, ed è fondamentale che tutti i prodotti siano in grado di ‘cooperare’ alla protezione del perimetro – dettaglia Roasio -. Disporre di soluzioni di security differenti per ogni esigenza può consentire nell’immediato un risparmio economico ma diventerà presto un problema per quanto riguarda la gestione coerente della cybersecurity”.
Le singole soluzioni non saranno in grado di cooperare e tantomeno saranno in grado di fare tesoro delle informazioni di feedback e dei dati di una componente, per riutilizzarle al servizio delle altre. “Ecco che il plus del dell’offerta Akamai è proprio quello di essere tutta orientata all’approccio Zero Trust. Copre tutto il perimetro che si vuole difendere ed ogni singola proposta dialoga con le altre“.
Akamai poi osserva ben oltre il 30% del traffico Internet globale e dispone quindi di una visibilità decisamente estesa ed approfondita su specifici tipi di problemi. “Disporre di una soluzione di qualità, ma senza la visibilità necessaria sul traffico Internet, è evidente serva a poco”, spiega Roasio, perché “non consente di applicare logiche specifiche in base a quanto si osserva che è solo una minima parte di quanto accade”. Si può invece abbracciare subito la proposta nella misura consentita in base a esigenze economiche, di urgenza etc., facendo nel tempo leva su altre soluzioni Akamai, che lavorano in modo sinergico, per estendere la protezione.
Protezione DDoS e Waf sono certo il primo bastione, rinforzabile ulteriormente con la componente di Bot mitigation, API security, microsegmentazione, la protezione da DDoS volumetrico etc.
Si parte quindi consapevoli subito di quale sia il perimetro da proteggere per costruire poco alla volta una protezione ideale. Il feedback dei clienti conforta. “Alcuni di essi riscontrano in primis un’evidente facilità d’uso delle piattaforme per la protezione DDoS offerte da Akamai, per esempio proprio riguardo Akamai Edge DNS, di cui si apprezza l’elevata percentuale di reliability e la semplicità. Su altre soluzioni, come Akamai Application and API Protector, la proposta offre un livello di visibilità e di granularità nell’applicazione di eventuali regole, dove necessario, che difficilmente si riesce a trovare altrove”.
Ci sono tanti prodotti che sulla carta potrebbero sembrare equivalenti, per esempio per la protezione delle API, ma che in realtà poi si rivelano essere vere e proprie black-box, per cui si può solo sperare che il prodotto stia facendo quello che promette perché non si avrebbe modo di agire né di avere visibilità dettagliata di cosa stia succedendo.
Per quanto riguarda invece Prolexic, gestito ‘direttamente’ da Akamai, la proposta fa leva sui numerosi scrubbing center del vendor a livello globale e raggruppa tecnologie complesse per cui non si può pensare una gestione ‘completa’ da parte del partner, “allo stesso tempo i vantaggi sono diversi e mentre altre soluzioni si concentrano su una specifica tecnologia, Prolexic cerca di utilizzare più tecnologie per far sì che uno specifico attacco sia gestito da quella che più può aiutare nello specifico caso”. E, mentre con altre tipologie di di prodotti solitamente si ha poi un numero di falsi positivi molto alto, con Akamai Prolexic questo feedback non c’è. “E la mancanza di un feedback negativo in questi casi è da tenere in alta considerazione perché significa che la pulizia viene fatta in maniera precisa e puntuale”, tiene a precisare Roasio, che conclude: “Rispetto a un po’ di tempo fa su questi temi notiamo con favore che sono molti di più i clienti che prendono consapevolezza e vogliono un layer di security di qualità, mentre in passato la prima richiesta era più legata alla possibilità di ‘accelerare l’erogazione dei contenuti'”. Oggi che il perimetro di security è molto più esteso rispetto a un po’ di anni fa, “le aziende riconoscono l’urgenza di proteggerlo e noi le aiutiamo a farlo nel modo migliore”.
Per saperne di più scarica il whitepaper: A year in Review
Non perdere tutti gli approfondimenti della room Security Everywhere by Akamai e Criticalcase
© RIPRODUZIONE RISERVATA