FirewallSecurity managementSicurezza

Arbor Networks: per la sicurezza la tecnologia conta, ma è questione di consapevolezza

hacked
1 34 Nessun commento

Il Worldwide Infrastructure Security Report di Arbor Networks illustra i cambiamenti negli attacchi portati a service provider e aziende, ma anche che il lato umano resta spesso predominante

Per quanto le minacce informatiche evolvano e le dinamiche del “gioco” tra chi attacca le reti delle imprese e chi cerca di difenderle si facciano più complesse, alla fine uno dei fattori di primissimo piano della sicurezza IT resta la consapevolezza che le potenziali vittime (cioè le aziende) devono sviluppare in merito a ciò che le circonda. Questo traspare anche dall’annuale Worldwide Infrastructure Security Report che Arbor Networks ha sviluppato consultando un campione di oltre trecento tra service provider, aziende, operatori di datacenter di tutto il mondo.

Come già nelle versioni precedenti dell’analisi, gli attacchi di Distributed Denial of Service (DDoS) sono quelli che colpiscono maggiormente i service provider. Il dato più appariscente è che la portata di questi attacchi sta aumentando: il più corposo registrato dal segmento service provider nel periodo dell’analisi è stato pari a 500 Gbps ed è stato seguito da altri attacchi di 450, 425 e 337 Gbps. Negli undici anni di questo studio, fa notare Arbor Networks, le dimensioni massime di attacco sono cresciute di oltre 60 volte.

Marco Gioanola, Senior Consulting Engineer di Arbor Networks
Marco Gioanola, Senior Consulting Engineer di Arbor Networks

La situazione italiana può essere diversa per le cifre ma non lo è per la sostanza, come ci ha confermato Marco Gioanola, Senior Consulting Engineer di Arbor Networks: “C’è un aumento degli attacchi DDoS anche in Italia, i numeri assoluti sono ovviamente minori, ma la tendenza è la stessa e vedere attacchi da oltre 100 Gbps non è una cosa inusuale”. I service provider hanno fatto passi avanti per difendersi dagli attacchi DDoS e li conoscono ormai bene, lo stesso non può dirsi per le imprese e questo rappresenta un importante fattore di rischio, perché nella maggior parte dei casi (66 percento) gli attacchi DDoS che un service provder rileva non sono diretti al service provider in sé ma a qualche suo cliente, quindi comunque alle aziende.

In questo ambito bisogna andare oltre il dato eclatante delle centinaia di Gbps degli attacchi più voluminosi. “Si sottolinea la dimensione di picco – spiega Gioanola – ma contano anche frequenza e complessità. Le statistiche ci dicono che il 95 percento degli attacchi è inferiore ai 20 Gbps ma è spesso sottovalutato dagli utenti finali. Ci sono clienti che si sono resi conto di aver subito un attacco DDoS dopo settimane di troubleshooting della rete che sembrava non funzionare… Non sempre è facile spiegare che per penetrare una rete basta anche un attacco con poco traffico se si usano più canali contemporaneamente“.

attacchi-cloudIl tema degli attacchi DDoS, che sono forse più immediati da capire, si intreccia con quello delle Advanced Threat e delle Advanced Persistent Threat, che sono più variegate e quindi meno immediatamente classificabili proprio per il loro combinare forme di attacco diverse: phishing mirato, malware, social engineering e anche attacchi DDoS a volte solo come distrazione per coprire azioni più mirate.

Il 23 percento del campione dell’analisi di Arbor Networks ha registrato attacchi di tipo AT. In Italia la percentuale probabilmente è più bassa ma, sottolinea Gianola, “Il fatto che non vengano riportati casi di intrusione non vuol dire che le aziende non siano prese di mira. Ci sono attacchi persistenti che vanno avanti per mesi prima di essere individuati. È una constatazione che dovrebbe richiedere un cambio di passo, ma tanto globalmente quanto in Italia c’è un problema di presa di coscienza”.

sicurezza-tempiUn problema legato al fatto che si tende sempre a pensare – e sperare – che la sicurezza sia un problema degli altri e non nostro, sia come individui sia come aziende. “In molti casi è già difficile far percepire alle potenziali vittime l’aspetto macroscopico della sicurezza – commenta Gioanola – ancor di più convincerle che possono essere oggetto di attacchi mirati e precisi. Negli Stati Uniti ad esempio un’intrusione informatica fa scandalo, da noi no e anche questo rende difficile creare una sensibilità delle aziende al problema”. Le nuove normative europee potrebbero essere a questo punto uno stimolo in più, dato che obbligano le imprese a comunicare di essere state vittime di violazioni delle reti.

Aziende a parte, l’osservato speciale di questi mesi è il mondo cloud. La crescita nella diffusione dei servizi cloud li ha resi un possibile bersaglio degli attacchi DDoS e i service provider indicano infatti che un terzo degli attacchi che hanno rilevato era destinato ai servizi cloud. Ma il cloud è anche una potenziale fonte di attacchi: i criminali hanno imparato come violare alcune infrastrutture IaaS e PaaS per usarle come strumento stesso di attacchi. Come spiega Gioanola: “Il 34 percento degli operatori di datacenter dichiara di aver rilevato attacchi uscenti dalla propria infrastruttura. È un fenomeno in crescita e parte del problema è l’amplissimo ombrello rappresentato dalla definizione di cloud: in quest’ambito c’è una moltitudine di operatori anche piccoli e non è detto che tutto ciò che viene denominato cloud sia messo adeguatamente in sicurezza.

firewallIn uno scenario che cambia mutano anche gli strumenti usati dalle imprese per difendersi ma quello della sicurezza IT resta un mondo sempre molto variegato in cui le aziende usano una molteplicità di strumenti che raramente diventano un insieme sinergico. I firewall restano il prodotto più diffuso ma fanno fatica a contenere gli attacchi DDoS: più di metà del campione di Arbor Networks ha registrato malfunzionamenti dei firewall in conseguenza di attacchi DDoS. E comunque, secondo Arbor, i firewall estendono la superficie di attacco e rischiano di essere i primi dispositivi a essere saturati da un attacco DDoS.

Spesso serve qualcosa in più e di diverso anche perché, sostiene Gioanola, “Per le Advanced Threat non esiste l’appliance: l’intrusione è fatta da attaccanti umani, ci vogliono persone con le competenze opportune che devono essere supportate da strumenti altrettanto opportuni. Ci vogliono ad esempio strumenti che diano visibilità su cosa succede nella rete, che permettano di controllare le attività durante le analisi di post-detection“. Tanto che, rileva la survey di Arbor Networks, per la sicurezza le aziende fanno sempre più ricorso ai servizi gestiti e all’assistenza in outsourcing: la metà ha affidato la risposta agli incidenti a fornitori esterni.

Giornalista e collaboratore di TechWeekEurope, si occupa professionalmente di IT e nuove tecnologie da oltre vent'anni e ha collaborato con le principali testate italiane di settore

Seguici