Il rischio di attacchi DDoS (Distributed Denial of Service) non è mai stato così elevato. Negli ultimi anni, le aziende si sono trovate di fronte a un vero e proprio dilagare di estorsioni DDoS, nuove minacce, hacktivism state-sponsored e un’innovazione senza precedenti nel panorama delle minacce. E gli aggressori non mostrano alcun segno di cedimento.
Di recente, Akamai ha rilevato e mitigato il più grande attacco DDoS mai lanciato contro un cliente europeo sulla piattaforma Prolexic, con un traffico di attacco distribuito a livello globale che ha raggiunto un picco di 853,7 Gbps e 659,6 Mpps per 14 ore. L’attacco, che ha preso di mira una serie di indirizzi IP di clienti, ha costituito il più grande attacco orizzontale globale mai mitigato sulla piattaforma Prolexic.
Breakdown dell’attacco
La vittima, un cliente Akamai con sede nell’Europa dell’Est, è stata presa di mira 75 volte negli ultimi 30 giorni con attacchi orizzontali costituiti da UDP, frammentazione UDP, flood ICMP, RESET flood, SYN flood, anomalia TCP, frammento TCP, PSH ACK flood, FIN push flood e PUSH flood, tra gli altri. UDP è stato il vettore più frequente osservato in entrambi i picchi registrati.
Dopo cinque giorni, la campagna ha raggiunto il picco PPS (659 Mpps) alle 4:44 AM UTC (Figura 1).
Fig. 1: Picco nel traffico degli attacchi PPS
Il volume degli attacchi è poi aumentato fino a 853 Gbps alle 18:40 UTC (Figura 2).
Fig. 2: Picco nel traffico degli attacchi BPS
Il traffico distribuito degli attacchi suggerisce che i criminali hanno sfruttato una botnet globale altamente sofisticata di dispositivi compromessi per orchestrare questa campagna (Figura 3). Nessun singolo centro di scrubbing ha gestito più di 100 Gbps dell’attacco complessivo.
Fig. 3: Distribuzione temporale del traffico di attacchi BPS
Strategia di mitigazione
Senza le giuste difese, anche una rete robusta e moderna potrebbe cedere sotto un attacco di questa portata, rendendo completamente inaccessibile qualsiasi attività online che dipenda da quella connessione, il che può mettere a repentaglio la fiducia dei clienti, causare perdite finanziarie e avere altre gravi conseguenze.
Per contrastare l’attacco e salvaguardare il cliente, Akamai Prolexic ha sfruttato una combinazione di tecnologia, persone e processi per prevenire l’attacco senza danni collaterali, grazie alla strategia di difesa proattiva per questo cliente.
- Piattaforma: soluzione di difesa dedicata che può raggiungere dimensioni molto superiori a quelle dei più grandi attacchi segnalati al pubblico.
- Persone: più di 225 operatori in prima linea in 6 sedi globali con esperienza decennale che mitigano gli attacchi più sofisticati per le più grandi e complesse aziende al mondo.
- Processo: piani di risposta agli incidenti DDoS ottimizzati attraverso runbook personalizzati, convalida dei servizi ed esercitazioni di preparazione operativa.
Sulla scia dell’aumento del rischio operativo, per le aziende online è indispensabile disporre di una strategia di mitigazione DDoS consolidata.
Ecco alcuni consigli per mitigare il rischio di attacchi DDoS:
- Esaminare e attuare immediatamente le indicazioni della Agenzia cyber nazionale.
- Rivedere le sottoreti e gli spazi IP critici e assicurarsi che siano disponibili controlli di mitigazione.
- Implementare controlli di sicurezza DDoS in modalità “always-on” come primo livello di difesa, per evitare una situazione di emergenza e ridurre l’onere per i responsabili degli incidenti. Se non si dispone di un provider affidabile e collaudato che opera in cloud, è opportuno trovarlo subito.
- Riunire in modo proattivo un team di risposta alle crisi e assicuratevi che i runbook e i piani di risposta agli incidenti siano aggiornati. Ad esempio, avete un runbook per gestire gli eventi disastrosi? I contatti all’interno dei playbook sono aggiornati? Un playbook che fa riferimento a risorse tecnologiche obsolete o a persone che hanno lasciato l’azienda da tempo non è utile.