Attacchi dDos in aumento anche se sono più brevi

74 paesi presi di mira da frequenti e brevi attacchi dDos. Abbiamo chiesto al nostro esperto di sicurezza Luca Ercoli di spiegarci meglio la situazione.

Sicurezza Seeweb: attacchi dDos in aumento anche se sono più breviUna recente ricerca (fonte) riporta come nel primo quarter 2016 ci sia stato un netto calo degli attacchi dDos di tipo low cost e facili da implementare a favore di quelli più complessi e di carattere maggiore.

Anche se i paesi colpiti sono più di 70, quelli che puntualmente sono sotto attacco sono 10, tra questi troviamo ancora una volta: Stati Uniti, Cina, Corea del Sud, Francia e Germania e Ucraina. Più della metà delle aggressioni registrate ha avuto una durata di massimo 4 ore, quella più impegnativa è durata solo 8 giorni (nell’ultimo quarter 2015 l’attacco più lungo è durato quasi 15 giorni) e, negli ultimi mesi, il numero di attacchi rivolti verso un solo obiettivo è salito da 24 a 33. Di questi, la maggior parte è rivolta ad applicativi informatici ed è caratterizzata da una breve durata.

Attualmente gran parte delle aziende web hanno imparato a far fronte ai più diffusi attacchi di tipo dDos, questo ha portato i criminali informatici a metodi più complessi e costosi per rendere più efficiente il proprio operato.

Luca Ercoli SysAdmin Seeweb

Luca Ercoli, SysAdmin Seeweb

S. Secondo la ricerca, rispetto allo scorso anno, gli attacchi dDos sono più frequenti ma più brevi. Da cosa potrebbe dipendere e cosa comporta?

L.E. Credo che gli attacchi siano più frequenti perchè oggigiorno è più facile trovare tool già pronti per questo genere di attività. Botnet tipo Citadel vengono vendute sui forum di hacking con estrema facilità e l’aumentare delle installazioni di CMS e dei relativi plugin che non vengono aggiornati, contribuiscono ad aumentare sempre di più il numero dei vettori di attacco.

In generale, sono più brevi perchè sono migliorati anche gli strumenti di monitoraggio e di difesa.

Disponendo di adeguate contromisure, come Seeweb, questo aumentare di attacchi non comporta particolari problemi, oltre che l’aumentare di tempo e risorse da destinare a questo tipo di attività di difesa e prevenzione. Probabilmente saranno i piccoli provider a soffrirne di più.

 S. Qual è stata la tipologia di attacchi che, come Seeweb, è stata affrontata nel primo quarter 2016?

L.E. La ricerca focalizza l’attenzione sugli attacchi di tipo dDos e in questo caso, per quanto riguarda quelli diretti alla nostra rete, oltre i classici synflood sono aumentati gli attacchi di tipo a riflessione e tramite l’abusedesk, con maggior frequenza rispetto agli anni passati, stiamo avvisando tutti quei clienti che hanno servizi (tipo ntpd, portmap, ecc.) che sono esposti a queste vulnerabilità.

Con maggiore frequenza invece, ci troviamo a risolvere problemi generati tramite bot installati sui siti dei nostri clienti e quindi diretti al di fuori della nostra rete. In questo caso, individuiamo la vulnerabilità utilizzata per compromettere il sito ed eliminiamo eventuali modifiche abusive, implementando o indicando al cliente come mitigare o risolvere la vulnerabilità.

 S. Cosa fa Seeweb nel concreto per proteggere i propri clienti e di conseguenza i loro utenti?

L.E. Per gli attacchi di tipo dDos in ricezione, vengono adottate delle precise contromisure, agendo a livello applicativo sul server che subisce l’attacco ove possibile, oppure gestendo la questione a monte, filtrando le sorgenti tramite il firewall/router con apposite regole e acl.

Nel peggiore dei casi, possiamo intervenire sui transiti per inibire che il traffico raggiunga i nostri data center da determinate rotte. Per quanto riguarda invece la protezione di quei clienti che generano loro stessi un attacco, interveniamo in maniera proattiva per migliorare la reputazione della propria rete (nel caso dei Cloud Server ad esempio), difendendo loro stessi ed i visitatori dei loro siti da malware di vario genere. Anche in questo caso: individuando la vulnerabilità utilizzata per compromettere il sito, eliminando eventuali modifiche abusive fatte al sito e implementando o indicando al cliente come mitigare o risolvere la vulnerabilità.

S. Cosa consiglieresti ai clienti vittime di attacco?

L.E. Sicuramente, per evitare che il proprio spazio web venga utilizzato per distribuire malware ed effettuare attacchi, è indispensabile mantenere aggiornati all’ultima versione stabile tutti gli applicativi installati sul proprio sito.

E’ utile poi intervenire proattivamente installando una serie di tool (tipo fail2ban, mod-security2, ecc.) che possono in qualche modo evitare che il proprio sito venga utilizzato per eseguire attività malevoli. Come Seeweb inoltre, indipendentemente dal livello di System Assurance scelto, mettiamo a disposizione un servizio di consulenza specialistica atto a mitigare e risolvere tali problematiche.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Accedi

Registrati | Password dimenticata?