Defense By Design: How To Dampen DDoS Attacks With A Resilient Network

Difesa tramite la progettazione: come attenuare gli attacchi DDoS con una rete resiliente

Autore: Scott Bowen

La storia degli attacchi DDoS (Distributed Denial of Service) è colma di innovazione e creatività diaboliche e continua a cambiare forma e modalità, per contrastare i tentativi di resistenza.

Nessuno può creare una protezione efficace al 100 percento contro gli attacchi DDoS. Ma i Chief Information Officer (CIO), i Chief Information Security Officer (CISO) e gli specialisti dei vari team hanno modi efficaci per prepararsi, reagire e riprendersi in modo efficace dagli attacchi DDoS, valutando i rischi all'interno dell'organizzazione e costruendo una rete resiliente, in grado di unire architettura e procedure tali da limitare la probabilità e gli effetti di un errore di sistema.

Defense By Design: How To Dampen DDoS Attacks With A Resilient Network
Persino una breve interruzione o rallentamento possono intaccare i ricavi, il servizio clienti e la reputazione.

Un attacco DDoS può essere definito dal suo obiettivo: rallentare o interrompere le attività aziendali intralciando la rapidità delle risposte digitali. Gli autori degli attacchi utilizzano sistemi contraffatti per prendere di mira un singolo sistema e lo inondano di traffico da più direzioni.

Tali attacchi possono colpire i livelli delle applicazioni oppure accumulare false richieste di dati, o ancora sovraccaricare un sistema con dati indesiderati. Possono anche portare una parte del sistema a sovraccaricarne un'altra con richieste di dati.

"Un attacco DDoS può anche agire da copertura per altri attacchi che si verificano contemporaneamente, compresi quelli ad applicazioni web, che rubano dati sensibili", ha affermato John Summers, Vice President e General Manager dell'azienda Akamai Technologies.

Il prossimo attacco

L'enorme attacco della botnet Mirai di ottobre 2016 è stato un fenomeno senza precedenti: quasi mezzo milione di dispositivi, compresi DVR e webcam, si sono trasformati in un esercito di "bot", come descritto nel rapporto sullo Stato di Internet/Sicurezza di Akamai.

Un attacco di tale entità non è una cosa che si verifica tutti i giorni, secondo Eugene Spafford, direttore esecutivo emerito del Center for Education and Research in Information Assurance and Security della Purdue University. "Ma ci saranno altri attacchi su larga scala: forse non saranno comuni o regolari, ma ci saranno", ha detto.

La "superficie di attacco" in continua espansione dell'IoT (Internet of Things) giocherà un ruolo centrale in queste azioni future. "Poiché ci sono sempre più utenti e cose online e gli autori degli attacchi hanno la possibilità di minare grandi quantità di queste, trasformandole in cose come una botnet, gli attacchi DDoS non faranno che aumentare", ha detto Spafford.

Ha affermato che, ad oggi, gli attacchi DDoS più noti hanno avuto una durata relativamente breve per varie ragioni, per cui non tutti gli attacchi hanno richiesto una resilienza notevole, ma è stato possibile affrontarli con pazienza. "Non sono certo che, col passare del tempo, le cose continueranno a stare così", ha detto.

Persino una breve interruzione o rallentamento possono intaccare i ricavi, il servizio clienti e la reputazione. E un attacco a un'azienda può danneggiare l'intero flusso aziendale. Ad esempio, un attacco DDoS a un corriere comporterebbe l'accumulo di pacchi nei porti. I prodotti non arriverebbero nei negozi dei rivenditori o nei punti di distribuzione. I clienti finali si rivolgerebbero altrove e i rivenditori perderebbero denaro a causa di un problema che non riguarda direttamente loro.

Valutare i rischi

La ricercatrice nel campo della cyber sicurezza, Wendy Nather, Security Strategist principale presso Duo Security, ha detto che non tutte le aziende devono prepararsi ad attacchi dell'entità o sofisticazione pari a quelle di un enorme attacco della botnet. Anzi, ogni azienda deve valutare il suo particolare rischio ed "esaminare l'intelligence sulle minacce, per scoprire chi potrebbe essere intenzionato ad attaccarla e quali tipi di attacco potrebbe usare", ha detto.

Un'azienda più piccola, come un piccolo negozio di vendita al dettaglio indipendente, non deve proteggersi come lo farebbe una banca, secondo Nather, che in precedenza è stata a capo della sicurezza regionale per un'importante banca europea.

Per essere pronto, un CISO dovrebbe prima valutare le dimensioni e la natura del profilo di rischio di un'azienda nel suo mercato principale e poi creare un piano per contrastare i tipi di attacchi DDoS più anticipati.

I rischi sono spesso specifici in base ai settori e alle loro rispettive normative, diverse in base alla nazione o alla regione. Spafford ha indicato numerosi esempi dell'impatto delle normative sulla resilienza aziendale. Le operazioni delle centrali elettriche nucleari devono avere la capacità di elaborazione necessaria a resistere alle modifiche non autorizzate al codice. Il settore sanitario deve avere reti in grado di garantire la riservatezza dei suoi archivi. Il settore finanziario deve gestire e archiviare i suoi dati in modo sicuro, per consentirne un adeguato controllo.

Non esiste un unico approccio alle normative, secondo Spafford. "Dovete conoscere il contesto della vostra azienda nell'ambiente normativo", ha detto.

Progettare per la resilienza

L'architettura di rete offre le basi per la resilienza. Ciò che un'organizzazione desidera evitare è lavorare con una rete completamente piatta, cioè una rete che condivida la larghezza di banda in tutta la sua architettura, rendendo disponibile qualsiasi parte del sistema. Se viene attaccata una parte, l'accesso è disponibile anche a tutto il resto. "Una buona procedura di sicurezza è in grado di partizionare la vostra rete", ha detto Spafford.

In altre parole, un'organizzazione dovrebbe essere in grado di restringere l'accesso alle varie sezioni della sua rete, per impedire la diffusione di ogni tipo di attacco. La parte complessa è avere questa situazione poiché una rete viene creata o estesa, quando la creazione di connettività tra diverse sezioni è desiderabile o necessaria, ma rappresenta un rischio.

Da un punto di vista architettonico, una rete resiliente deve avere anche ridondanza in un vasto numero dei suoi componenti e la capacità di reindirizzare il traffico da un insieme di apparecchiature all'altro se necessario, secondo Nather.

Se una rete dipende da volumi elevati di traffico tra i vari livelli delle applicazioni, ad esempio i siti web complessi, non dovrebbe esserci soltanto un database nel back-end, ha detto.

Nather ha evidenziato due tattiche principali: Una rete resiliente dovrebbe avere più punti di controllo laddove gli amministratori possono accedere e apportare modifiche. E non dovrebbe basarsi su un unico provider di servizi Internet, ma avere più potenziali punti di accesso tramite diversi provider.

Prepararsi agli attacchi

La creazione di un insieme di procedure per affrontare un attacco non può tenere conto di tutte le variabili possibili, specialmente data la natura creativa degli attacchi DDoS. Ma avere un protocollo stabilito, documentato in un "runbook", può contribuire ampiamente a chiarire i compiti che ognuno deve svolgere in caso di un attacco.

Nella creazione di una procedura di attacco, un'organizzazione deve indicare chi ha il compito di monitorare il traffico in entrata per potenziali schemi di attacco e garantire che i membri dello staff abbiano la possibilità di segnalare le proprie scoperte alla gente giusta in alto nella gerarchia dell'organizzazione, secondo Nather.

Nel caso di un attacco reale, "dovete sapere come includere i dirigenti e il personale del reparto legale, delle pubbliche relazioni e commerciale", ha detto Nather. "È consigliabile coinvolgere le forze dell'ordine".

Gli operatori di sistema, ha detto Spafford, dovrebbero sapere prima del tempo come interrompere o arrestare le principali connessioni in entrata di un sistema, quindi effettuare la procedura di ripristino delle connessioni di servizio necessarie.

Per quanto riguarda le simulazioni di attacco, "le aziende di successo le effettuano regolarmente", ha detto Nather. A seconda del particolare scenario di attacco, i rappresentanti delle unità aziendali e tecniche devono riunirsi, in teleconferenza o nella sala riunioni, per esaminare il ruolo e i compiti di ciascun membro in caso di attacco DDoS.

"Svolgere queste esercitazioni è come allenare un muscolo", ha detto Nather.

Resilienza in azione

Quando avviene un attacco (e un'azienda è abbastanza pronta da non essere colta di sorpresa), la reazione essenziale è rispondere con una maggiore larghezza di banda e una potenza hardware maggiore in qualsiasi momento. "La soluzione è disporre di più larghezza di banda e macchine rispetto a quelle utilizzate per l'attacco", ha detto Spafford.

Quell'infrastruttura può trovarsi nel cloud. "Persino le organizzazioni più grandi non hanno la possibilità di respingere gli attacchi più gravi", ha avvertito Summers. "L'unico modo per garantire la resilienza è tramite un livello cloud di capacità on-demand e altamente scalabile".

Un'organizzazione deve anche avere l'agilità di modificare gli indirizzi IP, i nomi di dominio e il routing, in modo che, a seconda della natura dell'attacco, il sistema preso di mira possa spostarsi verso indirizzi e hardware diversi, ha affermato Spafford.

E non tralasciate la qualità del DNS (Domain Name System) che usate. Il DNS predefinito compreso nel vostro provider di servizi potrebbe non disporre della capacità necessaria in caso di attacco. Se possibile, avvaletevi di provider DNS aggiuntivi, da utilizzare nel caso in cui quello principale subisca un attacco DDoS che possa avere ripercussioni sull'azienda.

A volte, un'organizzazione può "intercettare" un attacco. Ossia, canalizzare il traffico dell'attacco in modo tale da far pensare all'autore dell'attacco che il traffico si stia dirigendo verso l'obiettivo desiderato, ma viene invece inviato verso uno spazio controllato, laddove possa essere analizzato.

Allora, se nel team della vostra azienda avete esperti di tecnologia o potete avvalervi di quelli di un alleato di terze parti, potrete condurre un'analisi forense in tempo reale, per trovare e sfruttare una vulnerabilità esistente nell'attacco stesso, secondo Nather e intaccarne o annullarne la funzionalità.

Revisione finale

Una volta che l'attacco è stato contrastato, Spafford consiglia una revisione finale al fine di rispondere alle seguenti domande:

  • Abbiamo rilevato l'attacco abbastanza presto?
  • Abbiamo preso le misure adeguate per continuare a fornire i servizi che la nostra azienda ritiene critici?
  • La nostra risposta ha funzionato?
  • Ci sono stati aspetti dell'attacco che ci sono sfuggiti?
  • Ci sono delle conseguenze che non erano state considerate?

Condividete le informazioni relative alla revisione finale con i partner e alleati interessati, come il vostro servizio di protezione contro gli attacchi DDoS o di consulenza sulla sicurezza. E se un alleato "vi ha fornito informazioni prima o durante l'attacco, le avete usate in modo adeguato?" Ha detto Spafford.

Vantaggi della resilienza

La resilienza influenza la redditività dell'azienda, secondo Summers. "Resistere in modo efficace a un attacco DDoS significa meno downtime e ciò si traduce in un servizio clienti e in attività aziendali senza interruzioni, nonché meno rischio di perdita di ricavi", ha detto.

La resilienza vi consente di soddisfare la vostra promessa di experience di qualità per il cliente. I vostri clienti potranno trovare rapidamente ciò che desiderano, comprarlo e continuare a svolgere il proprio lavoro. In un'epoca di clienti nativi digitali, che si aspettano performance di e-commerce ottimali, persino un piccolo rallentamento potrebbe danneggiare il business.

Infine, una rete abbastanza resiliente può impedire che il nome dell'azienda compaia nell'elenco delle ultime vittime di attacchi DDoS. Se la vostra reputazione dipende dalla vostra abilità di fornitura di servizi e comunicazioni, ha detto Spafford, allora vi servirà una rete in grado di abbattere o neutralizzare gli effetti di un attacco.

Scott Bowen è uno scrittore ed redattore freelance che ha scritto per True/Slant.com, ForbesTraveler.com e Fortune Small Business. La sua narrativa è stata raccolta in un'antologia contenuta in Tight Lines: Ten Years of the Yale Anglers' Journal.

Related CIO Content