Molto è stato fatto ma tanto resta ancora da fare. Il futuro è nelle soluzioni ibride

E’ il settembre del 1996 quando l’Internet Server Provider di New York, Panix, viene colpito da un attacco DoS di tipo SYN flood che lascia la città offline per parecchi giorni.
Il resoconto del New York Times sull’attacco riportava un’affermazione di un esperto del settore: “In linea di principio, non abbiamo una soluzione per la maggior parte degli attacchi DoS. A livello generale, il problema non è risolvibile. È una questione aperta.”

Da allora ne è stata fatta di strada e guardando indietro, oggi molte cose sono cambiate e molto si sta facendo per la disponibilità delle reti.

“La disponibilità è alla base del nostro mondo connesso ed è ciò che alza la posta in gioco per gli operatori di rete e per chi li attacca. Siamo passati dall’assenza di risposte di 20 anni fa all’odierna esigenza di soluzioni DDoS specificamente studiate per il genere e la complessità degli attacchi moderni,” afferma Eric Jackson, Vice-presidente Gestione Prodotti di Arbor Networks.

Gli attacchi DDoS sono cambiati

20anni_DDoS

Nonostante 20 anni di notizie, gli investimenti delle aziende sono ancora oggi insufficienti, e le aziende sono impreparate a gestire i moderni attacchi DDoS. Molti credono erroneamente di non poter essere presi di mira da attacchi DDoS e si ritrovano a gestire interruzioni impreviste che vengono attribuite a guasti alle attrezzature o a errori operativi per mancanza di visibilità e difesa DDoS. Ancora in molti si affidano a infrastrutture esistenti come firewall e IPS o a singoli strati di protezione da ISP o CDN e si ritrovano esposti e solo parzialmente protetti. Firewall e IPS sono dispositivi di stateful inspection che spesso finiscono per essere bersaglio di attacchi DDoS, mentre le soluzioni cloud-only o la protezione CDN non forniscono un’adeguata difesa per le applicazioni business più importanti.

Dimensioni: gli attacchi alle reti IPS di fine anni ‘90 erano minimi rispetto a quelli odierni di notevole entità. Solo il mese scorso, Arbor Cloud ha arginato un attacco da 600Gbps, il più grande mai visto. Si prevede entro la fine del 2016 di arrivare a una dimensione media di attacco pari a 1,15Gbps, sufficiente per mettere fuori gioco la maggior parte delle attività

Frequenza: nell’era dell’hacktivismo, degli strumenti gratuiti e dei servizi di noleggio, la probabilità di essere presi di mira da un attacco è elevata come non mai. Il numero di attacchi DDoS è aumentato di 2,5 volte negli ultimi tre anni.

Complessità: gli attacchi DDoS non sono più dei semplici SYN flood; ma attacchi estremamente complessi e multi-vettore che mirano contemporaneamente alla banda larga delle connessioni, alle applicazioni, all’infrastruttura (Firewall, IPS) e ai servizi.

La miglior difesa è l’ibrido

Secondo IHS Infonetics Research, “per i clienti, i vantaggi delle soluzioni ibride sono chiari: la mitigazione on-premise permette di affrontare il rischio costante degli attacchi volumetrici alle bande larghe inferiori (10G o meno) a un costo fisso. Le soluzioni ibride forniscono, inoltre, grande protezione dagli attacchi non volumetrici e di non saturazione (come molti attacchi application layer). Le soluzioni on-premise possono essere integrate all’infrastruttura di sicurezza per fornire una copertura costante contro gli attacchi e la previsione di quelli multivettore che evidenziano DDoS come singolo vettore in un attacco più massiccio.”