[Rapporto sullo stato di Internet] / Security di Akamai

Analisi riassuntiva Q4 2016

2 Scaricate la versione integrale del rapporto all'indirizzo www.akamai.com/StateOfTheInternet

Analisi riassuntiva sullo [stato di Internet] Q4 2016 / Security

informazioni sull'analisi / Akamai, leader mondiale

nell'offerta di servizi di Content Delivery Network

(CDN) con la propria Intelligent PlatformTM distribuita

globalmente elabora ogni giorno migliaia di miliardi di

transazioni Internet. In questo modo Akamai raccoglie

enormi quantità di dati correlati alla connettività a

banda larga, alla sicurezza del cloud e alla distribuzione

di contenuti media. Stato di Internet è stato creato

per sfruttare tali dati e supportare aziende e governi

nell'adozione di decisioni intelligenti e strategiche. Ogni

trimestre, Akamai utilizza questi dati per pubblicare

i rapporti sullo Stato di Internet focalizzati sulla

connettività a banda larga e sulla sicurezza sul cloud.

3 Scaricate la versione integrale del rapporto all'indirizzo www.akamai.com/StateOfTheInternet

Analisi riassuntiva sullo [stato di Internet] Q4 2016 / Security

SICUREZZA SUL CLOUD

ATTACCHI DDoS [Q4 2016 rispetto al Q4 2015]

Aumento del 4% degli attacchi DDoS totali

Aumento del 6% degli attacchi a livello di infrastruttura (livelli 3 e 4)

Aumento del 22% degli attacchi basati su tecniche di riflessione

Aumento del 140% degli attacchi > 100 Gbps: 12 vs. 5

Attacchi alle applicazioni web [Q4 2016 rispetto al Q4 2015]

Diminuzione del 19% degli attacchi totali alle applicazioni web

Diminuzione del 53% degli attacchi con origine negli Stati Uniti

(attualmente il principale paese di origine degli attacchi)

Aumento del 44% degli attacchi SQLi

ATTACCO PIÙ ESTESO

MEDIA ATTACCHI PER OBIETTIVO

Q2 201629

Q3 201630

Q4 2016

Q3 2016

Q4 2015

517 Gbps

623 Gbps

309 Gbps

Q4 2016

30

Panoramica del rapporto / Il Rapporto sullo stato di Internet Q4 2016 / Security unisce i dati sugli attacchi DDoS sulla rete instradata con i dati relativi agli attacchi DDoS e alle applicazioni web raccolti dalla Akamai Intelligent PlatformTM.

Aggiornamento sugli attacchi DDoS / I dispositivi IoT (Internet-of-Things) non sicuri hanno continuato a essere una grande origine di traffico per gli attacchi DDoS. La rapida proliferazione di questi dispositivi offrirà un pool in espansione di risorse di attacco, a cui contribuirà la scoperta di nuove vulnerabilità e sistemi vulnerabili. I dispositivi che hanno alimentato gli attacchi Mirai nel terzo trimestre consistevano in un piccolo sottoinsieme di tutti i dispositivi IoT presenti in Internet, principalmente fotocamere e router basati su IP. In parallelo all'aggiunta di dispositivi vulnerabili alle botnet basate su IoT, continueremo ad assistere a picchi relativi alle funzionalità delle botnet e alle dimensioni degli attacchi DDoS.

4 Scaricate la versione integrale del rapporto all'indirizzo www.akamai.com/StateOfTheInternet

Analisi riassuntiva sullo [stato di Internet] Q4 2016 / Security

Tuttavia, in questo trend è presente un fattore di compensazione. In California, la FTC (Federal Trade Commission) ha citato in giudizio un produttore di router wireless di livello consumer. Questo produttore ha compromesso la sicurezza dei consumatori creando software non sicuro e inefficiente per i propri sistemi. Non si tratta della prima volta che la FTC accusa i produttori di realizzare software non sicuro. Gli altri produttori devono considerare questi casi come un invito a mettere in sicurezza i propri sistemi.

Gli attacchi DDoS di dimensioni superiori a 300 Gbps sono diventati più comuni. Sette dei 10 attacchi DDoS superiori a 300 Gbps registrati da Akamai si sono verificati nel 2016, di cui tre nel quarto trimestre. Rispetto al Q4 2015, si è verificato un aumento del 140% degli attacchi superiori ai 100 Gbps. Dei 12 mega attacchi che hanno avuto luogo nel Q4 2016, due hanno interessato organizzazioni del settore Software e tecnologia, mentre cinque sono stati destinati a organizzazioni del settore Gaming. Anche le organizzazioni del ramo Media & Entertainment sono state soggette a cinque mega attacchi, tre dei quali hanno raggiunto o superato i 300 Gbps.

11 ott.15 ott.17 ott.18 ott.1 nov.

13 nov.2 dic.4 dic.5 dic.

17 dic.17 dic.20 dic.

Gbps

Dat

a d

ell'a

ttac

co

Gaming Media & Entertainment Software e tecnologia

261517

300306

173292

104163

122151

161157

Attacchi DDoS Q4 2016 > 100 Gbps

Dodici attacchi DDoS hanno superato i 100 Gbps nel Q4 2016, di cui cinque hanno addirittura superato i 200 Gbps

5 Scaricate la versione integrale del rapporto all'indirizzo www.akamai.com/StateOfTheInternet

Analisi riassuntiva sullo [stato di Internet] Q4 2016 / Security

Mentre le botnet Mirai e IoT erano già note dal Q3, il più grande attacco di questo trimestre, di ben 517 Gbps, è stato originato da una botnet con un'origine diversa: il toolkit DDoS Spike. Spike è un tipo di malware più comunemente associato al malware basato su Linux x86, come XOR e BillGates. Quando nel settembre 2014 il team SIRT (Security Intelligence Response Team) di Akamai ha rilasciato una notifica su Spike, il picco degli attacchi era pari a 215 Gbps, meno della metà rispetto ai 517 Gbps dell'attacco Spike di questo trimestre.

Gli attacchi DDoS superiori ai 300 Gbps sono sì una novità, ma non una sorpresa. Ripercorrendo la storia delle botnet da cui hanno avuto origine i più grandi mega attacchi di sempre, possiamo citare XOR a metà del 2014, BillGates alla fine del 2015, Kaiten, il predecessore di Mirai, nella prima metà del 2016, Mirai a settembre e Spike nel Q4. Gli attacchi superiori a 300 Gbps si sono verificati per metà tra settembre e dicembre 2016.

Attacchi DDoS > 300 Gbps causati da botnet, luglio 2014 - dicembre 2016

16 ott.14 lug.

321

14 lug.

312

15 dic.

309

16 apr.

337

16 giu.

363

16 set.

623

16 set.

555517

16 ott.

300

16 ott.

306

Mirai BillGates Kaiten XOR Spike

Quattro botnet hanno generato 10 attacchi DDoS superiori a 300 Gbps da luglio 2014 a dicembre 2016. Sette di questi attacchi hanno avuto luogo nel 2016

6 Scaricate la versione integrale del rapporto all'indirizzo www.akamai.com/StateOfTheInternet

Analisi riassuntiva sullo [stato di Internet] Q4 2016 / Security

Dei 25 vettori di attacco DDoS registrati in questo trimestre, i primi tre sono UDP Fragment (27%), DNS (21%) e NTP (15%). A differenza delle risorse IoT, attualmente in espansione, le risorse NTP per gli attacchi DDoS si stanno riducendo per via dell'applicazione di patch nei server e del ritiro dei server meno recenti. CHARGEN, il quarto vettore di attacco più noto, è un protocollo di test e misurazione utilizzato dalle stampanti. L'utilizzo costante di questo servizio porta a chiedersi perché sia esposto esternamente.

Akamai ha aggiunto un nuovo vettore di attacco di riflessione DDoS al rapporto di questo trimestre: CLDAP (Connectionless Lightweight Directory Access Protocol). Gli autori degli attacchi si servono di CLDAP per amplificare il traffico DDoS. CLDAP viene fornito nelle reti Windows per accedere alle informazioni di autenticazione per l'accesso alla rete.

I tre principali paesi di origine degli attacchi DDoS si sono rivelati Stati Uniti (24%), Regno Unito (10%) e Germania (7%). Uno scenario insolito, determinato in parte dalla botnet Mirai. Lo scorso anno la Cina è stata in cima ai 10 principali paesi di origine. Nel Q4 2016 la Cina è scesa in quarta posizione, con il 6% del traffico. Il Canada si è classificato undicesimo, un notevole incremento rispetto ai trimestri precedenti.

In questo trimestre il numero medio di attacchi DDoS è rimasto stabile a 30 per ciascun obiettivo, a dimostrazione che dopo il primo attacco è molto probabile che un’organizzazione ne subisca un secondo. Alcune organizzazioni sono quasi costantemente sotto attacco. Le organizzazioni più colpite hanno subito dai tre ai cinque attacchi al giorno.

Dati statistici sugli attacchi alle applicazioni web / Tre vettori hanno rappresentato il 95% di tutti gli attacchi alle applicazioni web di questo trimestre: SQLi (SQL Injection), LFI (Local File Inclusion) e XSS (Cross-site Scripting). Mentre l'utilizzo combinato è rimasto simile al Q3, l'utilizzo degli attacchi SQLi è aumentato dal 44% (Q2) al 49% (Q3) e poi al 51% (Q4), con un incremento del 44% dal Q4 2015. Al contempo, l'utilizzo degli attacchi LFI è diminuito dal 45% (Q2) al 40% (Q3) e poi al 37% (Q4).

7 Scaricate la versione integrale del rapporto all'indirizzo www.akamai.com/StateOfTheInternet

Analisi riassuntiva sullo [stato di Internet] Q4 2016 / Security

Akamai ha gestito un picco medio di 33 Tbps di traffico durante le festività del Ringraziamento negli Stati Uniti, dal 22 al 29 novembre. In questo frangente quattro segmenti verticali secondari del settore Retail sono stati colpiti da importanti attacchi alle applicazioni web pianificati per il periodo degli acquisti durante le festività. Tra le parti interessate, un gruppo di retailer del settore abbigliamento e calzature, siti web regionali di un fornitore di portali consumer, aziende di elettronica di consumo e organizzazioni Media & Entertainment.

In seguito agli attacchi Mirai del Q3, Akamai ha eseguito un'analisi retrospettiva, esaminando le porte 23 e 2323. Mirai utilizza queste porte per accedere a videoregistratori digitali (DVR) non protetti e sistemi televisivi a circuito chiuso (CCTV) basati su IP. Le versioni iniziali di Mirai potrebbero aver compromesso i sistemi già dal 13 maggio 2016, quando si è iniziato a registrare un forte incremento del traffico legato alle attività di scansione. Alla fine di luglio un secondo aumento del traffico potrebbe essere stato causato dal rilascio completo del codice Mirai.

SQLi

51,29%

37,26%

LFI

7,16%

XSS

1,96%

RFI

1,48%

PHPi

0,85%

Altro

Frequenza degli attacchi alle applicazioni web, Q4 2016

La combinazione di attacchi SQLi e LFI ha rappresentato l'88% degli attacchi alle applicazioni web osservati

8 Scaricate la versione integrale del rapporto all'indirizzo www.akamai.com/StateOfTheInternet

Analisi riassuntiva sullo [stato di Internet] Q4 2016 / Security

Stati Uniti e Paesi Bassi sono stati rispettivamente la prima e la seconda origine di attacchi alle applicazioni web per il secondo trimestre consecutivo, seguiti dalla Germania al terzo posto. Analizzare i dati relativi all'origine in base all'area geografica offre spunti aggiuntivi. Nelle Americhe le tre principali origini di attacchi alle applicazioni web sono state rispettivamente Stati Uniti, Brasile e Canada. All'interno di EMEA, le principali origini sono state Paesi Bassi, Germania e Russia, nell'ordine indicato. Nella regione Asia-Pacifico le origini principali sono state rispettivamente Cina, India e Giappone.

Risorse / Accedete a queste risorse sulla cyber sicurezza del Q4 2016 di Akamai:

1. Notifica di minacce della botnet Mirai / Attacchi e dati precedenti al rilascio del codice Mirai e attacchi successivi al rilascio

2. Notifica di minacce: attacchi DDoS di riflessione di mDNS / Utilizzo inappropriato del protocollo Multicast Domain Name System negli attacchi mirati ai settori Gaming e Software e tecnologia

3. Lo stato del dark web 2016 / Nuove criptovalute, offerte di prodotti e marketplace in evoluzione, servizi di privacy, policy e procedure di applicazione

Paesi di origine degli attacchi alle applicazioni web globali, Q4 2016

Gli attacchi alle applicazioni web hanno origine in tutto il mondo, ma gli Stati Uniti sono il paese di origine più prolifico

Paese Attacchi originati Percentuale

Stati Uniti 97.918.896 28%

Paesi Bassi 61.499.919 17%

Germania 32.384.205 9,2%

Brasile 19.379.729 5,5%

Russia 16.643.150 4,7%

Cina 14.275.358 4,0%

Regno Unito

11.908.055 3,4%

Lituania 9.793.507 2,8%

Francia 8.772.176 2,5%

India 8.638.666 2,4%

< 100.000 1 mln - 5 mln

10 mln - 25 mln

5 mln - 10 mln

N.D.> 25 mln

100.000 - 1 mln

Analisi riassuntiva sullo [stato di Internet] Q4 2016 / Security

[stato di Internet] / Security

Stato di Internet / Security: il teamMartin McKeay, Senior Security Advocate, Senior EditorJose Arteaga, Akamai SIRTAmanda Fakhreddine, EditorDave Lewis, Security Advocate Larry Cashdollar, Akamai SIRTChad Seaman, Akamai SIRTJon Thompson, Custom Analytics Ryan Barnett, unità Threat Research Ezra Caltum, unità Threat Research ProgettazioneShawn Doughty, Creative DirectionBrendan O’Hara, Art Direction/Design

ContattiSOTIsecurity@akamai.comTwitter: @akamai_soti / @akamaiwww.akamai.com/StateOfTheInternet

©2017 Akamai Technologies, Inc. Tutti i diritti riservati. È vietata la riproduzione integrale o parziale con qualsiasi forma o mezzo senza esplicita autorizzazione scritta. Akamai e il logo dell'onda Akamai sono marchi registrati. Gli altri marchi inclusi nel presente documento appartengono ai rispettivi proprietari. Akamai ritiene che le informazioni contenute in questo documento siano precise alla data di pubblicazione; tali informazioni sono soggette a modifica senza preavviso. Data di pubblicazione: 02/17.

La sede principale di Akamai si trova a Cambridge (Massachusetts), negli Stati Uniti, ma la società è presente in tutto il mondo con più di 57 uffici. I nostri servizi e la rinomata assistenza clienti consentono alle aziende di offrire ai propri clienti un'esperienza di navigazione su Internet senza precedenti su scala globale. Indirizzi, numeri di telefono e informazioni di contatto per tutte le località sono elencati sul sito web www.akamai.com/it/it/locations.jsp.

Leader mondiale nell’offerta di servizi di Content Delivery Network (CDN), Akamai rende Internet veloce, affidabile e sicuro per i propri clienti. Le soluzioni avanzate di Akamai per la web e mobile performance, la sicurezza su cloud e per il media delivery stanno rivoluzionando il modo in cui le imprese ottimizzano la fruizione di contenuti online su qualsiasi dispositivo e da qualsiasi luogo. Per scoprire come le soluzioni e il team di esperti Akamai aiutino le aziende ad accelerare il proprio business, visitate il sito https://www.akamai.com/it/it/ o https://blogs.akamai.com/it/ e seguite @AkamaiItalia su Twitter.

Scaricate la versione integrale del rapporto

Rapporto sullo [stato di Internet] Q4 2016 / Security