Le misure di lockdown hanno alterato il panorama DDoS
Informazioni dettagliate sugli attacchi DDoS a livello di rete
Il traffico Internet nel primo trimestre 2020 è aumentato. Sono aumentati anche gli attacchi DDoS a livello di rete?
Il primo trimestre 2020 ha registrato un enorme picco nel traffico Internet e negli attacchi DDoS a livello di rete. A causa delle limitazioni di lockdown in tutto il mondo, Internet è diventato il fattore chiave per la forza lavoro da remoto e per gestire i contatti della comunità, l'istruzione e lo shopping online, il tempo personale sui social media e i servizi basati su Internet, come la l'acquisto di generi alimentari e il gioco d'azzardo. Alcuni paesi hanno visto un aumento del traffico Web fino al 50%. Con l'aumento dell'attività online, sono aumentati anche gli attacchi DDoS a livello di rete. Quando l'attività online aumenta, gli autori degli attacchi DDoS lo fiutano. Sanno che un utilizzo di Internet più elevato genera maggiori profitti per le aziende online.
Durante il picco di utilizzo, le aziende hanno molto di più da perdere, quindi gli aggressori diventano ancora più motivati a impegnarsi nelle tattiche DDoS. ITC (Information Technology Industry Council) stima che il costo medio di un'interruzione sia di $5.600 al minuto. Ciò significa che un attacco DDoS di successo oggi potrebbe costare a un'azienda fino a 336.000 dollari per ogni ora di inattività. A causa di questi crescenti costi di inattività, alcune organizzazioni potrebbero essere più motivate a pagare un riscatto agli aggressori DDoS per rimettere in funzione la propria infrastruttura di rete o le proprietà Web.
Gli attacchi nel primo trimestre del 2020 sono stati più piccoli e più veloci
La maggior parte degli attacchi a livello di rete che abbiamo osservato durante il primo trimestre del 2020 sono stati attacchi di piccole dimensioni, misurati in base ai bit rate. Il 92% degli attacchi è stato inferiore a 10 Gigabit al secondo (Gbps), rispetto all'84% del quarto trimestre 2019. In termini di tassi di pacchetti, la maggior parte degli attacchi ha raggiunto un picco inferiore a 1 milioni di pacchetti per secondo (pps). Questo tasso, insieme al bit rate, indica che gli autori degli attacchi in questo momento concentravano i loro sforzi e le loro risorse sulla generazione di attacchi su piccola scala.
Oltre ai pacchetti e ai bit rate, sono diminuite anche le durate degli attacchi. Il 79% degli attacchi DDoS nel primo trimestre 2020 è durato da 30 e 60 minuti, rispetto agli attacchi che possono durare giorni o mesi. Potrebbe sembrare una buona notizia, ma non lo è. Una teoria di questa tendenza verso attacchi più piccoli e più brevi è che ora è più facile e conveniente lanciare un attacco DDoS rispetto al passato. Infatti, gli attacchi denial-of-service distribuiti sono ora disponibili come servizio. Secondo Kaspersky, un attacco di 5 minuti potrebbe costare appena $5 negli angoli più remoti di Internet.
Attacchi di grandi dimensioni ancora prevalenti
Sebbene la maggior parte degli attacchi osservati nel primo trimestre del 2020 fosse inferiore a 10 Gbps, gli attacchi più grandi erano ancora prevalenti. A marzo, l'attacco più grande del trimestre è stato osservato un picco di oltre 550 Gbps. A partire da metà marzo, Cloudflare ha notato un aumento degli attacchi DDoS più grandi rivolti alle aziende più grandi. Questi attacchi possono essere il lavoro di autori nazionali, attivisti o criminali informatici orientati al riscatto che mirano a interrompere le attività delle aziende i cui dipendenti lavorano da remoto. Altri autori di attacchi potrebbero tentare di sfruttare le utility vulnerabili, come griglie elettriche e operazioni petrolifere, nei tempi di distrazione.
Traccia dei vettori di attacco
Il numero medio di vettori di attacco impiegati negli attacchi DDoS per IP al giorno è stato costante a circa 1,4. Il numero massimo di vettori di attacco mirati su un IP al giorno è stato osservato essere 10. Nell'ultimo trimestre abbiamo visto oltre 32 diversi tipi di vettori di attacco sul livello 3 e 4 (L3/4). Gli attacchi ACK (acknowledgement signal) hanno costituito la maggioranza (55,8%) nel primo trimestre, seguiti da attacchi SYN (synchronize request) con il 14,4%, e al terzo posto Mirai (malware botnet), che rappresenta ancora una parte significativa degli attacchi (13,5%). Insieme, gli attacchi DDoS SYN e ACK formano oltre il 70% di tutti i vettori di attacco L3/4 nel primo trimestre.
Riepilogo degli apprendimenti del primo trimestre 2020
Un utilizzo più elevato di Internet globale sta motivando più attacchi DDoS.
Gli attacchi sono diventati più piccoli e più brevi, probabilmente perché sono più economici e più facili da lanciare.
Gli attacchi più grandi rivolti alle grandi imprese sono ancora prevalenti.
Interruzione della finestra di opportunità sugli attacchi DDoS
Con attacchi DDoS più diffusi che mai, ogni entità online in tutto il mondo deve sviluppare un approccio alla sicurezza che garantisca che le proprie reti, applicazioni e siti Web siano sicuri, veloci e affidabili. Abbiamo già visto quale può essere il costo in termini di potenziale perdita di ricavi per una sola ora di denial of service.
Quindi qual è l'approccio più conveniente per raggiungere questi obiettivi nell'era tutto connesso, in cui le imprese devono separare rapidamente il bene dal cattivo sotto forma di traffico legittimo e indesiderato?
Un metodo per mitigare gli attacchi DDoS è l'uso di box hardware per scansionare e filtrare il traffico on-prem sul perimetro di rete. Lo svantaggio di questo approccio è che questi attacchi più brevi richiedono tattiche di mitigazione rapide fino a 10 secondi o meno. Molti fornitori legacy forniscono SLA Time To Mitigate per una durata di 15 minuti.
Altri metodi di mitigazione DDoS includono il reindirizzamento del traffico di rete attraverso centri di scrubbing per filtrare il traffico dannoso dal traffico legittimo. Tuttavia, dato che molti attacchi DDoS sono localizzati, i centri di scrubbing non sono una soluzione fattibile, poiché sono limitati in numero e distribuiti geograficamente che possono introdurre un "punto di choke" perché il traffico deve essere instradato avanti e indietro da essi.
Una rete basata su cloud è l'unica risposta realmente efficace a tutti questi attacchi DDoS sempre più sofisticati. Mette la protezione DDoS su un unico piano di controllo all'estremità della rete per bloccare gli attacchi il più vicino possibile alla loro origine, in modo che i server di origine rimangano al sicuro sia che si trovino on-premise che nel cloud. Tale protezione di rete unificata e su larga scala è in grado di apprendere continuamente da ogni attacco condividendo automaticamente l'intelligence per contrastare l'attacco successivo. Offre inoltre una solida sicurezza DDoS in tutta l'azienda senza rallentare le prestazioni della rete e delle applicazioni, che potrebbe incidere negativamente sui ricavi.
Questi risultati sono stati ricavati dalla rete Cloudflare, che si estende in oltre 250 città in più di 100 paesi ed è in grado di bloccare oltre 72 miliardi di minacce informatiche al giorno. Grazie alla peculiare visuale a 360 gradi sul panorama delle minacce DDoS, la rete di Cloudflare è in grado di raccogliere una vasta gamma di dati su questi attacchi pervasivi man mano che si evolvono.
Questo articolo fa parte di una serie sulle ultime tendenze e argomenti che hanno un impatto sui decisori tecnologici di oggi.