A cura di Marco Gioanola, Senior Consulting Engineer di Arbor Networks
Sono cambiate tante cose nel mondo della sicurezza informatica dal 2006 ad oggi: dieci anni fa la sfida principale era quella di spiegare cosa effettivamente fosse un attacco DDoS a persone che spesso avevano solo una vaga idea degli effetti di un DDoS: “il sito non è raggiungibile”, “il firewall è crashato”, “non funziona Internet”, e cose del genere.
Le nostre spiegazioni miglioravano col tempo, da “ora immaginate che io sia un virus” (primo tentativo di un collega, di fronte a clienti comprensibilmente sorpresi), a similitudini più accurate come “cosa succederebbe se ci fossero cento persone che cercano di entrare in questa sala riunioni?”. La conversazione si è fatta poi più complicata con l’avvento degli attacchi application-layer: non si trattava più solo di bloccare l’accesso alla porta della sala riunioni, ma la storia diventava qualcosa del tipo: “ora immaginate di averci fatto entrare, perché non abbiamo destato sospetti all’ingresso, ma una volta dentro abbiamo iniziato a fare domande in continuazione senza lasciar parlare gli altri, o ci siamo messi a disconnettere i computer della sala così che nessuno riuscisse più a raggiungere Internet”. E così abbiamo continuato a cercare di descrivere come si rileva e si contrasta un attacco Distributed Denial of Service, parlando di videocamere di sicurezza o metal detector, tornelli o perquisizioni.
A dire il vero, a volte bisogna ripartire dall’ABC – quando qualcuno ci dice cose come “il mio UTM fa il DDoS”, “intanto raddoppio la banda”, o “il mio ISP ha un WAF che mi protegge” – ma in generale oggi quasi tutti hanno una comprensione sufficientemente chiara di cos’è un DDoS e almeno una vaga idea di come mitigarlo correttamente.
Spesso però è proprio quando il cliente sta acquistando una soluzione anti-DDoS che la situazione si fa difficile. Durante l’Arbor Summit del 2013, uno dei nostri clienti presentò la sua prima esperienza con un servizio di DDoS mitigation: l’anno precedente era stato vittima di 90 minuti di interruzione del servizio per un ammontare di 1,2 milioni di Euro di mancati introiti. Al secondo attacco andò solo leggermente meglio: 20 minuti di interruzione. Un disastro. La causa? Al momento dell’attacco non sapevano che fare. Avevano implementato alcuni strumenti, ma non quelli giusti. Non sapevano quali fornitori chiamare, quali colleghi coinvolgere. Non avevano idea di che tipo di attacco li stesse colpendo.
Oggi le cose sono cambiate, ma ancora molti clienti hanno aspettative irrealistiche: non esiste una panacea contro tutti i DDoS. Non esiste l’appliance magica, non c’è “set it and forget it” nella DDoS Mitigation. In molti casi, contrastare un attacco DDoS significa scontrarsi con un attaccante esperto e intelligente, spesso più di noi, che ha più tempo di noi, e che può lanciare, con pochissima fatica, attacchi che necessiteranno di molto più tempo per essere analizzati e contrastati. E, tra l’altro, questo vale per ogni tipo di attacco informatico.
Un paragone che mi sembra abbastanza calzante – ma ci sto ancora lavorando! – è legato alle gare di Formula 1. Ti hanno dato una macchina potentissima (il tuo servizio anti-DDoS), ma se non sai come guidarla finirai fuori strada alla prima curva (“oops, stiamo bloccando anche il traffico dei clienti!”). Per non parlare di cosa capita quando invece di avere il motore migliore hai deciso di comprare quello usato dalla scuderia rivale l’anno scorso solo perché oggi è in sconto del 90%!
Ciò di cui hai bisogno quindi è di assemblare la migliore auto possibile, assumere il miglior team di meccanici per preparare il migliore assetto pre-gara (“l’Amministratore Delegato si collega al sito tramite Windows95 installato su un Commodore64, mi raccomando non bloccatelo per nessuna ragione!”), e infine assumere il miglior pilota sul mercato in grado di vincere la gara. Perché chiunque può fare un GP decente se messo alla guida dell’auto migliore, ma se si vuole veramente vincere il campionato mondiale bisogna avere la migliore tecnologia, i migliori ingegneri e il miglior pilota.
Tutto ciò ovviamente si traduce in:
- Capire qual è la soluzione tecnologica che meglio si adatta alle necessità della propria azienda: protezione on-premise always-on o un servizio on-demand? O entrambi?
- Configurare e adattare quella soluzione specificamente per gli asset che devono essere protetti: è solo un sito web? ci sono altri servizi forniti tramite esso? la rete aziendale delle workstation è protetta? e le sedi remote?
- Identificare chiaramente il team responsabile della risposta agli attacchi DDoS e le relative procedure da seguire per tutti i casi previsti (e anche per qualcuno di quelli imprevisti);
- Mantenere aggiornate le tecnologie in uso e le competenze del personale aziendale, attraverso training ed esercitazioni periodiche.
Un ultimo consiglio, quando siete alla guida della vostra soluzione anti-DDoS, non fate come Yoong, fate come Trulli.
