Akamai Technologies ha pubblicato il nuovo Rapporto sulla sicurezza relativo al primo trimestre 2016, che presenta un quadro dettagliato sullo scenario delle minacce che colpiscono la sicurezza e analizza con dati utili e dettagliati le attività dannose rilevate nella Akamai Intelligent Platform.
Attività degli attacchi DDoS in breve
Durante il Q1, Akamai ha mitigato oltre 4.500 attacchi DDoS, in aumento del 125% rispetto al Q1 2015. Come negli ultimi trimestri, la stragrande maggioranza di questi attacchi ricorreva a tecniche di riflessione che impiegavano strumenti basati su stresser/booter. Questi allontanano il traffico dai server su cui sono in esecuzione servizi vulnerabili, come DNS, CHARGEN e NTP. Di fatto, il 70% degli attacchi DDoS in Q1 ha utilizzato i vettori DNS, CHARGEN, NTP o UDP fragment basati sulla riflessione.
Oltre la metà degli attacchi (55%) si è rivolta alle società di gaming, mentre il 25% ha scelto come bersaglio il settore dei software e della tecnologia.
Il Q1 2016 ha messo a segno un record per quel che riguarda il numero di attacchi DDoS che superano i 100 gigabit al secondo (Gbps): 19. Il più grande dei mega attacchi mitigati da Akamai ha sfiorato i 289 Gbps. In quattordici casi sono stati utilizzati metodi di riflessione DNS. Nel trimestre in esame si sono registrati solo cinque attacchi di grandi dimensioni; il record precedente, raggiunto nel Q3 2014, era costituito da 17 eventi.
Nel Q4 2015, gli attacchi DDoS ripetuti sono diventati la norma, con una media di 24 attacchi per cliente colpito. La tendenza è proseguita anche nel trimestre in esame, nel quale i clienti colpiti sono stati attaccati in media 39 volte ciascuno. Un cliente è stato preso di mira in 283 occasioni, circa tre volte al giorno.
Metriche DDoS
Rispetto al Q1 2015
– Aumento del 125,36% degli attacchi DDoS totali
– Aumento del 142,14% degli attacchi mirati ai livelli di infrastruttura (livello 3 e 4)
– Diminuzione del 34,98% della durata media degli attacchi: 16,14 vs. 24,82 ore
– Aumento del 137,5% degli attacchi > 100 Gbps: 19 vs. 8
Rispetto al Q4 2015
– Aumento del 22,47% degli attacchi DDoS totali
– Aumento del 23,17% degli attacchi mirati ai livelli di infrastruttura (livello 3 e 4)
– Aumento del 7,96% della durata media degli attacchi: 16,14 vs. 14,95 ore
– Aumento del 280% degli attacchi > 100 Gbps: 19 vs. 5
Attività degli attacchi alle applicazioni web
Gli attacchi alle applicazioni web sono aumentati di quasi il 26% rispetto al Q4 2015. Analogamente ai trimestri precedenti, il settore retail è stato il più colpito, divenendo un bersaglio nel 43% dei casi. Con un distacco rispetto all’ultimo trimestre, è stata tuttavia registrata una diminuzione del 2% degli attacchi alle applicazioni web su HTTP e un aumento del 236% degli attacchi alle applicazioni web su HTTPS. Si è anche verificato un aumento dell’87% degli attacchi SQLi, rispetto al trimestre precedente.
Come negli ultimi trimestri, sono gli Stati Uniti a conquistare il primato in quanto origine del traffico (43%) e bersaglio (60%) più frequente degli attacchi alle applicazioni web.
Metriche degli attacchi alle applicazioni web
Rispetto al Q4 2015
– Aumento del 25,52% degli attacchi totali alle applicazioni web
– Diminuzione dell’1,77% degli attacchi alle applicazioni web su http
– Aumento del 235,99% degli attacchi alle applicazioni web su HTTPS
– Aumento dell’87,32% degli attacchi SQLi
Istantanea sull’attività dei bot
Nel suo Rapporto sulla sicurezza Akamai ha, per la prima volta, incluso anche un’analisi dell’attività dei bot. Considerando l’attività dei bot nell’arco di 24 ore, sono state monitorate e analizzate oltre 2 trilioni di richieste di bot. Per quanto riguarda il traffico noto e rilevato, se il 40% era costituito dai cosiddetti bot legittimi, il 50% è stato identificato come dannoso e impegnato in campagne di scraping o altre operazioni correlate.
Aumento degli attacchi di DDoS Amplification
Dall’analisi dei dati raccolti sul perimetro della Akamai Intelligent Platform, è emerso un aumento del 77% QOTD (Quote of the Day) degli attacchi di tipo DDoS Amplification ad oggi attivi: 72% nel caso di NTP amplification e 67% per quel che riguarda la tecnica di CHARGEN Amplification rispetto al Q4 2015. Il numero di attacchi del tipo SSDP Amplification rilevati è invece diminuito del 46%.
