Con migliaia di aziende che incoraggiano i propri dipendenti a lavorare da remoto, gli attacchi DDoS (Distributed Denial of Service) sono in aumento. Gli attacchi continuano a crescere in volume, frequenza e sofisticazione. Secondo uno studio condotto alla fine del 2020 da Corero - provider di tecnologie di mitigazione DDoS - gli attacchi DDoS multi-vettore sono aumentati di oltre il 200% dal 2007, poiché la maggior parte degli attacchi oggi sfrutta contemporaneamente più tecniche.

L'attività DDoS tende anche ad essere pervasiva con attacchi ripetitivi e di breve durata. Secondo lo studio, 4 attacchi su 5 durano meno di 10 minuti, con una probabilità del 25% di un attacco DDoS ripetuto entro le prime 24 ore. Una strategia di difesa potente e accurata è fondamentale per una mitigazione efficiente ed efficace nel mantenere le aziende protette e operative.

Con un’attività DDoS in aumento a più livelli, gli attacchi possono essere impossibili da mitigare senza rilevamento precoce delle minacce e sistemi automatici di profilazione del traffico. Non è raro che le aziende si rendano conto di essere state attaccate solo quando un'applicazione del sito web rallenta in modo anomalo fino ad arrestarsi o va in crash. Questo vale soprattutto nel caso di attacchi sofisticati, che utilizzano un approccio misto e prendono di mira simultaneamente più livelli del modello OSI.
Gli attacchi DDoS prendono di mira simultaneamente database, applicazioni e infrastrutture per aumentare le possibilità di successo. Per proteggersi da questi attacchi le aziende necessitano di una strategia e di una soluzione affidabile di prevenzione e mitigazione degli attacchi DDoS. I responsabili degli acquisti per la sicurezza IT devono investire in una strategia di sicurezza integrata che protegga tutta l'infrastruttura su più livelli. Ecco alcuni suggerimenti da tenere presente per implementare una strategia di mitigazione DDoS.

Sviluppare un piano di contrasto DDoS

Una valutazione approfondita della sicurezza deve essere alla base del piano di difesa. Le aziende più grandi possono necessitare di un'infrastruttura più complessa e il coinvolgimento di più team nella pianificazione DDoS.

Quando si verifica un attacco DDoS, non c'è tempo per pensare alle misure necessarie, che vanno definite in anticipo per consentire reazioni tempestive ed evitare qualsiasi impatto negativo. A seconda dell'infrastruttura, un piano di contrasto DDoS può essere piuttosto complesso. In caso di attacco, già il primo passo può definire il corso degli eventi. Lo sviluppo di un piano di risposta agli incidenti è un primo passo fondamentale di una strategia di difesa completa.

Gli elementi chiave di un piano sono importanti per tutte le organizzazioni e includono:
Elaborare una lista di controllo dei sistemi. Definire un elenco completo di "risorse", ad esempio server web, elementi di rete o applicazioni che si connettono direttamente a internet con i corrispondenti indirizzi IP pubblici che dovrebbero essere protetti in caso di attacco.
Organizzare un team di intervento. Definire le responsabilità dei membri chiave del team per garantire una reattività organizzata all'attacco quando si verifica.
Definire le procedure di notifica ed escalation. Assicurarsi che i membri del team sappiano esattamente chi contattare in caso di attacco. Includere l'elenco dei contatti interni ed esterni che dovrebbero essere informati dell'avvenuto attacco. Sviluppare strategie di comunicazione con clienti, fornitori di servizi cloud e di sicurezza.

Proteggere l’Infrastruttura di Rete

La mitigazione delle minacce alla sicurezza della rete può essere ottenuta solo implementando in parallelo più strategie di protezione. Ciò include funzionalità di sicurezza di nuova generazione come la prevenzione avanzata delle intrusioni e i sistemi di risposta alle minacce, che combinano firewall, VPN, antispam, filtro dei contenuti e sicurezza di rete con soluzioni di mitigazione DDoS. Insieme, queste funzionalità di sicurezza di nuova generazione consentono una protezione di rete costante e uniforme per la gestione di un attacco DDoS.

La maggior parte delle apparecchiature di rete standard viene fornita con limitate capacità di mitigazione DDoS. Pertanto, le aziende dovrebbero considerare di esternalizzare la protezione DDoS per garantire una protezione più completa. Le soluzioni in outsourcing in cloud permettono alle aziende di accedere a risorse avanzate di mitigazione e protezione ad un budget fisso. Questa è un'opzione ottimale per quelle aziende che desiderano mantenere i budget dedicati alla sicurezza entro limiti previsti. Inoltre, le aziende dovrebbero anche assicurarsi che i loro sistemi siano aggiornati. I sistemi obsoleti possono presentare vulnerabilità che possono essere sfruttate dagli aggressori DDoS.

Mettere in pratica le misure base per la sicurezza di rete

L'implementazione di solide pratiche per la sicurezza può impedire che le reti aziendali vengano compromesse. Le pratiche sicure includono password complesse che cambiano regolarmente, metodi anti-phishing e firewall sicuri che consentono un traffico esterno minimo. Queste misure da sole non fermeranno gli attacchi DDoS, ma fungono da base di sicurezza critica per mitigare il loro impatto negativo sulle aziende.

Mantenere un'architettura di rete solida

Puntare su un'architettura di rete sicura è fondamentale per la sicurezza. Le aziende dovrebbero creare risorse di rete ridondanti; se un server viene attaccato, gli altri possono gestire il traffico di rete aggiuntivo. Quando possibile, i server dovrebbero essere ubicati in luoghi geograficamente diversi. Le risorse distribuite sono più difficili da prendere di mira per gli aggressori.

Affidarsi ad un ISP

L'outsourcing della prevenzione DDoS agli ISP che offrono servizi di mitigazione DDoS in cloud offre numerosi vantaggi. È necessario individuare fornitori che offrano soluzioni "always on" in grado di assorbire enormi volumi di traffico dannoso, con un impatto minimo sulla latenza, prima che questo raggiunga la destinazione prevista. Se un’azienda vuole incrementare le proprie soluzioni sempre attive con un certo controllo su come e quando applicare la mitigazione, troverà un vantaggio significativo presso quegli ISP che offrono funzionalità di reindirizzamento del traffico avviato dal cliente in modo automatizzato. Inoltre, i servizi di soluzioni DDoS forniti tramite un provider di servizi Internet Tier 1 integrato, beneficiano di funzionalità di intelligence delle minacce che monitorano costantemente le ultime tattiche DDoS e le tendenze di attacco emergenti.

Cogliere i segnali di pericolo

I segnali di un attacco DDoS includono latenza di rete, scarsa connettività o efficienza su una intranet aziendale o arresti intermittenti di siti Web. Nessuna rete è perfetta, ma se una mancanza di efficienza si prolunga o sembra essere più grave del solito, è molto probabile che la rete stia subendo un attacco DDoS al quale l'azienda deve porre rimedio. Tuttavia, il modo più sicuro per proteggersi dagli attacchi DDoS è investire in una soluzione che operi in tempo reale e always-on.

In sintesi, gli attacchi DDoS continueranno a costituire una parte significativa del panorama delle minacce alla sicurezza aziendale. Essere ben preparati e implementare misure coerenti e rigorose per mitigare gli attacchi è la chiave per limitare e annullare il potenziale impatto sull'azienda.

Samir Desai è Director, Managed Security Services, Products di GTT Communications