Le cifre sono abbastanza chiare: nel 2019 gli attacchi DDoS, ossia di Denial of Service distribuito, hanno rappresentato il 77% degli incidenti informatici registrati dai service provider. Nel 2017 la percentuale era del 25%. Un incremento deciso che, secondo i laboratori di ricerca di F5 Networks, minaccia di vanificare gli investimenti che i provider stessi hanno fatto per tutelare le loro infrastrutture. Anche perché questi attacchi si stanno facendo più sofisticati. E vanno a colpire risorse diverse a secondo dello specifico scenario.

"Ogni service provider fa storia a sé - spiega Raffaele D’Albenzio, Manager, Systems Engineers, Global Service Provider Accounts EMEA di F5 Networks - ma i problemi che hanno sono simili. Anche tra grandi e piccoli provider". La differenziazione degli attacchi DDoS è uno di questi problemi. I classici attacchi "brute force" ai server DNS vanno ancora per la maggiore. Ma sono affiancati da altri attacchi sempre più popolari. Specie gli attacchi alle applicazioni web e quelli massivi generati da botnet.

Gli attacchi DDoS ai server DNS sono semplici e, per chi li porta, funzionali. "Il servizio DNS - spiega D'Albenzio - è quello più esposto e quindi preso di mira. Ma viene anche sfruttato come testa di ponte per attacchi verso terze parti". Il riferimento è agli attacchi detti di "DNS amplification" o di "DNS water torture". Che in vario modo bersagliano non solo il provider - che comunque vede i suoi server DNS sotto carico - ma anche un'altra entità. Direttamente, cioè a indirizzi IP specifici, con la DNS amplification. E attraverso i suoi nameserver con la "tortura" di richieste di domini irrisolvibili.

Raffaele D’Albenzio, Manager, Systems Engineers, Global Service Provider Accounts EMEA di F5 NetworksIl problema degli attacchi DDoS ai servizi DNS è, secondo F5, che i service provider se ne accorgono troppo tardi. Gli indicatori ci sono, come l’aumento del traffico di rete e dei tempi di risposta dei server DNS. Ma a volte sfuggono perché gli attacchi avvengono con traffico apparentemente lecito. Che quindi non fa scattare i giusti campanelli di allarme. Servono quindi sistemi che evidenzino subito le anomalie. E siano studiati in modo specifico per la protezione dei servizi DNS. Quindi anche per affrontare situazioni in cui il traffico "ostile" può crescere di molto in breve tempo.

Attacchi DDoS, non solo DNS

Gli attacchi DDoS stanno coinvolgendo sempre più bersagli e canali diversi da quelli tradizionali. I bersagli più "richiesti" oggi comprendono anche le applicazioni e i servizi web. Qui il rischio reputazionale è più immediato, perché il malfunzionamento di una applicazione web di un provider è percepito più nettamente di quello di un servizio da "dietro le quinte" come il DNS. "Ne soffre - sottolinea D'Albenzio - la qualità del servizio che i provider dovrebbero garantire. Un problema specie per i piccoli, che non possono comunque puntare su un brand forte".

La web/app security è un ambito eterogeneo. Ma uno dei fattori chiave da garantire è l'accesso corretto ai servizi. Vi deve "entrare" cioè solo chi ha diritto di farlo. E vanno subito evidenziati andamenti anomali nelle richieste di accesso ed autenticazione. Per F5 serve un complesso di tecnologie che aiutino in tutto questo. Dall'intelligenza artificiale alla protezione degli accessi in senso stretto, passando per la parte di autenticazione. "Il tutto - sottolinea D'Albenzio - facendo in modo che le funzioni di protezione non siano vissute come invasive nella esperienza utente".

Resta sullo sfondo il problema degli attacchi DDoS generati dalle botnet. Un problema che i service provider vivono direttamente perché le botnet si "aggregano" usando le loro reti. Potenzialmente decine o centinaia di migliaia di device semplici, dai media player ai router, che vengono conquistati per scatenare attacchi. Il fatto che trattiamo di botnet ormai da una quindicina di anni dimostra come sia difficile estirpare questa classe di minacce.

Per contrastare le minacce legate agli oggetti più o meno smart, spiega D'Albenzio, ci si può muovere in due direzioni. "Ci sono approcci dal punto di vista applicativo, per garantire che gli oggetti funzioni in modo opportuno. Ad esempio portando all'esterno la parte di autenticazione verso le reti. Poi ci sono approcci a livello di rete. Con firewall IoT che concedano l'accesso solo ai servizi davvero necessari".

È un problema che non promette certo di semplificarsi perché il numero degli oggetti smart aumenterà. "Le persone - mette in risalto D'Albenzio - comprano oggetti, li collegano e li usano... La sicurezza dovrebbe essere un problema risolto a monte con approcci in stile security by design, ma questo nel complesso non accade. Ecco perché i service provider devono continuare a investire per proteggersi"