Arbor Networks, la divisione sicurezza di NETSCOUT, festeggia vent’anni di difesa dagli attacchi DDoS mirati a minare la disponibilità delle reti ISP (Internet Service Provider)
Settembre 1996, l’Internet Service Provider di New York, Panix, viene colpito da un attacco DoS di tipo SYN flood che lascia la città offline per parecchi giorni. Arrivato in un momento in cui ci sono in linea solo 20 milioni di americani, è uno dei primi, importanti esempi della crescente importanza della disponibilità della rete e del servizio ed evidenzia la fragilità dell’infrastruttura Internet dell’epoca. Un’informativa del CERT di Carnegie Mellon recitava, “A tutt’oggi, non esiste una soluzione al problema generalmente accettata e fondata sull’attuale tecnologia del protocollo IP.” Il resoconto del New York Times sull’attacco riportava un’affermazione di un esperto del settore: “In linea di principio, non abbiamo una soluzione per la maggior parte degli attacchi DoS. A livello generale, il problema non è risolvibile. È una questione aperta.”
Gli albori della difesa DDoS
È in questo contesto che all’Università del Michigan nasce il primo progetto di ricerca mirato alla risoluzione del problema. La DARPA (Defense Advanced Research Projects Agency) riconosce l’importanza dello sforzo e concede una sovvenzione per la prosecuzione del lavoro, un investimento che è stato considerato da allora come l’artefice di una delle cinque tecnologie più sorprendenti. Negli ultimi 16 anni, Arbor Networks ha collaborato con i migliori ISP, imprese e governi internazionali per sviluppare protezioni contro gli attacchi DDoS. Arbor ha assistito in prima persona all’avvento di Cloud Computing ed Enterprise Mobility, all’evoluzione delle reti globali e agli attacchi che hanno subito. Guardando indietro, oggi molte cose sono cambiate e molto si sta facendo per la disponibilità delle reti.
“La disponibilità è alla base del nostro mondo connesso ed è ciò che alza la posta in gioco per gli operatori di rete e per chi li attacca. Siamo passati dall’assenza di risposte di 20 anni fa all’odierna esigenza di soluzioni DDoS specificamente studiate per il genere e la complessità degli attacchi moderni,” afferma Eric Jackson, Vice-presidente Gestione Prodotti di Arbor Networks.
Gli attacchi DDoS sono cambiati
Nonostante 20 anni di notizie, gli investimenti delle aziende sono ancora oggi insufficienti, e le aziende sono impreparate a gestire i moderni attacchi DDoS. Molti credono erroneamente di non poter essere presi di mira da attacchi DDoS e si ritrovano a gestire interruzioni impreviste che vengono attribuite a guasti alle attrezzature o a errori operativi per mancanza di visibilità e difesa DDoS. Ancora in molti si affidano a infrastrutture esistenti come firewall e IPS o a singoli strati di protezione da ISP o CDN e si ritrovano esposti e solo parzialmente protetti. Firewall e IPS sono dispositivi di stateful inspection che spesso finiscono per essere bersaglio di attacchi DDoS, mentre le soluzioni cloud-only o la protezione CDN non forniscono un’adeguata difesa per le applicazioni business più importanti.
Dimensioni: gli attacchi alle reti IPS di fine anni ‘90 erano minimi rispetto a quelli odierni di notevole entità. Solo il mese scorso, Arbor Cloud ha arginato un attacco da 600Gbps, il più grande mai visto. Si prevede entro la fine del 2016 di arrivare a una dimensione media di attacco pari a 1,15Gbps, sufficiente per mettere fuori gioco la maggior parte delle attività
Frequenza: nell’era dell’hacktivismo, degli strumenti gratuiti e dei servizi di noleggio, la probabilità di essere presi di mira da un attacco è elevata come non mai. Il numero di attacchi DDoS è aumentato di 2,5 volte negli ultimi tre anni.
Complessità: gli attacchi DDoS non sono più dei semplici SYN flood; ma attacchi estremamente complessi e multi-vettore che mirano contemporaneamente alla banda larga delle connessioni, alle applicazioni, all’infrastruttura (Firewall, IPS) e ai servizi.
La miglior difesa è l’ibrido
Secondo IHS Infonetics Research, “per i clienti, i vantaggi delle soluzioni ibride sono chiari: la mitigazione on-premise permette di affrontare il rischio costante degli attacchi volumetrici alle bande larghe inferiori (10G o meno) a un costo fisso. Le soluzioni ibride forniscono, inoltre, grande protezione dagli attacchi non volumetrici e di non saturazione (come molti attacchi application layer). Le soluzioni on-premise possono essere integrate all’infrastruttura di sicurezza per fornire una copertura costante contro gli attacchi e la previsione di quelli multivettore che evidenziano DDoS come singolo vettore in un attacco più massiccio.”
