Il terzo trimestre 2015 ha registrato il record assoluto di attacchi worldwide di denial of service (DDoS): 1.510, con una crescita del 23% rispetto al quarter precedente e del 180% rispetto al Q3 2014 (il numero è quasi raddoppiato in un anno, anche se diminuiscono intensità e durata). In aumento anche gli attacchi contro le web application http (+96,36%), con vulnerabilità di tipo Lfi (Local File Inclusion, il malintenzionato ottiene l’accesso in lettura non autorizzato ai file locali su un web server) e SQLi (Sql Injection, l’attaccante inserisce codice maligno all’interno di una query Sql) a rappresentare i principali vettori.
I dati dell’ultimo report State of The Internet di Akamai prospettano tempi difficili per la cyber security, con evoluzioni future poco incoraggianti. Come spiega Alessandro Livrea, Country Manager della società per l’Italia, il documento viene stilato trimestralmente dal provider americano attraverso l’analisi delle informazioni pervenute dall’Intelligent Platform, un’infrastruttura cloud distribuita, composta da oltre 200.000 server localizzati in 110 Paesi all’interno di oltre 1.400 reti, che ogni giorno gestisce dal 15 al 30% del traffico Internet globale e supporta oltre 2 mila miliardi di interazioni online. Il rapporto, quindi, è il risultato di una vista privilegiata su velocità delle connessioni Internet, adozione della banda larga, utilizzo del mobile, interruzioni e attacchi.
Figura 1 – La frequenza degli attacchi DDoS a seconda del settore – fonte: AkamaiScendendo nei dettagli dello studio (che per la prima volta, include le informazioni rilevate dall’Akamai Edge Firewall, la piattaforma perimetrale globale del provider statunitense), si rilevano altri dati significativi: rispetto allo stesso periodo del 2014, gli attacchi DDoS al livello applicativo (Layer 7) sono cresciuti di quasi il 26% (ma registrano un calo del 42% rispetto al quarter precedente), mentre si intensificano gli attacchi DDoS al livello infrastrutturale (Layer 3 e 4), che segnano +30% e +198% rispettivamente nel confronto trimestrale e annuale. A farne le spese sono stati in particolare i settori Gaming online e Software & Technology (figura 1); Uk (26%), Cina (21%) e Stati Uniti (17%) hanno rappresentato, invece, i principali Paesi d’origine.
La nota positiva è che gli attacchi di denial of service registrati nel Q3 sono più brevi, con banda media di picco e volumi minori. I mega attacchi da oltre 100 Gbps sono in diminuzione: si segnalano solo 8 casi contro 12 del Q2 2015 e 17 del Q3 2014. Gli attacchi alle applicazioni Internet di tipo Https hanno registrato un calo drastico del 79% rispetto allo scorso trimestre (ma sono previsti in crescita), riportando ai livelli consueti il rapporto con quelli Http: 12% vs 88% sul totale degli attacchi contro le web apps (figura 2), che hanno afflitto soprattutto le aziende dei settori Retail (55%) e Finance (15%), in Usa (75%), Regno Unito (7%) e Brasile (6%).
Figura 2 – Il totale degli attacchi alle applicazioni Http vs Https nel Q3 2015 – fonte: AkamaiIn questo panorama a tinte fosche, si inserisce la value proposition di Akamai, così descritta da Livrea: “La nostra offerta attraverso l’Intelligent Platform si muove in due direzioni: soluzioni che consentono l’accelerazione e l’ottimizzazione delle performance nella distribuzione di contenuti web verso l’utente finale dei nostri clienti, con disponibilità delle informazioni e affidabilità di delivery garantite da Service level agreements; vari servizi di sicurezza che mettono al centro il Web Application Firewall, in grado di fornire, come processo integrato nella piattaforma, una protezione sempre attiva e scalabile contro gli attacchi DDoS o diretti alle applicazioni web di vario tipo (ad esempio, SQL Injection, Cross-Site Scripting, Remote File Inclusion)”.
Principale funzione del Waf è ispezionare ogni richiesta Http e Https, individuando e bloccando le minacce alle applicazioni web prima che raggiungano le infrastrutture It dei clienti. “Di fatto – sintetizza Livrea – estendiamo il perimetro di sicurezza delle aziende oltre il loro data center, bloccando gli attacchi in un punto molto vicino all’origine. I nostri servizi si pongono quindi come un layer di sicurezza esterno, complementare e supplementare agli strumenti di difesa già utilizzati all’interno di sistemi informativi aziendali”.
Il vantaggio è subito evidente. “Nessuna azienda oggi – puntualizza il country manager – è in grado di aggiornare di continuo le proprie infrastrutture perché possano fronteggiare gli attuali attacchi di denial of service. Le singole appliance di sicurezza hanno una capacità di trasmissione dati determinata, nell’ordine di decine di gigabits per secondo, così come è limitata la banda che arriva ai datacenter dei nostri clienti. Akamai, invece, gestendo quotidianamente traffico web per oltre 30 TBs, ha un’elevata capacità di assorbimento dei picchi malevoli o leciti (in caso, ad esempio, di campagne marketing stagionali o durante le festività)”.
Tutti i numeri degli attacchi DDoS
Proteggersi dagli attacchi DDoS che inficiano la continuità e velocità di servizio delle risorse web è oggi una priorità per le aziende di qualsiasi dimensione e settore, a fronte di consumatori sempre più esigenti e difficili da soddisfare.
Alessandro Livrea, Country Manager, Akamai Italia“Gli attacchi DDoS sono in continuo aumento – spiega Livrea – perché sono sempre più facilmente eseguibili e molto economici da perpetrare: quasi chiunque oggi saprebbe impostare un attacco di denial of service su commissione, anche di una certa portata e con impatti rilevanti. Fortunatamente l’Italia è rimasta, almeno fino al 2013, estranea alle tendenze globali in tema di cyber attacks, salvo per alcuni incidenti isolati. Tuttavia, dalla seconda metà del 2014, alcune organizzazioni criminali internazionali hanno preso di mira anche il nostro Paese; una su tutte, il gruppo Dd4bc (Distributed Denial of Service for Bitcoin) che effettua attacchi DDoS a scopo estorsivo, chiedendo riscatti in bitcoins (la moneta elettronica, dal momento che ha pochi controlli). Inizialmente, gli attacchi erano indirizzati soprattutto verso i siti di gambling [gioco d’azzardo online – ndr], nell’errata convinzione, a mio parere, che le società del settore fossero più restie a fare intervenire le forze dell’ordine; tuttavia, nel corso del tempo, questi cybercriminali hanno esteso gli attacchi indistintamente a tutti i mercati verticali, dal Finance ai Media fino all’Automotive, aumentando anche le cifre richieste: prima si partiva da somme equivalenti a 250 – 2.500 euro, oggi si ragiona in una fascia da 25.000 a 50.000 euro”. Livrea insiste sull’alto livello di rischio, che non risparmia ormai nessun tipo di azienda, e sulla magnitudo degli attacchi: “Un attacco recente perpetrato ai danni di un’azienda operante nel mercato Media & Entertainment è stato dell’ordine di 35 gigabit per secondo, una capacità che è in grado di fare crollare i sistemi di qualsiasi realtà anche medio-grande”. Non a caso, come emerge dal report di Akamai, il terzo trimestre 2015 ha segnato un nuovo primato rispetto alla portata degli attacchi: una società attiva sempre nel settore mediatico (il bersaglio prediletto per i mega attacchi) è stata colpita da un numero record di 222 milioni di pacchetti per secondo (Mpps). Il volume di picco medio per tutti gli attacchi osservati nel Q3 è stato di 1,57 Mpps, in calo rispetto al Q2 2015 (-43%) e al Q3 2014 (-89%), ma ancora sufficiente a mettere fuori uso un router tier 1 come quelli utilizzati dagli Internet Service Provider.
“La chiave per proteggersi da questi attacchi – sottolinea Livrea – è affidarsi a provider esterni, come Akamai, che possono praticare economie di scala per dotarsi degli strumenti di difesa necessari. Sarebbe infatti diseconomico e inefficace per un’azienda il continuo adeguamento delle infrastrutture in-house per stare al passo con l’evoluzione degli attacchi. Inoltre, la nostra società si avvale di un sistema di intelligence per scovare e anticipare nuove minacce (in particolare, dirette alle applicazioni), prevenendone la diffusione e mettendo al riparo i clienti”.
Quali tecnologie e persone per la difesa
Si tratta di una rincorsa continua tra criminali informatici e security suppliers, un “botta e risposta” per sviluppare la tecnologia più avanzata volta a neutralizzare le mosse dell’avversario. “Le aziende non sono in grado di reggere la competizione con gli attaccanti – sentenzia Livrea -: la bilancia commerciale pende a favore del cybercrime, considerando che ogni anno, nel panorama It mondiale, vengono spesi 500 miliardi di dollari per attività fraudolente”. In questo contesto, la condivisione di informazioni e best practice diventa cruciale ai fini di una protezione efficace. “L’ampiezza del nostro network – sottolinea il country manager – ci permette di aumentare il grado di conoscenza rispetto alle tipologie e alla diffusione di malware, con una vista sullo scenario web a livello worldwide; ogni volta che un cliente diventa bersaglio di un attacco, il nostro personale guadagna expertise che mette a disposizione di tutte le altre aziende, condividendo le tecniche di difesa. Il nostro punto di forza e differenziale risiede proprio in queste dinamiche di knowledge sharing dall’esperienza locale all’applicazione globale”.
Vulnerabilità, danni e soluzioni
Ma come si costruisce step-by-step una strategia di difesa coerente, efficace e future-proof? “Innanzitutto – suggerisce Livrea – bisogna progettare infrastrutture che integrino la sicurezza alla base, mentre molte aziende italiane ancora sottovalutano i rischi e l’entità di potenziali danni. Eppure in tanti casi le perdite sono evidenti e calcolabili: ad esempio, nell’e-commerce, si stima che un’ora di interruzione del servizio abbia un costo superiore a 10mila euro per il 35% delle aziende”. Tuttavia, non sono solo le mancate vendite il termometro dei danni economici derivanti dagli attacchi informatici, ma vanno considerate altre implicazioni, come la perdita di reputation (che si traduce in abbandono da parte dei clienti e quindi riduzione dei profitti per l’azienda). “Se le operazioni di DDoS hanno come conseguenza il down – chiarisce Livrea -, gli attacchi mirati alle web application hanno invece altri obiettivi (ad esempio il furto di dati), particolarmente lesivi in termini di brand image”. Come cita ad esempio il country manager, diventare uno zombie all’interno di una botnet (ovvero, un sistema infetto all’interno di una rete di dispositivi controllati dai cyber criminali e utilizzati per scagliare attacchi DDoS o effettuare altre attività malevole) può infliggere un grave colpo alla reputazione aziendale. “A questo proposito – prosegue Livrea – stiamo lanciando dei servizi particolarmente innovativi, ad esempio di bot management, che permettono di distinguere bot leciti e malevoli, abilitando a seconda dei casi azioni di blocco o altri tipi di intervento se necessari. Le nostre soluzioni di Ip reputation utilizzano i big data e l’ampia visibilità sul traffico mondiale per attribuire a ogni indirizzo Ip un punteggio di rischio (quanto è malevolo), così da attivare le opportune misure di sicurezza che vanno dalla mitigazione alla prevenzione. Tutte queste tecnologie di sicurezza, così come l’intero portfolio Akamai, sono accumunate da un plus differenziale: non introducono tempi di latenza e non inficiano, ma anzi accelerano le prestazioni di content delivery. Le performance del servizio sono infatti oggi un fattore critico: gli utenti si aspettano di accedere ai siti web in meno di due secondi; lo scotto da pagare per ogni secondo di ritardo è pari a un incremento dell’8% sul tasso di abbandono (in una manciata di secondi, quindi, si rischia di perdere circa il 30% dell’utenza)”. Secondo le dichiarazioni del manager, l’adozione delle soluzioni di sicurezza Akamai, ottimizzando le performance e prevenendo gli abbandoni, porterebbero a un miglioramento di circa venti punti percentuali su tutte le metriche importanti per la comunicazione online: “Aumentano l’audience, il tasso di conversione, il numero di visualizzazioni e il tempo speso sulle pagine web, a tutto beneficio del Roi”.
Sicurezza cercasi per le aziende italiane
A fronte del dettagliato quadro descritto, viene da chiedersi quale sia l’effettivo livello di percezione su questi temi da parte delle aziende italiane. “Non esiste un comune denominatore – sostiene Livrea -. Ci sono realtà molto competenti e preparate, altre meno mature. Diverse aziende si stupiscono di avere subito un attacco: uno storico privo di incidenti non è una garanzia di non vulnerabilità per il futuro. Le logiche sottostanti agli attacchi sono le più disparate (criminalità informatica, hacktivism, guerra tra Stati, spionaggio industriale, concorrenza sleale ecc.) che diventa impensabile salvarsi in modo fortunoso. Ad esempio, un recente attacco, che ha coinvolto senza conseguenze un nostro cliente, ha avuto origine da una botnet composta da 272 fonti diverse, per un totale di circa 1.600 applicazioni violate e oltre 1.400.000 tentativi di injections. Se i numeri sono questi, nessuna organizzazione può ritenersi al sicuro; probabilmente gli attaccanti non agiscono neanche con raziocinio, selezionando i bersagli, ma provano a colpire indiscriminatamente fino a fare breccia secondo la legge dei grandi numeri”.
