Cloudflare ha osservato e mitigato un numero massiccio di attacchi DDoS contro le infrastrutture di rete.Mentre alcuni di questi attacchi erano piuttosto grandi, la maggior parte erano piccoli e di breve durata.Questa tendenza è rimasta costante, anche se il numero complessivo di attacchi ha avuto picchi e discese e i diversi protocolli del livello di rete hanno guadagnato e perso popolarità tra gli autori degli attacchi.
Anche se la prospettiva di attacchi DDoS piccoli e di breve durata può sembrare incoraggiante, essi possono danneggiare comunque le reti non protette o poco protette. Inoltre, possono anche permettere agli aggressori di testare le difese di un'organizzazione, e distrarre la security aziendale da minacce separate e più gravi.
Quali sono le tendenze e le tattiche dietro la popolarità degli attacchi DDoS di piccola entità? Cosa devono fare le aziende per reagire?
Gli attacchi DDoS sono concepiti per sfruttare i colli di bottiglia presenti all'interno dell'infrastruttura IT di un'organizzazione, e delle applicazioni che ricevono il traffico. Sebbene esistano molti tipi di attacchi DDoS, la maggior parte utilizza una delle due tecniche:
Grossi volumi di pacchetti: I server e le applicazioni possono elaborare solo un numero limitato di richieste.Se si eccede questo limite è possibile degradare o annientare la capacità delle applicazioni di elaborare richieste legittime.
Grossi volumi di dati: anche i collegamenti di rete, i server e le applicazioni hanno dei limiti alla quantità di dati che possono trasmettere o elaborare.Il superamento di questi limiti di larghezza di banda può perfino provocare il crash di un sistema.
L'immagine sottostante, che si basa sui dati della rete di Cloudflare del quarto trimestre 2021, mostra che la stragrande maggioranza degli attacchi non ha tentato di utilizzare la prima tecnica.In questi tre mesi, oltre il 98% degli attacchi DDoS ha avuto una velocità pari o inferiore a 1 milione di pacchetti al secondo (pps), una tendenza in linea con le risultanze dei trimestri precedenti.
A titolo di riferimento, nel 2018 un attacco DDoS su larga scala sferrato contro GitHub ha raggiunto una velocità di 129,6 milioni di pacchetti al secondo.Nel quarto trimestre del 2021, solo il 2% degli attacchi DDoS ha raggiunto una dimensione pari a un decimo di questo attacco, il che indica che la maggior parte degli aggressori esegue attacchi DDoS con volumi di pacchetti inferiori.
Il grafico seguente dimostra che la maggior parte degli attacchi DDoS si livelli 3/4 del quarto trimestre non ha cercato di sommergere i bersagli con enormi volumi di dati. In effetti, il 97% di tutti gli attacchi ha trasportato meno di mezzo gigabyte di dati al secondo.
Gli aggressori DDoS non utilizzano più le tattiche comunemente usate in passato. Il motivo è che gli attacchi più brevi e piccoli possono offrire loro diversi vantaggi.
La prevalenza di attacchi più piccoli può sembrare insolita, perché indica che gli aggressori DDoS non stanno utilizzando tutte le loro capacità. Tuttavia, ci sono molte ragioni per cui gli attacchi DDoS più brevi e di minore entità sono diventati più comuni.
Negli ultimi anni, le piattaforme DDoS-for-hire di sono diventate sempre più popolari.Su queste piattaforme, note anche come "stressor", è possibile noleggiare una botnet DDoS esistente per eseguire un attacco contro un'organizzazione bersaglio scelta dal committente.
Su un sito di DDoS-for-hire , l'esecuzione di un attacco breve e relativamente piccolo è piuttosto economica, con prezzi che vanno da 5 dollari per 5 minuti a 400 dollari per un giorno intero.Poiché questi attacchi di piccola entità diventano sempre più facili da sferrare, ci attendiamo che la loro popolarità continui ad aumentare.
I criminali informatici tendono a concentrare i loro sforzi dove possono avere il massimo impatto. Un modo per farlo è attaccare l'infrastruttura di rete che già fatica a gestire una grande quantità di traffico.
Le soluzioni di accesso remoto come VPN e RDP ne sono un esempio.La pandemia di COVID-19 ha costretto molte organizzazioni ad aumentare drasticamente l'utilizzo di questi servizi, dato che una grossa percentuale della forza lavoro opera da remoto.Tali aumenti possono sovraccaricare rapidamente il servizio, come dimostrano gli esempi di grandi organizzazioni consolidate che devono razionare l'uso della VPN per evitare interruzioni di rete più ampie.
Di certo, le soluzioni di accesso remoto sono state il bersaglio di attacchi DDoS fin dall'inizio della pandemia.In un attacco di questo tipo, l'autore può essere in grado di lanciare un traffico d'attacco relativamente ridotto e di interrompere comunque la capacità dell'organizzazione bersaglio di gestirlo.
Se un'azienda dispone di una soluzione di mitigazione DDoS, un piccolo attacco può avere un impatto minimo o nullo sulla disponibilità dei servizi per gli utenti legittimi. Tuttavia, questi piccoli attacchi potrebbero non essere l'obiettivo finale dell'attaccante.
Negli ultimi anni hanno preso piede i cosiddetti attacchi DDoS Ransom, in cui un aggressore minaccia di eseguire un attacco DDoS se non viene soddisfatta una richiesta di riscatto.In molti casi, i criminali fingono di essere noti attori di minacce come Fancy Bear, Cozy Bear o Lazarus Group per indurre la vittima a pagare.
Un attacco DDoS su piccola scala può essere utilizzato come precursore di una richiesta legata a un attacco DDoS Ransom. Dimostrando la capacità di eseguire anche un piccolo attacco DDoS, l'attaccante aumenta la probabilità che un'organizzazione bersaglio paghi per evitare il rischio di un attacco DDoS su larga scala.
Le prime soluzioni di mitigazione DDoS erano progettate per identificare e bloccare grandi volumi di traffico. Questi sistemi possono attivarsi solo se i volumi di traffico superano una determinata soglia.
Gli attacchi DDoS su piccola scala possono invece eludere le protezioni fornite dalle soluzioni di mitigazione DDoS tradizionali, che si basano su queste soglie per identificare un potenziale attacco. Rimanendo appena al di sotto della soglia in cui scatterebbe il meccanismo di difesa, questi attacchi possono interrompere il funzionamento delle reti bersaglio senza dover superare le difese che l'organizzazione potrebbe aver messo in piedi.
Gli attacchi DDoS su larga scala possono essere costosi e richiedono risorse significative per essere sferrati. L'impiego di un piccolo attacco DDoS da parte di un attaccante può essere inteso come una ricognizione in vista di un attacco successivo.
Se un'organizzazione dispone di una soluzione di mitigazione DDoS, un piccolo attacco DDoS non avrà alcun impatto sulle prestazioni dell'applicazione aggredita. Al contrario, un'applicazione non protetta può subire una latenza misurabile anche da un piccolo attacco DDoS. Utilizzando un attacco su scala ridotta, è possibile identificare quali organizzazioni dispongono di difese e quali no, ottenendo informazioni utili per la pianificazione di attacchi successivi.
Molti attacchi DDoS sono progettati per essere notati. Se l'attacco DDoS ha successo, l'applicazione di rete sotto attacco viene messa fuori uso, e questo presenta al team di sicurezza dell'azienda aggredita un problema che deve essere assolutamente risolto. L'importanza dell'infrastruttura di rete per la comunicazione e la fornitura di servizi ai clienti rende prioritaria la gestione dell'attacco.
Per questi motivi, gli attacchi DDoS possono essere utilizzati come paravento per altri tipi di attacchi, che potrebbero essere individuati e bloccati solo da una security informatica vigile e attenta. Se un'organizzazione è concentrata sulla riparazione dei danni provocati dall'attacco DDoS, potrebbe non prestare sufficiente attenzione per notare un tentativo di violazione dei dati o di infiltrazione di malware nella rete. Un attacco DDoS su piccola scala può non essere sufficiente a distruggere i sistemi di un'organizzazione, ma può essere sufficiente a distrarla dalla minaccia reale.
Anche se gli attacchi DDoS più piccoli possono sembrare una minaccia meno immediata rispetto a quelli più grandi, essi presentano comunque una serie di rischi. In alcuni casi, un piccolo attacco può comunque mettere fuori uso un'infrastruttura, o perlomeno degradarne le prestazioni. Inoltre, gli attacchi DDoS di minore entità possono aiutare gli aggressori a cercare falle nella sicurezza o a distrarre i loro obiettivi da altri attacchi, che utilizzano metodi completamente diversi.
Le organizzazioni che hanno implementato una efficace soluzione di mitigazione DDoS saranno al riparo anche dai più grandi attacchi DDoS. Lo stesso non si può dire delle reti non protette o non adeguatamente protette, soprattutto se sono già sovraccariche.
Un piccolo attacco DDoS comporta fino a mezzo gigabyte di dati dannosi che raggiungono l'infrastruttura di rete di un'organizzazione ogni secondo. La rete potrebbe presentare potenziali colli di bottiglia, tra cui:
Larghezza di banda della rete
Connessioni TCP aperte
Utilizzo della CPU
Se la capacità di una di queste risorse viene superata dall'attacco, la rete non sarà in grado di elaborare le richieste legittime.
Qualsiasi richiesta - legittima o meno - alla rete di un'organizzazione consuma risorse. In circostanze normali, la maggior parte delle richieste è legittima e le richieste dannose hanno un impatto minimo o trascurabile.
Durante un attacco DDoS, invece, le richieste dannose possono superare il traffico legittimo anche di centinaia di volte. Anche se un attacco non mette fuori uso il servizio preso a bersaglio, l'aumento esponenziale dei costi operativi può avere un impatto significativo sul bilancio di un'organizzazione. Il costo dell'elaborazione delle richieste di spam consuma risorse di calcolo e, se un'azienda dispone di un servizio di mitigazione DDoS a pagamento, il costo della protezione può essere elevato.
L'impatto di un attacco DDoS può durare anche molto tempo dopo il completamento dell'attacco. In alcuni casi, un attacco DDoS può causare l'incapacità di un'applicazione di rispondere a richieste legittime solo durante l'attacco, per poi tornare alla normalità al termine dello stesso. In altri casi, un attacco può causare il blocco di applicazioni o server, costringendo i team IT a riavviare le macchine o il software e a ripristinare i dati persi (se possibile). Nel secondo scenario, un attacco breve e di piccole dimensioni può avere un impatto prolungato nonostante il prezzo relativamente basso.
Il modo migliore per prepararsi a un attacco DDoS consiste nell'implementazione di una soluzione di mitigazione. Tuttavia, non tutte le soluzioni di mitigazione DDoS sono uguali. Le caratteristiche principali che devono avere sono le seguenti:
Protezione sempre attiva: Alcune soluzioni di mitigazione DDoS non si attivano finché il traffico dannoso non raggiunge una certa soglia.Purtroppo, gli attacchi DDoS su piccola scala possono sgusciare tra le maglie di questo tipo di soluzioni.Una soluzione di mitigazione DDoS sempre attiva, invece, fornisce una protezione senza soluzione di continuità.
Integrazione della sicurezza: Gli attacchi DDoS possono essere progettati in modo tale da mascherare un altro attacco, quello realmente importante.Una soluzione DDoS integrata con altri strumenti di sicurezza può aiutare a identificare l'attacco principale che il "piccolo" attacco DDoS cerca di occultare.
Scrubbing perimetrale: L'invio di tutto il traffico di rete a un sistema centrale per l'ispezione e lo scrubbing aumenta la latenza della rete.Gli scrubber devono essere distribuiti sul perimetro di rete per ridurre al minimo l'impatto sulle prestazioni.
Mitigazione DDoS illimitata: Alcuni fornitori fatturano in base alla larghezza di banda della rete utilizzata al momento del picco dell'attacco, che nel caso di attacchi su larga scala può raggiungere volumi astronomici.Cercate una soluzione DDoS che non leghi il prezzo ai picchi d'attacco.
Gli attacchi DDoS sono sempre più comuni e le tecniche di attacco si stanno evolvendo. Gli aggressori abbandonano la strategia degli attacchi su larga scala per concentrarsi su campagne DDoS più piccole e brevi.Per garantire un'elevata disponibilità e prestazioni dei servizi web è necessario investire in una soluzione di mitigazione DDoS leader del settore.
Questo articolo fa parte di una serie sulle ultime tendenze e argomenti che hanno un impatto sui decisori tecnologici di oggi.
Dopo aver letto questo articolo sarai in grado di capire:
Le tipologie di attacco DDoS più diffuse
6 motivi per cui questi attacchi sono in aumento
I 3 principali rischi correlati
Leader nella mitigazione DDoS
Blog: Tendenze degli attacchi DDoS nel quarto trimestre 2021
Articolo: L'impiego delle minacce DDoS per estorcere denaro alle organizzazioni
Leggi come Cloudflare Magic Transit protegge le reti dagli attacchi DDoS e allo stesso tempo ne migliora le prestazioni.
Get the whitepaperVendite
Introduzione
Community
Sviluppatori
Supporto
Azienda