Come realizzare un piano di protezione contro gli attacchi DDoS 8 … · 2019. 3. 4. · • Le...
8
WHITE PAPER DI AKAMAI Come realizzare un piano di protezione contro gli attacchi DDoS 8 best practice
Transcript of Come realizzare un piano di protezione contro gli attacchi DDoS 8 … · 2019. 3. 4. · • Le...
WHITE PAPER DI AKAMAI
Come realizzare un piano di protezione contro gli attacchi DDoS
8 best practice
Sommario
Cosa aspettarsi da un attacco DDoS 1
Cosa aspettarsi nel corso di un attacco DDoS: il panico 1
Come è cambiato il panorama degli attacchi DDoS 1
8 best practice per la creazione e il mantenimento di un piano di protezione
dagli attacchi DDoS 2
1. Anticipare i single point of failure 2
2. Verificare la capacità dell'ISP di fornire strategie di protezione dagli attacchi DDoS 2
3. Non sopravvalutare l'infrastruttura 3
4. Identificare le risorse da proteggere e l'impatto legato alla perdita di business 3
5. Stabilire una tempistica di mitigazione accettabile 3
6. Implementare un servizio di protezione dagli attacchi DDoS prima che si renda necessario 4
7. Stilare un runbook di risposta agli attacchi DDoS 4
Ruoli e responsabilità del personale chiave e percorso di escalation 4
Chi contattare e come mettersi in contatto 4
Come gestire le comunicazioni interne 4
Come gestire le relazioni pubbliche e le relazioni con i clienti 4
Programmare i controlli successivi a un attacco 5
Mantenere sempre aggiornato il runbook degli attacchi DDoS 5
8. Testare il runbook degli attacchi DDoS per garantire la massima prontezza di risposta 5
Conclusione 5
Come realizzare un piano di protezione contro gli attacchi DDoS: 8 best practice 1
Cosa aspettarsi da un attacco DDoS
L'impatto di un attacco DDoS (Distributed Denial of Service) è immediatamente visibile: i siti web e
le applicazioni non sono disponibili o funzionano lentamente. Il call center riceve chiamate urgenti
da clienti scontenti e insoddisfatti, mentre i dashboard dell'IT generano avvisi che indicano una
situazione nebulosa e catastrofica.
Cosa aspettarsi nel corso di un attacco DDoS: il panicoQuando si verifica un attacco DDoS, le organizzazioni impreparate si fanno cogliere dal panico. I team IT lavorano freneticamente nel tentativo di mantenere la disponibilità dei siti web e delle applicazioni, a fronte di utenti malintenzionati e molteplici vettori di attacco. Mentre gli aggressori modificano i vettori degli attacchi Denial of Service per prendere di mira vulnerabilità diverse della rete, il personale IT tenta di svolgere il triage della situazione in corso e cercare la causa delle anomalie nella rete, domandandosi ad esempio:
• Perché i router fanno passare il traffico quando i bilanciatori del carico sono bloccati?
• Perché il server web risponde, ma il database no?
• Perché il database è attivo, ma il server web non risponde?
• Perché il traffico viene deviato anche se tutto sembra funzionare correttamente?
Molte persone all'interno dell'organizzazione si precipitano a chiamare l'ISP (Internet Service Provider) e i fornitori delle applicazioni, per ricevere assistenza e ottenere chiarimenti, ma nessuno sa veramente chi chiamare per primo e quali domande porre. Nel frattempo, i dirigenti di alto livello vogliono capire chiaramente perché le operazioni sono giunte a una battuta d'arresto e quando sarà possibile ripristinare il normale svolgimento delle attività. È a questo punto che si scatena il panico.
Quando si verifica un attacco DDoS, un piano di protezione dagli attacchi DDoS può fare la differenza tra il panico all'interno dell'organizzazione e una risposta calma e sistematica che assicura il normale svolgimento delle attività lavorative.
Come è cambiato il panorama degli attacchi DDoSTutte le aziende presenti in Internet devono preoccuparsi degli attacchi informatici, a prescindere dalle proprie dimensioni. Gli hacker possono prendere di mira qualsiasi componente dei sistemi aperti a Internet, come ad esempio:
• Siti web
• Applicazioni web
• API
Gli attacchi DDoS sono cambiati nel corso del tempo. Nel documento Rapporto sullo stato di Internet / Security di Akamai sono evidenziate alcune tendenze emerse nell'ultimo anno, tra cui:
• I dispositivi IoT (Internet of Things)1 sono una miniera sterminata di risorse botnet. Il malware Mirai e i suoi discendenti sono in costante evoluzione e si stanno diffondendo,2 mentre i malware tradizionali vengono aggiornati3 per cogliere al balzo l'opportunità offerta dalla proliferazione dei dispositivi IoT non protetti.
• Le dimensioni degli attacchi DDoS più estesi sono raddoppiate rispetto all'anno precedente, fino a superare i 600 Gb al secondo (Gbps).4
• Anche un tipico attacco DDoS che genera meno di 4 Gbps5 può causare danni a un sito non protetto o a un sito che si affida a un hardware on premise per la mitigazione degli attacchi DDoS.
• Gli attacchi DDoS possono essere potenti e durare pochi minuti o alcuni giorni, colpire ripetutamente lo stesso sito (in media 32 attacchi per vittima ogni tre mesi6) e provocare un deterioramento cronico a basso livello della risposta.
• Con una certa frequenza emergono inoltre nuovi vettori di attacchi DDoS7 e nuovi tipi di infezioni malware da botnet8.
• L'ampia disponibilità dei servizi DDoS-for-hire9 fa sì che chiunque, anche chi non ha competenze tecniche, possa lanciare un attacco DDoS dannoso.
• DNS (Domain Name Server)
• Server d'origine
• Data center e infrastruttura di rete
Come realizzare un piano di protezione contro gli attacchi DDoS: 8 best practice 2
Molte organizzazioni includono gli attacchi DDoS in un piano di disaster recovery, ma così facendo commettono un errore. Il disaster recovery riguarda infatti eventi improbabili e inevitabili, mentre gli hacker sferrano intenzionalmente centinaia di attacchi DDoS ogni giorno. Gli attacchi DDoS sono un problema comune per molte organizzazioni.
Ogni azienda che dipende dalle risorse aperte a Internet dovrebbe disporre di un piano di protezione dagli attacchi DDoS. Con una preparazione completa basata su un sistema di protezione DDoS già attivo e un runbook di risposta agli attacchi DDoS, le aziende possono dare una risposta efficace agli incidenti DDoS e ridurre le conseguenze negative sulle operazioni, sugli asset finanziari, sul rispetto delle normative e sulla reputazione.
Le attività di preparazione e pianificazione proattiva non costituiscono soltanto una best practice per le operazioni aziendali, ma rappresentano anche la miglior difesa contro gli attacchi DDoS.
8 best practice per la creazione e il mantenimento di un piano di protezione dagli attacchi DDoSSe vengono bloccati sul nascere, gli autori degli attacchi DDoS di solito cambiano il vettore di
attacco o ripiegano su bersagli più facili. Ragionate come gli autori degli attacchi. Prendete in
considerazione tutti i tipi di attacchi DDoS e i relativi obiettivi e acquisite una conoscenza completa
delle possibili opzioni di protezione. Sviluppate e mettete in atto un piano di protezione dagli
attacchi DDoS, articolato sulla base delle seguenti best practice, che consenta di ridurre l'impatto
sul business degli attacchi DDoS.
1. Anticipare i single point of failure Nel mirino degli autori degli attacchi DDoS rientrano tutti i potenziali point of failure, ad esempio:
• Server DNS (Domain Name System): l'infrastruttura DNS è un facile bersaglio per gli utenti malintenzionati. Fornisce infatti un servizio indispensabile per i browser degli utenti finali, in quanto consente la ricerca dell'indirizzo IP e l'individuazione del sito web. Maggiori informazioni sugli attacchi al DNS.
• Server di origine: un altro bersaglio sono i server su cui sono ospitati i siti web, le applicazioni web e i contenuti web. Gli hacker, se hanno accesso diretto al server di origine, nel cloud o in un data center, possono aggirare gli altri sistemi di protezione.
• Sito web: anche un semplice attacco DDoS può inviare a un sito web non protetto un'enorme quantità di richieste, superiore alla sua capacità.
• Applicazione web: un'applicazione web non è in grado di distinguere facilmente tra un attacco DDoS e le richieste legittime degli utenti. Anche le pagine di accesso sono spesso prese di mira, perché avviano processi back-end che consumano cicli di CPU sul server web, associati ad esempio alla prevenzione delle attività fraudolente, all'accesso ai database e alle normali procedure di autenticazione.
• API (Application Programming Interface): le API sono interessate più spesso dagli attacchi, in parte per via del fatto che vengono utilizzate da un numero frequente di siti web per consentire le comunicazioni. Le API possono fornire informazioni alle app mobili o recuperare contenuti da origini di terze parti e trasferirli in un'applicazione web.
• Data center e infrastruttura di rete: altri obiettivi degli attacchi sono l'infrastruttura di rete, il data center e la larghezza di banda della rete in un data center. Se un hacker congestiona i canali di rete o sovraccarica router e switch, il passaggio del traffico legittimo risulta ostacolato.
2. Verificare la capacità dell'ISP di fornire strategie di protezione dagli attacchi DDoSIl single point of failure potrebbe essere il vostro ISP. Se un attacco contro il vostro sito mette a rischio i suoi clienti, l'ISP oscurerà il vostro traffico, e il vostro sito sarà inattivo a tempo indeterminato. Ecco alcune domande da rivolgere al vostro ISP:
1. Nel corso di un attacco DDoS avete mai oscurato il traffico al sito di un cliente?
2. Che sistema di protezione DDoS è in uso?
3. Siete in grado di decrittografare il protocollo TLS/SSL per analizzare eventuali attacchi DDoS alle applicazioni crittografati in sessioni SSL?
Come realizzare un piano di protezione contro gli attacchi DDoS: 8 best practice 3
4. Come vi siete preparati per gli attacchi zero-day e i nuovi vettori di attacco?
5. Quanta capacità è disponibile nella rete, una volta superato il normale picco di traffico?
6. Se la rete viene investita da 10 Gbps di traffico mediante un attacco DDoS di riflessione con centinaia di fonti, quanto tempo sarà necessario per bloccarlo utilizzando un elenco di controllo degli accessi (ACL)?
7. Qual è l'ampiezza massima di un attacco DDoS che si tenterà di mitigare prima di decidere di oscurare tutto il traffico verso il sito?
8. Se il traffico del cliente viene oscurato in seguito a un attacco DDoS, quali requisiti devono essere soddisfatti per poter ripristinare il servizio Internet?
Per ulteriori informazioni sulle opzioni di protezione dagli attacchi DDoS e sull'importanza della capacità
disponibile, consultate l'eBook Perché il cloud? Guida per gli acquirenti alla sicurezza sul cloud.
3. Non sopravvalutare l'infrastruttura Anche se il vostro hardware della rete edge è perfettamente adeguato per le attività quotidiane, potrebbe cedere velocemente durante un attacco DDoS se l'edge della rete non dispone di risorse sufficienti per contrastare un evento dannoso.
• Verificate e garantite che l'infrastruttura possa contare su un bilanciamento adeguato, con capacità in eccesso rispetto ai requisiti di picco.
• Determinate la tolleranza al rischio della vostra azienda. Un tipico attacco DDoS genera meno di 4 Gbps, ma il picco di traffico DDoS può superare i 600 Gbps.
4. Identificare le risorse da proteggere e l'impatto legato alla perdita di businessOgni azienda ha esigenze diverse. Quali risorse aperte a Internet è necessario proteggere dagli attacchi DDoS? Se tali risorse non vengono protette e risultano non disponibili, quali sono gli effetti sul business e quali i costi intermini operativi, finanziari, normativi e di reputazione?
• Pensate solo alla protezione del sito web? E le applicazioni web? Le API?
• E il server di origine? I server DNS?
• È possibile realizzare un business case per proteggere il data center e l'infrastruttura di rete?
Sapere quali sono le risorse da proteggere influisce sul tipo di protezione DDoS. Non tutti gli attacchi colpiscono le porte 80 e 443.
• Per proteggere un data center, un'infrastruttura di rete e altre risorse diverse da un sito web, come i server di posta elettronica, è necessaria una rete per lo scrubbing DDoS.
• Una rete per la distribuzione dei contenuti (CDN) con funzionalità di mitigazione degli attacchi DDoS e firewall WAF (Web Application Firewall) è in grado di proteggere le risorse web, come i siti web, le applicazioni web e le API, oltre che i server di origine e l'infrastruttura DNS primaria e secondaria.
5. Stabilire una tempistica di mitigazione accettabile Alcuni servizi di protezione contro gli attacchi DDoS sono sistemi always on, in grado di risolvere la maggior parte degli attacchi in maniera invisibile per l'utente. Altri servizi sono invece attivati on demand, dopo una richiesta manuale o un rilevamento automatico di un attacco DDoS. Con che rapidità desiderate che venga attivato il servizio di protezione da attacchi DDoS?
I servizi di scrubbing DDoS sono generalmente on demand. In questo caso il traffico di rete viene instradato attraverso lo scrubbing center solo quando è necessario. Ricorrendo a un monitoraggio professionale del flusso e a una connessione diretta con larghezza di banda elevata alla rete di scrubbing DDoS, il passaggio può diventare così veloce da far sì che l'attacco DDoS non abbia pressoché alcun impatto sulla disponibilità del sito. Altre organizzazioni scelgono invece di abbattere i costi e affidare al personale interno l'identificazione degli attacchi DDoS e l'attivazione manuale del servizio di scrubbing. I servizi di protezione da attacchi DDoS basati su una rete per la distribuzione dei contenuti (CDN) sono sempre attivi e istantanei, ma proteggono solo i siti web e non le infrastrutture. In un contesto in cui i fornitori offrono flessibilità, è importante quantificare la tolleranza al rischio del business e farsi aiutare da questa guida nella scelta dell'architettura.
Come realizzare un piano di protezione contro gli attacchi DDoS: 8 best practice 4
6. Implementare un servizio di protezione dagli attacchi DDoS prima che si renda necessarioScegliete un servizio di protezione contro gli attacchi DDoS prima che si renda necessario. Se si evitano il caos, i ritardi e il panico che si scatenano quando si cerca una soluzione di protezione dagli attacchi DDoS mentre è in corso un attacco, si possono ottenere molti altri vantaggi:
• Avere tempo per scegliere la soluzione più adatta. Il fornitore dei servizi di protezione dagli attacchi DDoS può spiegare quali sono gli approcci più consoni alle esigenze specifiche della vostra azienda e individuare eventuali lacune per garantirvi una protezione completa.
• Sapere chi chiamare e cosa fare. Instaurate un rapporto con il vostro fornitore di soluzioni di protezione dagli attacchi DDoS e definite cosa fare e chi chiamare quando è in corso un attacco.
• Prepararsi a una soluzione di protezione dagli attacchi DDoS. Gettate le basi e impostate il vostro servizio di protezione dagli attacchi DDoS. Ad esempio, se il TTL (Time To Live) del DNS viene configurato su un valore ridotto, il Time to Mitigate (TTM) risulterà più veloce durante il routing del traffico a un servizio di scrubbing.
• Eseguire i test e introdurre ottimizzazioni: insieme al fornitore di soluzioni di protezione dagli attacchi DDoS, sottoponete a test e convalidate il servizio di scrubbing DDoS. Il test è indispensabile per verificare che le applicazioni funzionino come previsto e per ottimizzare le impostazioni.
7. Stilare un runbook di risposta agli attacchi DDoSUn runbook di risposta agli attacchi DDoS, denominato anche playbook, consente alla vostra organizzazione di rispondere in maniera controllata ed efficiente a un attacco.
• Se sceglie una soluzione di mitigazione on demand da attivare manualmente, l'azienda deve sapere quali risorse cercare, quali azioni intraprendere e chi chiamare per l'attivazione del servizio DDoS.
• Se invece ha implementato un servizio di protezione dagli attacchi DDoS always-on o attivabile automaticamente, l'azienda deve sapere come reagire nel caso di un attacco zero-day o di un attacco DDoS contro un point of failure imprevisto che l'azienda non ha protetto.
In un runbook di risposta agli attacchi DDoS dovrebbero essere inclusi le procedure di risposta agli incidenti, i percorsi di escalation e i punti di contatto, oltre che le seguenti informazioni:
Ruoli e responsabilità del personale chiave e percorso di escalationIdentificate le decisioni e le azioni da intraprendere e a chi spetta la responsabilità. Includete i membri del team IT, i proprietari delle applicazioni in ogni linea di business, il servizio clienti, i team delle comunicazioni e i dirigenti. Inserite eventuali informazioni speciali sulla configurazione. Identificate i canali di comunicazione che verranno aperti e chi vi prenderà parte.
Le conseguenze degli attacchi DDoS si estendono ben oltre l'IT. Per ridurre al minimo le interruzioni delle attività aziendali, specificate le responsabilità e i ruoli dettagliati di tutti i reparti dell'organizzazione.
Chi contattare e come mettersi in contatto Per risparmiare tempo prezioso, conservate in un'unica posizione tutti i nominativi e i numeri di telefono dei contatti principali, afferenti alla vostra organizzazione e al fornitore delle soluzioni di protezione dagli attacchi DDoS.
Come gestire le comunicazioni interneAiutate il personale dell'azienda e i principali partner a capire cosa sta succedendo durante l'attacco, per evitare che si diffonda il panico creando un'ulteriore crisi interna. Predisponete un unico punto di contatto per comunicare le informazioni e brevi aggiornamenti riservati, in stile Twitter, da trasmettere all'intera organizzazione.
Come gestire le relazioni pubbliche e le relazioni con i clientiSe l'attacco DDoS colpisce i partner, i clienti o il pubblico, pensate alle risposte che darà la vostra organizzazione ai soggetti interessati e ai media.
Come realizzare un piano di protezione contro gli attacchi DDoS: 8 best practice 5
Programmare i controlli successivi a un attaccoLa vostra organizzazione può trarre un insegnamento utile da ogni attacco. Predisponete un processo di controllo successivo a un attacco.
Mantenere sempre aggiornato il runbook degli attacchi DDoSRivedete e aggiornate le procedure del runbook e i punti di contatto con una certa frequenza (almeno ogni tre mesi).
8. Testare il runbook DDoS per garantire la massima prontezza di rispostaIl modo migliore per determinare la prontezza della risposta è utilizzare test e simulazioni di un attacco DDoS. Un'esercitazione annuale può affrontare diversi scenari di attacco al fine di garantire la conformità ai percorsi di escalation, alle best practice e alle procedure. Consente inoltre di verificare l'accuratezza e l'aggiornamento delle informazioni nel runbook.
ConclusioneNormalmente una soluzione tipica per la mitigazione degli attacchi DDoS di emergenza può essere
implementata in un'ora. Ma se un'organizzazione si lascia cogliere impreparata, questo risultato si
ottiene solo dopo ore o perfino giorni di caos e downtime. Il modo migliore per evitare il downtime
conseguente a un attacco DDoS consiste nell'implementare un piano di protezione da questo
genere di attacchi prima che l'organizzazione venga colpita.
Siate pronti è un motto classico che risulta rilevante per un'organizzazione presente online, in un mondo che è sotto la minaccia dilagante degli attacchi web e DDoS. Quello che vi serve è una soluzione robusta, intelligente e semplice da utilizzare, che sia in grado di proteggere l'infrastruttura, i dati, le applicazioni e le API senza sovraccaricare le risorse interne.
Akamai consiglia ai leader della sicurezza e ai responsabili IT di parlare con il proprio provider di servizi di protezione degli attacchi DDoS prima che si verifichi un attacco. Fate domande e discutete insieme tutti i possibili scenari di attacco DDoS in cui potrebbe essere coinvolta l'azienda. Implementate una soluzione e imparate a utilizzare al meglio i servizi di protezione dagli attacchi DDoS del vostro fornitore. Preparate un runbook di risposta agli attacchi DDoS e testatelo.
La pianificazione di un sistema di protezione dagli attacchi DDoS consente di affrontare nel modo più normale possibile questo genere di attacchi DDoS, come testimoniano le seguenti organizzazioni:
• Dopo aver individuato i requisiti aziendali per la protezione degli attacchi DDoS, una banca commerciale internazionale, che registra 50.000 accessi al giorno da parte dei suoi membri, ha implementato le soluzioni per la sicurezza sul cloud di Akamai. Quindi ha testato il sistema, ha preparato un runbook di mitigazione degli attacchi DDoS e ha apportato modifiche al piano di risposta agli incidenti. In seguito, quando una serie di attacchi DDoS ha colpito l'infrastruttura DNS, la situazione è stata risolta senza ripercussioni sui servizi della banca. Leggete il case study su Akamai.com
• Un ente governativo impegnato a pianificare un programma bug bounty in crowd-sourcing ha coinvolto Akamai sin dalle prime fasi, con il compito di sgominare gli attacchi basati su Internet e garantire la disponibilità dei siti destinati alla valutazione della vulnerabilità. Durante l'hackathon, Akamai ha rifiutato oltre 19 milioni di richieste dannose e ha sventato un attacco DDoS proveniente da indirizzi IP in 83 paesi diversi senza interruzioni del sito. Leggete il case study su Akamai.com
Leggete altre storie dei clienti sulla cloud security sul sito web Akamai.com.
Come realizzare un piano di protezione contro gli attacchi DDoS: 8 best practice 6
Fonti
1) Q3 2016, sezione 2.3
2) Q2 2017, sezione 4.2
3) Q4 2016, sezione 2.3
4) Q3 2016, sezione 2.3
5) Q1 2017, sezione 1.0
6) Q2 2017, sezione 2.0
7) Q1 2017, sezione 2.3
8) Q2 2017, sezione 2.5
9) Q2 2016, sezione 2.9
Grazie alla propria piattaforma cloud di delivery più estesa e affidabile al mondo, Akamai supporta i clienti nell'offerta di experience digitali migliori e più sicure da qualsiasi dispositivo, luogo e momento. Con oltre 200.000 server in 130 paesi, la piattaforma Akamai garantisce protezione dalle minacce informatiche e performance di altissimo livello. Il portfolio Akamai di soluzioni per le web e mobile performance, la sicurezza sul cloud, l'accesso remoto alle applicazioni aziendali e la delivery di contenuti video è affiancato da un servizio clienti affidabile e da un monitoraggio 24x7. Per scoprire perché i principali istituti finanziari, i maggiori operatori e-commerce, provider del settore Media & Entertainment ed enti governativi si affidano ad Akamai, visitate il sito https://www.akamai.com/it/it/ o https://blogs.akamai.com/it/ e seguite @AkamaiItalia su Twitter. Le informazioni di contatto internazionali sono disponibili all'indirizzo www.akamai.com/it/it/locations. Data di pubblicazione: 09/17.
