Il Worldwide Infrastructure Security Report di Arbor Networks (WISR): l’innovazione e l’utilizzo dei dispositivi IoT alimentano lo scenario degli attacchi DDoS
Arbor Networks ha reso noti i risultati del suo 12° Worldwide Infrastructure Security Report (WISR). Il WISR raccoglie le osservazioni degli esperti di reti e sicurezza che operano presso le maggiori organizzazioni aziendali e i principali providers di servizi di telecomunicazione, cloud e hosting a livello mondiale.
Le tematiche affrontate sono molteplici: dall’identificazione delle minacce alla risposta agli incidenti informatici, passando per la definizione di servizi, personale e budget dedicati a tali attività.
Il rapporto è incentrato in particolare sulle problematiche operative affrontate quotidianamente dai professionisti della sicurezza informatica e sulle strategie adottate per gestirle e mitigarle.
Principali risultati emersi dall’indagine
1. L’innovazione e l’utilizzo dei dispositivi IoT alimentano lo scenario degli attacchi DDoS.
2. Le conseguenze degli attacchi DDoS si fanno sempre più acute.
3. La maggiore consapevolezza del rischio favorisce l’adozione di migliori strategie.
1. L’innovazione e l’utilizzo dei dispositivi IoT alimentano lo scenario degli attacchi DDoS
La capacità di innovare dei criminali informatici e l’utilizzo dei dispositivi IoT stanno incentivando l’avanzata delle minacce DDoS. Gli attacchi continuano infatti a crescere in termini di dimensioni, frequenza e complessità. Tuttavia, oltre ad alimentare lo spirito innovativo dei pirati informatici, la comparsa di botnet capaci di sfruttare le debolezze intrinseche dei dispositivi IoT e la divulgazione del codice sorgente della botnet Mirai hanno anche indirizzato la dovuta attenzione alle migliori pratiche di difesa da adottare contro gli attacchi DDoS. La posta in gioco è cambiata.
Scala
Il maggiore attacco segnalato quest’anno ammontava a 800 Gbps, con un aumento del 60% rispetto all’anno scorso. Da quando Arbor ha iniziato a pubblicare il rapporto WISR nel 2005, l’entità degli attacchi DDoS è cresciuta del 7900%, con un tasso annuo di crescita composto (CAGR) del 44%. Negli ultimi cinque anni, si è verificato un incremento del 1233%, con un CAGR del 68%.
Il massiccio incremento delle dimensioni degli attacchi è stato favorito da una maggiore attività mirata a tutti i protocolli di reflection-amplification, oltre che dalla comparsa delle botnet IoT e dalla loro trasformazione in armi di attacco. I meccanismi di reflection-amplification permettono di moltiplicare il traffico di attacchi per centinaia di volte, riuscendo al contempo a celare la sorgente originale.
– Il protocollo di reflection utilizzato con maggiore frequenza è ancora il DNS, seguito a ruota dal protocollo NTP.
– I risultati dell’indagine evidenziano inoltre un intenso utilizzo di SSDP, Chargen e SNMP, con una rapidissima espansione di Chargen rispetto allo scorso anno.
Frequenza
Come riferito dagli intervistati, le probabilità di subire un attacco DDoS sono purtroppo più alte che mai.
– Il 53% dei service provider indica infatti di ricevere oltre 21 attacchi al mese, con un aumento del 44% rispetto all’anno scorso.
– Il 45% degli intervistati che operano in ambito istituzionale (organizzazioni aziendali, enti governativi e istituti scolastici) riferisce oltre 10 attacchi al mese, con un aumento del 17% rispetto all’anno precedente.
– Il 21% degli operatori di data center afferma infine di aver riscontrato oltre 50 attacchi al mese, cifra che lo scorso anno era stata segnalata dal solo 8% degli intervistati in questo settore.
Complessità
È opinione diffusa che gli attacchi DDoS abbiano come unica conseguenza l’intasamento della rete con un effetto di tipo “flood”. In realtà, grazie alla capacità innovativa dei criminali informatici, all’introduzione di nuovi strumenti e alla disponibilità di servizi di attacco “booter/stresser”, gli attacchi DDoS sono ormai molto più complessi e sfruttano molteplici vettori di attacco simultanei per colpire diversi aspetti dell’infrastruttura della vittima. Estremamente efficaci e difficili da respingere, gli attacchi multivettore sono molto diffusi e richiedono un sistema di difesa agile imperniato su più strati.
– Il 67% dei service provider dichiara di aver ricevuto attacchi multivettore sulle proprie reti, con un significativo aumento rispetto al 56% registrato lo scorso anno e al 42% osservato due anni fa.
– Anche il 40% degli intervistati che operano in ambito istituzionale ha assistito ad attacchi multivettore.
– Quasi tutti i service provider (il 95%) hanno sperimentato attacchi contro il layer applicativo, che hanno come principale bersaglio i servizi DNS, HTTP e HTTPS.
2. Le conseguenze degli attacchi DDoS si fanno sempre più acute
Nel 2016, abbiamo assistito a un attacco DDoS, lanciato da una botnet IoT Mirai, che ha colpito l’infrastruttura DNS rendendo completamente inaccessibili un gran numero dei principali siti Web al mondo. Stiamo parlando di un evento approdato sulle prime pagine dei quotidiani e non di una notizia recepita dalla sola comunità informatica. Gli attacchi DDoS hanno ormai conquistato l’attenzione di dirigenze e consigli di amministrazione aziendali.
– Il 78% dei service provider intervistati riferisce una maggiore richiesta di servizi di difesa contro gli attacchi DDoS da parte dei clienti aziendali.
– Il 61% dei data center e cloud provider dichiara di aver subito attacchi che sono riusciti a saturare completamente la banda. Quasi un quarto ha dovuto sostenere costi superiori a 100.000 dollari a seguito di un grande attacco DDoS e il 5% cita costi superiori al milione di dollari, cifre che dimostrano l’importanza di un’efficace strategia di difesa contro gli attacchi DDoS.
– Il 41% degli intervistati che operano in ambito istituzionale ha subito attacchi DDoS in grado di eccedere la capacità di rete totale. In questo settore, quasi il 60% degli intervistati stima costi superiori a 500 dollari per ogni minuto di inattività e alcuni indicano una spesa ancora più elevata.
3. La maggiore consapevolezza del rischio favorisce l’adozione di migliori strategie
Dai risultati dell’indagine emergono una migliore comprensione del danno di immagine e delle spese operative conseguenti agli attacchi DDoS e una maggiore consapevolezza della necessità di adottare efficaci strategie difensive.
Da qualche anno, molte soluzioni per la sicurezza delle infrastrutture offrono funzionalità integrate per la protezione contro gli attacchi DDoS. Tuttavia, pur riuscendo a tutelare efficacemente l’integrità e la riservatezza della rete, i dispositivi IPS e i firewall non affrontano uno dei principali bersagli degli attacchi DDoS, ovvero la disponibilità della rete. A livello complessivo, l’impiego di firewall, dispositivi IPS e bilanciatori di carico come strumento di difesa contro gli attacchi DDoS è nettamente calato.
Service Provider
– L’83% dei service provider utilizza le soluzioni IDMS (Intelligent DDoS Mitigation Solutions).
– Il 76% si serve delle soluzioni IDMS per mitigare gli attacchi IPv6.
– Il 57% effettua delle simulazioni di difesa DDoS. Questo dato è in aumento del 46% rispetto all’anno scorso.
– Le buone pratiche stanno evidentemente dando i frutti sperati: la percentuale di intervistati in grado di mitigare gli attacchi in meno di 20 minuti è salita al 77%, contro il 74% dello scorso anno e il 68% di due anni fa.
Ambito istituzionale (organizzazioni aziendali, enti governativi e istituti scolastici)
– I firewall, i bilanciatori di carico e i CDN sono risultati gli strumenti meno efficaci per la mitigazione degli attacchi DDoS.
– Analogamente all’anno scorso, quasi la metà degli intervistati riferisce episodi in cui i firewall o i dispositivi IPS hanno subito un malfunzionamento o hanno contribuito all’interruzione del servizio durante un attacco.
– Quasi il 55% ora effettua le simulazioni di difesa DDoS, nel 30% circa dei casi con frequenza almeno trimestrale.
– Il 44% utilizza le soluzioni IDMS, mentre il 30% implementa un sistema di difesa ibrido basato sulle buone pratiche e il 26% si avvale di un dispositivo o servizio “always-on”.
Data Center/Cloud Provider
– La percentuale di operatori che utilizzano i firewall per la difesa contro gli attacchi DDoS è scesa dal 71 al 40%.
– Il 43% dichiara che i firewall o i dispositivi IPS/IDS hanno subito un’interruzione o hanno contribuito a causarla durante un attacco DDoS.
Ambito e caratteristiche demografiche dell’indagine
– Lo studio WISR si basa su 356 risposte, fornite da un mix di operatori Tier 1, Tier 2/3, società di hosting, provider mobili, aziende e altri tipi di operatori di rete di tutto il mondo.
– Analogamente agli anni precedenti, due terzi di tutti gli intervistati sono professionisti della sicurezza, della rete o delle operazioni.
– I dati si riferiscono al periodo compreso tra novembre 2015 e ottobre 2016.
la Redazione