Le Advanced Persistent Threat (APT) costituiscono uno dei principali motivi di preoccupazione per provider e aziende. Stabilizzati i volumi degli attacchi, aumentano quelli multi-vettore. Data center e servizi cloud sempre più colpiti. Gli operatori mobili aumentano i livelli di capacità ma non quelli di visibilità
Arbor Networks ha presentato i dati dell’ottava edizione dello studio Worldwide Infrastructure Security Report (WISR), che fornisce annualmente una delle poche opportunità per ottenere una visione diretta sulle principali sfide di sicurezza oggi affrontate dagli operatori di rete. Tra i principali risultati dello studio di quest’anno troviamo che: gli attacchi Advanced Persistent Threat (APT) sono divenuti la maggiore fonte di preoccupazione per service provider e aziende; gli attacchi Distributed Denial of Service (DDoS) si sono stabilizzati in termini di dimensioni ma divengono sempre più complessi; data center e servizi cloud costituiscono bersagli particolarmente interessanti per il cybercrimine; infine, per quanto concerne la visibilità di rete, il comportamento da parte degli operatori mobili resta di tipo reattivo. Lo studio copre inoltre l’impatto del modello BYOD unitamente alle problematiche legate alle infrastrutture come VoIP e IPv6.
Tenendo conto dei dati raccolti presso operatori di tutto il mondo, questo report annuale intende aiutare i protagonisti del settore ad assumere decisioni più informate e pertinenti in tema di strategie di sicurezza per garantire l’integrità delle infrastrutture IP e Internet mission-critical. Le relazioni coltivate da tempo con i propri clienti e la solida reputazione di Arbor quale trusted advisor e solution provider sono gli elementi che rendono possibile la realizzazione annuale di questo studio. Per consultare l’ottava edizione dell’Arbor Networks Annual Worldwide Infrastructure Security Report è possibile cliccare qui.
“Da sempre Arbor collabora con gli operatori di rete più avanzati del mondo. Questo report annuale è il frutto di una vera partnership con tutti i nostri clienti e con l’estesa community che lavora per tutelare la sicurezza delle informazioni”, ha osservato il Presidente di Arbor Networks, Colin Doherty. “Anche quest’anno il nostro studio fornisce dati essenziali per diverse categorie come service e cloud provider, provider mobili e operatori di reti enterprise”.
Principali risultati
Advanced Persistent Threat (APT): una priorità per service provider e aziende
• Per il 61% la priorità assoluta è costituita dalle macchine colpite da bot o da host altrimenti violati
• Per il 55% la questione più urgente è rappresentata dagli attacchi Advanced Persistent Threat (APT)
Le minacce avanzate costituiscono un problema ben noto per i responsabili di reti aziendali. L’indagine di quest’anno ha rilevato un superiore livello di preoccupazione per le macchine colpite da bot o comunque compromesse che risiedono nelle reti dei provider. L’aumento dei sistemi infestati da bot non sorprende considerando la quantità e la complessità delle varianti di malware esistenti, il loro ritmo di evoluzione e la conseguente incapacità di IDS e sistemi antivirus di fornire una protezione completa contro di essi. Guardando al futuro si nota una preoccupazione anche maggiore nei confronti di APT, spionaggio industriale, esfiltrazione di dati e attività di talpe interne.
DDoS: il volume degli attacchi si stabilizza, ma aumenta la complessità
• Il volume di attacco più ampio registrato è stato di 60 Gbps, come nel 2011; nel 2010 il picco era stato pari a 100 Gbps
• Il 46% segnala attacchi multi-vettore
I risultati di quest’anno confermano come gli attacchi multi-vettore e quelli diretti contro il layer applicativo stiano continuando a evolvere in termini di complessità mentre gli attacchi volumetrici più grandi stanno iniziando a stabilizzarsi in termini di dimensioni. Gli attacchi diretti contro il layer applicativo si sono diffusi sempre più negli ultimi anni, con l’86% di intervistati che si è scontrato contro queste sofisticate minacce nate per colpire i servizi Web. Il cybercrimine oggi ricorre ad attacchi multi-vettore particolarmente sofisticati e resistenti, adottando combinazioni di vettori mirati a smantellare le difese del bersaglio prescelto. Gli attacchi multi-vettore possono essere difficili da mitigare, cosa che generalmente richiede soluzioni stratificate nei vari layer. Il report di quest’anno comprende un case study sugli attacchi condotti contro le istituzioni finanziarie statunitensi, un esempio perfetto di attacco multi-vettore.
Data center e servizi cloud sempre più colpiti
• Il 94% degli operatori di data center ha riferito di aver subito attacchi
• Il 90% di essi ha riportato spese operative come impatto di business
Aumentando il numero di aziende che spostano i propri servizi sul cloud occorre essere consapevoli dei rischi che si condividono con altri e delle possibilità di subire danni collaterali. Poiché i risultati dello studio di quest’anno indicano come i siti di e-commerce e online gaming siano i bersagli più comuni, trovarsi nel medesimo data center di uno di essi comporta un certo rischio.
I provider mobili continuano a essere reattivi
• Il 60% degli interpellati non dispone di visibilità sul traffico dei propri EPC (Evolved Packet Core) o core di reti mobili
Dalla scorsa edizione dello studio si è verificato un limitato miglioramento nella visibilità e negli investimenti a favore di soluzioni di rilevamento/mitigazione specifiche per il settore delle reti mobili. Il ritorno economico delle reti CSN (Consumer Subscriber Network) non è tale da incentivare i provider a implementare funzioni di sicurezza fintanto che non si verifichi un problema.
Il numero di dispositivi mobili e i relativi livelli di sofisticazione e di potenza aumentano di anno in anno; riteniamo per questo che si tratti solo di una questione di tempo prima che reti bot e DDoS assumano un ruolo importante anche nell’ambito mobile.
Il modello Bring Your Own Device (BYOD) pone nuove sfide
• Il 63% degli intervistati consente dispositivi BYOD sulle proprie reti
• Ciò nonostante, solo il 40% dispone degli strumenti adatti a monitorare tali dispositivi
Alla luce della crescente tendenza all’utilizzo del modello BYOD, metà degli intervistati ha riferito di ammettere l’uso di dispositivi personali sulle proprie reti. Solo il 40% però dispone di strumenti atti a monitorare tali dispositivi. Inoltre, un limitato 13% blocca in maniera proattiva l’accesso ad applicazioni e siti di social networking. È evidente come il modello BYOD stia aprendo un’ulteriore quantità di entry-point attraverso cui gli hacker possono violare la rete.
L’infrastruttura DNS resta vulnerabile
• Il 27% degli intervistati ha riferito di aver subito attacchi DDoS sulla propria infrastruttura DNS con conseguenze sui clienti — un incremento significativo rispetto al 12% dell’anno scorso
Alla richiesta di sapere se esista una buona visibilità del traffico da o verso l’infrastruttura DNS, quasi il 71% degli intervistati ha risposto positivamente per quanto concerne i Layer 3 e 4, mentre solo il 27% anche per il Layer 7. Questa assenza di visibilità e la carenza di personale dedicato sono elementi che creano un ambiente ideale per un hacker intenzionato a causare danni. Chi attacca ora dispone di numerosi obiettivi dai quali creare attacchi di riflesso.
I deployment IPv6 si stanno diffondendo rapidamente
• L’80% degli interpellati dispone già di deployment IPv6 parziali o totali, da completare eventualmente nei prossimi 12 mesi.
Nella scorsa edizione dello studio erano stati riportati i primi casi di attacchi DDoS IPv6 ai danni di reti di produzione; nonostante tali segnalazioni, all’epoca gli incidenti a livello IPv6 risultavano ancora limitati. Tenendo conto che il 75% del campione è costituito da service provider, non sorprende che i deployment IPv6 stiano oggi registrando un’accelerazione: fatto che determina nuove opportunità per gli hacker di scavalcare i controlli di rete commutando tra reti IPv4 e IPv6.
Il Report completo è disponibile qui
