Una guida rapida alla comprensione degli attacchi DDoS e dei metodi di mitigazione
Pubblicato: 2016-04-25Con le aziende che fanno così tanto affidamento su una presenza su Internet, è incredibilmente cruciale assicurarsi di avere la protezione DDoS adeguata da qualsiasi forma di attacco. Le invasioni di DDoS (Distributed Denial of Service) sono alcune delle forme più semplici di attacchi virtuali da eseguire con un numero sempre crescente di strumenti facilmente accessibili, ma possono anche comportare la più grande minaccia. Gli attacchi DDoS possono essere effettuati da semplici servizi web, ma sono in grado di far crollare anche i server più stabili. Progettati per sovraccaricare i servizi di richieste, questi attacchi impediscono l'accesso pubblico e bloccano qualsiasi potenziale operazione o vendita.
Molte aziende, soprattutto di piccole dimensioni, non sono in grado di stabilire una protezione indipendente contro questi tipi di attacchi o di ottenere server DDoS Secure. Tuttavia, con l'aumento della minaccia di attacco, aumenta anche la disponibilità di un aiuto esterno. Nel loro rapporto annuale mondiale sulla sicurezza dell'infrastruttura, Arbor Networks ha riconosciuto una significativa richiesta da parte dei clienti di rilevamento e protezione DDoS, fino al 74% rispetto al minuscolo 4% dell'anno precedente.
Cosa sono esattamente gli attacchi DDoS e come proteggi la tua azienda dal cadere vittima di invasioni spietate?
Metodi di attacco DDos
Apparentemente semplici in teoria, gli attacchi DDoS possono utilizzare diversi metodi per inondare i server rendendo più difficile determinare l'origine e il metodo di invasione.
- Attacchi volumetrici : consumare tutta la larghezza di banda è un modo semplice per chiudere i servizi. Invia un numero enorme di richieste contemporaneamente e anche i server Web più stabili possono essere rimossi. Generalmente fatto attraverso una "botnet", una raccolta di migliaia di computer infestati da malware provenienti da tutto il mondo controllati da un solo hacker. Quando tutte queste macchine vengono indirizzate ad accedere a un singolo sito Web, il volume di traffico sovraccarica il server causando arresti anomali e la rimozione delle pagine.
- Attacchi a livello di applicazioni : ci sono sette livelli verticali che compongono Internet, ciascuno dei quali utilizza protocolli diversi per inviare informazioni. Questo è noto come modello di interconnessione di sistemi aperti ed è una rappresentazione di come funzionano le reti. L'ultimo e il settimo livello di questo modello è noto come Application Layer. Il settimo livello è quello con cui i più hanno familiarità ed elabora le comunicazioni HTTP e SMTP dalla navigazione Web di base e dai servizi di posta elettronica. Gli attacchi DDoS al livello dell'applicazione mascherano le attività dannose come comportamenti umani reali nel tentativo di sopraffare e consumare tutte le risorse a questo livello. Poiché tentano di imitare l'attività reale, questi attacchi sono molto più difficili da identificare.
- Attacchi al protocollo – Invece di chiudere i servizi per semplice numero, gli attacchi al protocollo si concentrano sull'ostruzione delle risorse inviando richieste ping da indirizzi IP falsi. Questi attacchi inviano richieste al tuo server con questi indirizzi falsi e quando il tuo server tenta di rispondere rimangono in attesa senza fine sperando di ricevere risposta, o vengono restituiti con richieste inutilmente grandi. Ciò impedisce alle risorse di eseguire e completare altre richieste e servizi.
Perché hai bisogno della protezione DDoS?
Nel loro rapporto sulla sicurezza, Arbor Networks ha determinato un aumento significativo degli attacchi DDoS rispetto agli anni precedenti. Nel 2015, il 44% dei fornitori di servizi ha notato più di 21 attacchi al mese, un aumento rispetto al precedente 38%. Con una richiesta di connettività costante e accesso istantaneo, i clienti potrebbero essere dissuasi dal tuo servizio se gli attacchi DDoS fanno sempre crollare il tuo sito web. Nel solo settore VOIP, il rapporto ha concluso che il numero di attacchi DDoS ai provider è aumentato da solo il 9% di tutti gli attacchi nel 2014 al 19% nel 2015.
La principale motivazione dietro gli attacchi DDoS sembra essere "criminali che dimostrano capacità di attacco", con "giochi" e "tentativi di estorsioni criminali" non troppo indietro, secondo lo studio. Esatto, estorsione criminale. Non è raro che gli hacker inviino piccoli attacchi DDoS di avviso come una minaccia, seguiti da un'e-mail di riscatto con la minaccia di un'interruzione più intensa dei servizi.
Non solo possono interrompere il flusso di servizi, ma Arbor Networks ha anche notato un aumento degli attacchi DDoS utilizzati più spesso come cortina fumogena, un tentativo di mascherare altri attivamenti dannosi come infezioni da malware, furto di informazioni o persino frode.
Come funziona la mitigazione DDoS
Per loro natura, gli attacchi DDoS sono molto difficili da affrontare mentre si verificano. La migliore linea di difesa consiste nell'adottare e impostare in modo proattivo misure che analizzino attivamente i dati in entrata e mitighino eventuali richieste false o dannose. Tuttavia, la scelta della migliore protezione DDoS può essere opprimente quanto gli attacchi ed è importante notare non solo le funzionalità incluse in queste protezioni, ma anche i metodi e le reti di supporto. Sebbene un servizio possa offrire le migliori caratteristiche e metodi, senza una rete di supporto adeguata in grado di gestire l'enorme volume, la protezione fallirà.
-Sei sotto attacco?
È innanzitutto importante determinare se il tuo servizio è effettivamente vittima di un attacco DDoS: la protezione deve essere in grado di distinguere il traffico buono (i tuoi clienti) da quello cattivo (l'attacco). Se il servizio di mitigazione rileva semplicemente il traffico e chiude tutte le richieste in arrivo, hai lo stesso problema degli utenti legittimi che non sono in grado di accedere alla tua pagina web o al tuo servizio. È qui che entrano in gioco i servizi Bot Discernment e Deep Packet Inspection, questi metodi sono sviluppati per distinguere tra traffico buono e cattivo.
-Reindirizzare il cattivo traffico
Una volta riconosciuto, il traffico dannoso deve essere adeguatamente mitigato e reindirizzato lontano dal tuo server. È qui che entrano in gioco la forza e il livello di una rete di protezione. Tutti i ping dannosi verranno portati via da te e filtrati attraverso l'infrastruttura di mitigazione, al servizio di protezione stesso. Quel traffico nocivo viene filtrato attraverso i centri operativi di sicurezza del servizio di protezione. Con una rete troppo debole e pochi centri, il servizio di protezione non sarà in grado di far fronte all'afflusso di richieste. Questo in sostanza annullerebbe qualsiasi reale protezione dagli attacchi. Pertanto, è importante confrontare il numero e l'ubicazione di questi centri di operazioni di sicurezza o di lavaggio quando si considerano i fornitori di protezione.
-Utilizzare la tua protezione
Poiché la maggior parte dei servizi di protezione è personalizzabile in base alle esigenze della tua azienda, il modo in cui impostare e mantenere la protezione DDoS può variare notevolmente. A seconda del livello di importanza, la tua protezione può essere sempre attiva e attiva, intermittente in orari specifici o addirittura attivata e disattivata. I diversi metodi di distribuzione variano anche in base al modo in cui si desidera che i servizi operino, sia basati su cloud, con hardware in loco o un modello ibrido che utilizza entrambi. La scelta del metodo di distribuzione appropriato varia in base alle dimensioni dell'azienda, all'urgenza della protezione e persino alle capacità IT. L'hardware in loco potrebbe richiedere ulteriore supporto in loco e potrebbe essere troppo difficile da gestire per i piccoli team IT. Nel frattempo, la maggior parte dei servizi cloud sarà completamente gestita dal provider e ti avviserà quando si verifica un attacco, invece di attivare la protezione quando ti accorgi di un attacco.
Confronta le 6 migliori soluzioni di mitigazione DDoS
Con una solida comprensione di cosa sono gli attacchi DDoS e di come possono essere mitigati, è importante analizzare da vicino le diverse offerte di soluzioni sul mercato per determinarne l'efficacia. Come discusso in precedenza, è importante che la protezione non solo utilizzi metodi di protezione adeguati, ma che disponga di un adeguato supporto di rete per mitigare adeguatamente eventuali attacchi. Al di là delle semplici funzionalità, è importante notare la quantità di centri operativi di sicurezza a disposizione della protezione, nonché la capacità della rete.
Con un numero insufficiente di centri di sicurezza o una capacità di rete insufficiente, i migliori strumenti di mitigazione non riuscirebbero a prevenire adeguatamente un attacco perché non c'è dove inviare il traffico. Un modo semplice per capirlo è collegarlo a un casello per l'attraversamento di un ponte. I punti di ingresso rapido che non richiedono la sosta delle auto e il pagamento del pedaggio consentono un passaggio più rapido, ma se il numero di punti di ingresso è limitato a 2 o 3, quando arriva l'ora di punta l'afflusso di auto verrà incanalato in un numero limitato di ingressi punti. Senza un'infrastruttura adeguata per consentire più punti di ingresso, il sistema viene sopraffatto e il vantaggio di sistemi di pagamento più rapidi viene annullato.
Gli attacchi DDoS sono difficili da simulare e testare ogni singolo servizio di protezione non è del tutto fattibile. Al fine di suddividere le offerte di ciascun fornitore, abbiamo ottenuto informazioni dalle loro singole pagine Web, nonché ricerche e contatti indipendenti con i fornitori. Di seguito troverai un grafico che delinea i servizi più importanti e le loro caratteristiche comparabili.
 |  |  |  |  |  | |
| Numero di centri operativi di sicurezza | 4 | 42 | 4 | 27 | 3 | 5 |
| Capacità di rete (misurata in TB al secondo) | 1 | N / A | 1 | 1.5 | 0,5 | 1.7 |
| Firewall | No | sì | sì | sì | No | No |
| Discernimento del robot automatico | sì | sì | sì | sì | sì | sì |
| Ispezione approfondita del pacchetto | sì | N / A | sì | sì | sì | sì |
| Reindirizzamento DNS | sì | sì | sì | sì | sì | sì |
| proxy web | No | sì | sì | sì | sì | sì |
| Monitoraggio in tempo reale | sì | sì | sì | sì | sì | sì |
| Blocco IP | sì | sì | sì | sì | sì | sì |
| Sempre acceso | sì | sì | sì | sì | sì | sì |
| Protezione basata su cloud | sì | sì | sì | sì | sì | sì |
| Protezione ibrida | sì | No | No | sì | sì | sì |
| Monitoraggio in loco | sì | No | No | sì | No | No |
| Servizio clienti 24 ore su 24, 7 giorni su 7 | sì | sì | sì | sì | sì | sì |
| Assistenza via e-mail | sì | sì | sì | sì | sì | sì |
| Supporto telefonico | sì | sì | sì | sì | sì | sì |
| Chat Web dal vivo | No | No | sì | sì | sì | No |
| Ulteriori informazioni | Più dettagli | Più dettagli | Più dettagli | Più dettagli | Più dettagli | Più dettagli |