I QUADERNI DI FASTWEB
#6
Distributed Denial of Service
MINACCE CRESCENTI E CONTROMISURE EFFICACI
2018
MINACCE CRESCENTI E CONTROMISURE EFFICACI
2018
1
ATTACCHI DISTRIBUTED DENIAL-OF-SERVICE
(DDoS): UNO SCENARIO IN RAPIDA EVOLUZIONE
La cybersecurity sta diventando un tema sempre più centrale per la vita delle
imprese dal momento che il rischio informatico cresce costantemente: le
minacce "cyber", infatti, sono oggi considerate come il primo rischio
tecnologico in assoluto, il terzo in termini di probabilità e il sesto in termini di
impatto (Rif. World Economic Forum - "Global Risk Report 2018"). Una tra le
minacce crescenti è sicuramente rappresentata dagli attacchi di tipo
Distributed Denial of Service (DDoS).
Lo scopo di un attacco Denial of Service
è quello di rendere indisponibili
agli utenti le risorse scelte come obiettivo
dell'attacco (computazionali, memoria, banda ecc.) sfruttando i limiti delle
infrastrutture ICT che determinano un malfunzionamento a fronte di un
numero elevato di richieste. L'aggettivo "Distributed" si riferisce in particolare al
fatto che viene utilizzato un insieme di dispositivi opportunamente infettati e
controllati da remoto (le cosiddette Botnet) per lanciare l'attacco in maniera
coordinata e massiva verso l'obiettivo.
La crescita continua del fenomeno DDoS è determinata essenzialmente dal fatto che, oltre alle storiche motivazioni che hanno da sempre accompagnato questa tipologia di attacchi (Nihilism/Vandalism), se ne sono affiancate altre prevalentemente correlate a motivazioni criminali: ad esempio si effettuano attacchi DDoS per portare a termine estorsioni o per distogliere l'attenzione nel caso di attacchi "sofisticati" multivettore come quelli di tipo APT-Advanced Persistent Threat (sezione 3).
Gli attacchi DDoS risultano oggi sempre più dannosi perché la diffusione di apparati sempre connessi alla rete Internet e l'adozione di soluzioni e servizi Cloud richiedono che risorse e servizi applicativi siano sempre disponibili. Inoltre la crescita dell'utilizzo non solo di smartphone e tablet, ma anche di "dispositivi connessi" (IoT) amplia la superficie esposta a vulnerabilità ed attacchi: i dispositivi IoT, ad esempio, possono diventare obiettivi diretti di attacchi DDoS o strumenti per attuare tali attacchi come parte di una botnet.
La crescita continua del fenomeno DDoS è determinata essenzialmente dal fatto che, oltre alle storiche motivazioni che hanno da sempre accompagnato questa tipologia di attacchi (Nihilism/Vandalism), se ne sono affiancate altre prevalentemente correlate a motivazioni criminali: ad esempio si effettuano attacchi DDoS per portare a termine estorsioni o per distogliere l'attenzione nel caso di attacchi "sofisticati" multivettore come quelli di tipo APT-Advanced Persistent Threat (sezione 3).
Gli attacchi DDoS risultano oggi sempre più dannosi perché la diffusione di apparati sempre connessi alla rete Internet e l'adozione di soluzioni e servizi Cloud richiedono che risorse e servizi applicativi siano sempre disponibili. Inoltre la crescita dell'utilizzo non solo di smartphone e tablet, ma anche di "dispositivi connessi" (IoT) amplia la superficie esposta a vulnerabilità ed attacchi: i dispositivi IoT, ad esempio, possono diventare obiettivi diretti di attacchi DDoS o strumenti per attuare tali attacchi come parte di una botnet.
In questo contesto è quindi facile comprendere
come gli attacchi DDoS costituiscano una seria
minaccia per qualunque servizio erogato su
internet da parte di Aziende private o
Amministrazioni Pubbliche per le possibili
conseguenze sulla reputation aziendale e, in
definitiva, sul business. Del resto la risonanza
data anche sui media a notizie relative ad
attacchi DDoS, rende questo fenomeno
conosciuto da una platea molto vasta, anche di
"non addetti ai lavori", che è particolarmente
attenta ad allarmi di questo tipo poiché, grazie
a comportamenti e stili di vita sempre di più
permeati dal "digitale", può essere impattata in
maniera considerevole dall'interruzione di
servizi e applicazioni e decidere quindi di
cambiare i propri comportamenti di acquisto
orientandoli verso fornitori ritenuti più "sicuri".
LE CONSEGUENZE DI UN ATTACCO DDoS
- Calo diretto di ricavi e profitti dovuto al tempo di inattività.
- Perdita dei Clienti per indisponibilità dei servizi, con probabile migrazione del potenziale utente e della customer base verso altro fornitore.
- Danni all'immagine o al brand per notizie relative ad interruzione di servizio o violazioni della sicurezza e conseguenti impatti sul livello di competition nel mercato.
- Possibili sanzioni legate alla non compliance alle normativeche prevedono la disponibilità della raggiungibilità dei dati (Availability).
- Diminuzione della Produttività. Quando i servizi online non funzionano, la produttività dei dipendenti e delle aziende che si affidano a tali servizi diminuisce notevolmente.
- Penali. Il mancato soddisfacimento di determinati requisiti di disponibilità potrebbe implicare il pagamento di penali verso Clienti e Fornitori.
- Costi di ripristino del servizio. La gestione non strutturata di attacchi di tipo DDoS comporta l'utilizzo di personale ed infrastrutture in emergenza con evidente dispendio di risorse ed un allungamento dei tempi necessari per le attività di ripristino.
La disponibilità di infrastrutture e servizi specifici,
competenze sempre aggiornate sulla tipologia degli
attacchi e di esperienza maturata sul campo, sono
quindi elementi fondamentali per una protezione
efficace, che, spesso, è garantita solo da contromisure
da attuare in tempo reale al variare delle tecniche di
attacco che vengono via via messe in campo.
Per questo motivo è altrettanto essenziale che chi
eroga servizi di protezione DDoS possa disporre di una
capacità operativa adeguata, garantita solo da
Security Operation Center che abbiano competenze
specifiche e operino su piattaforme tecnologiche
d'eccellenza.
2
LE TIPOLOGIE DI ATTACCO
Gli attacchi DDoS si suddividono in due macro categorie: attacchi Volumetrici ed
attacchi Applicativi.
Gli attacchi Volumetrici hanno come obiettivo primario la saturazione
dell'accesso ad internet veicolando enormi quantità di traffico che l'infrastruttura
fisica non è in grado di gestire. Sono gli attacchi di gran lunga più frequenti e
solitamente possono essere contrastati da servizi specifici di protezione
dell'accesso internet che gli ISP mettono a disposizione dei propri Clienti.
Nel caso di tentativi di saturazione della banda,
la protezione a livello ISP è generalmente più
efficace rispetto a soluzioni che operano a livello di
sede Cliente, solitamente attivabili su alcuni apparati
di sicurezza (che però hanno "mission" di sicurezza
differenti) quali ad esempio IPS, Next Gen. Firewall
(NGFW), Web App, Firewall ecc., dal momento
che intercetta e "ripulisce" a monte il traffico diretto
verso la sede consentendo il passaggio solo
al traffico "legittimo" (sezione 5). L'attacco può
essere realizzato con differenti tecniche ad esempio
di Flooding, Amplification o Reflection come
descritto nella sezione 8.1.
Gli attacchi Applicativi
invece hanno come obiettivo la
saturazione delle risorse dei Server
CPU, RAM) senza necessariamente saturare la banda del link
di accesso e si realizzano attraverso richieste di operazioni
artificiosamente complesse che impiegano molto tempo per
essere svolte e che rallentano o bloccano totalmente il normale
flusso delle attività. Ad esempio le sessioni contemporanee
gestibili da apparati di sicurezza perimetrale come Firewall (o
anche Router), o la memoria che i Server Web
dedicano alla gestione della comunicazione con i client.
L'attacco può essere veicolato a livello di Protocollo
Connessione o Applicazione come illustrato nella sezione 8.1.
La distinzione tra attacchi Volumetrici e Applicativi risulta negli ultimi anni sempre meno netta, in quanto nella stessa campagna possono essere utilizzate entrambe le tecniche: in questo caso si parla di strategia Multi-Vector.
La distinzione tra attacchi Volumetrici e Applicativi risulta negli ultimi anni sempre meno netta, in quanto nella stessa campagna possono essere utilizzate entrambe le tecniche: in questo caso si parla di strategia Multi-Vector.
Figura 1 - Tipologie di attacco DDoS
Un aspetto importante da sottolineare è la
limitata efficacia
di apparati di sicurezza quali
Firewall e IPS
nella gestione di attacchi DDoS
perché, nonostante siano necessari per garantire
separazione, segregazione e monitoraggio
dell'infrastruttura di rete, possono addirittura
essere a loro volta sfruttati per portare a termine
attacchi DDoS. In particolare:
- possono soffrire l'esaurimento delle risorse dedicate a gestire le sessioni, in caso di attacchi basati su Flood o Connection;
- non gestiscono attacchi che contengono richieste valide e distribuite (su cui si basano dei vettori di attacco DDoS);
- normalmente non si integrano con soluzioni Cloud (i.e. lo Scrubbing Center dell'ISP) per richieste on-demand di mitigation di attacchi a banda elevata.
3
CHI GENERA GLI ATTACCHI DDoS E PERCHÉ?
Con percentuali variabili a seconda delle vittime di attacco, gli attori che
generano attacchi DDoS ricadono principalmente nelle seguenti aree:
- Nihilism/Vandalism: vengono effettuati attacchi DDOS come attività dimostrative legate a dispute Politiche o Ideologiche.
- Cybercrime/Competitors/Cyberwarfare: il DDoS è utilizzato per attività di estorsione Criminale (es. richiesta di pagamenti con la minaccia di scatenare un attacco DDoS contro le risorse esposte), concorrenza sleale (es. attacco su un sito di e-commerce o gestione prenotazioni di un competitor) o per tentativi di Diversion in situazione di Data Exfiltration dove il DDoS è un vero e proprio "smoke screen" a protezione di altri tipi di intrusione portati per ragioni di spionaggio industriale o in scenari di Cyber warfare.
Gli attacchi DDoS rientrano nell'ambito delle minacce complesse e costituiscono
una tecnica utilizzata spesso a supporto di attacchi mirati multilivello. Ad
esempio negli attacchi APT (Advanced Persistent Threat) il DDoS può essere
utilizzato in diverse fasi:
- di Reconnaisance, che permette la comprensione del livello di preparazione in termini di sicurezza dell'Azienda o servizio sotto attacco;
- Delivery and weaponization del Malware, per renderne difficile l'identificazione;
- Data exfiltration per spostare l'attenzione su eventi macroscopici;
- Post-attacco, per confondere le tracce nei Forensics log e rendere difficoltosa la ricerca del Malware.
Minacce APT (Avanced persistent Threat)
4
ESEGUIRE UN ATTACCO DDoS È FACILE
Le soluzioni e le tecniche che possono essere utilizzate da coloro che vogliono
definire una nuova tipologia di attacco derivano spesso da precedenti esperienze.
Quindi il riutilizzo di vettori noti rende generalmente la creazione di un attacco
DDoS "semplice" ad hacker mediamente esperti.
ESEMPIO 1
Ad esempio il link seguente mostra
l'evoluzione della Botnet Mirai e come,
cambiando pochi parametri del Vettore di
attacco, gli "sviluppatori" abbiano dato vita a
Botnet inizialmente non tracciabili e che
potevano stimolare attacchi DDoS con diversi
vettori Flooding o Reflection/Amplification.
(https://asert.arbornetworks.com /the-arcof-satori/)
Oltre a questo, si deve considerare che gli attori
che "finanziano" un attacco DDoS possono
anche utilizzare Tool disponibili su Internet per
automatizzare e lanciare attacchi, al costo di
pochi dollari/ora. Questi Tool si basano su
Botnet create ad hoc dagli sviluppatori della
soluzione, in modo da rimanere attive per un
tempo limitato e non essere tracciabili. Gli
attacchi sviluppati sono principalmente di tipo
"Floods".
Esistono inoltre codici Open Source disponibili gratuitamente come Low Orbit Ion Cannon (LOIC), che possono essere utilizzati oltre che in ambiente di simulazione anche per stimolare attacchi verso risorse online.
Esistono inoltre codici Open Source disponibili gratuitamente come Low Orbit Ion Cannon (LOIC), che possono essere utilizzati oltre che in ambiente di simulazione anche per stimolare attacchi verso risorse online.
ESEMPIO 2
Di seguito, a titolo d'esempio, si riporta una
breve lista di attacchi DDoS alcuni dei quali
hanno avuto risonanza sui media, mentre altri
non hanno avuto evidenza pubblica poiché
mitigati grazie ad un insieme di contromisure
tecniche e organizzative.
- Attacchi DDoS durante le Olimpiadi di Rio 2016 https://www.arbornetworks.com /blog /asert /ddos-attacks-iot-botnetsdont-mean-game/ Varie organizzazioni affiliate all'evento sono state vittima prima e durante i Giochi di attacchi fino a 540 G/sec, utilizzando tecniche di UDP Reflection/Amplification e vettori come DNS, Chargen, NTP e SSDP; insieme a tecniche di UDP packet Flooding, SYN- Flooding e attacchi application- layer verso risorse Web e DNS. Questi attacchi avevano in alcuni casi come base la Botnet LizardStresser propagata su sistemi IOT. Gli attacchi non hanno avuto effetti in quanto mitigati.
- La Botnet Mirai alla base dell'attacco al Server DNS DYN https://www.arbornetworks.com /blog /asert /mirai-iotbotnet-description-ddos-attackmitigation/ e https://www.wired.com /2016 /10 /internet-outage-ddos-dns-dyn/ , con vettori di attacco quali SYN- Flooding, UDP Flooding, Valve Source Engine (VSE) query- Flooding, GRE- Flooding, ACK- Flooding, pseudo- random DNS label- prepending, HTTP GET, HTTP POST, e HTTP HEAD.
- La Botnet Mirai all'origine dell'attacco contro OVH, https://www.scmagazineuk.com /ovh-suffers-11tbps-ddos-attack /article /532197/
- Gli attacchi sopra il Terabit/sec di Marzo 2018, come
https://www.arbornetworks.com /blog /asert /netscout-arbor-confirms-1-7- tbps-ddos-attack-terabit- attackera-upon-us/
dove il vettore è stato il protocollo
memcached Reflection/Amplification,
che ha sfruttato la presenza
di Server raggiungibili da Internet e ospitati
in DC con grande capacità di banda
trasmissiva a disposizione, oltre alla
potenzialità di amplificazione del protocollo
memcached.
In generale ogni tipo di attaccante cerca di
raggiungere il massimo profitto, con lo sforzo
minimo e per questo motivo si osserva il
proliferare di tecniche di attacco simili, ma con
poche varianti: da un lato si sfrutta una tecnica
che ha provata efficacia, dall'altro si modifica
qualche aspetto base del meccanismo (per
esempio la propagazione, come nel caso delle
permutazioni della Botnet Mirai in Satori) per
rendere le fasi di Detection e Mitigation
dell'attacco meno efficaci.
5
LA PROTEZIONE DA ATTACCHI DDoS
La protezione da un attacco DDoS può essere implementata attraverso varie
soluzioni che operano con modalità e a livelli differenti nell'infrastruttura ICT. Le
caratteristiche delle soluzioni e dei servizi di protezione da attacchi DDoS
possono essere anche differenti tra loro ma non necessariamente mutuamente
esclusive.
Gli ISP si trovano certamente in una posizione privilegiata in questo ambito dal momento che, fornendo il servizio di connettività e implementando nella maggior parte dei casi già delle politiche di protezione della propria infrastruttura, possono erogare agevolmente un servizio di protezione DDoS (con varie opzioni possibili a seconda del livello di Analisi, Detection, oltre alla successiva Mitigation, degli attacchi).
Vi sono poi i servizi antiDDoS "Cloud based" erogati tipicamente da operatori Over The Top (OTT) che implementano una protezione a livello globale su tutto il traffico in rete attraverso infrastrutture Cloud in cui il servizio di protezione da attacchi DDoS viene spesso abbinato in opzione ad altri servizi di sicurezza (es. CDN o WAF).
A complemento delle soluzioni antiDDoS operanti a livello di rete (ISP o "Cloud based"), esiste la possibilità di implementare soluzioni on-premise, progettate specificamente per la protezione da attacchi di tipo Applicativo. Di seguito sono descritte le principali modalità di realizzazione di servizi di protezione da attacchi DDoS.
Gli ISP si trovano certamente in una posizione privilegiata in questo ambito dal momento che, fornendo il servizio di connettività e implementando nella maggior parte dei casi già delle politiche di protezione della propria infrastruttura, possono erogare agevolmente un servizio di protezione DDoS (con varie opzioni possibili a seconda del livello di Analisi, Detection, oltre alla successiva Mitigation, degli attacchi).
Vi sono poi i servizi antiDDoS "Cloud based" erogati tipicamente da operatori Over The Top (OTT) che implementano una protezione a livello globale su tutto il traffico in rete attraverso infrastrutture Cloud in cui il servizio di protezione da attacchi DDoS viene spesso abbinato in opzione ad altri servizi di sicurezza (es. CDN o WAF).
A complemento delle soluzioni antiDDoS operanti a livello di rete (ISP o "Cloud based"), esiste la possibilità di implementare soluzioni on-premise, progettate specificamente per la protezione da attacchi di tipo Applicativo. Di seguito sono descritte le principali modalità di realizzazione di servizi di protezione da attacchi DDoS.
A - LA PROTEZIONE DDoS FORNITA DA ISP
Come illustrato più in dettaglio nella sezione 6, l'ISP normalmente mantiene sotto
monitoring il traffico raccolto dai Peering Point per proteggere le proprie
infrastrutture: nel caso poi di fornitura di un servizio di protezione DDoS, analizza
il traffico del Cliente identificandone un profilo "standard" e implementa quindi
delle politiche di Detection specifiche in funzione delle anomalie rilevate rispetto
a questo profilo. In caso di attacco, per le attività di Mitigation, utilizza
normalmente le risorse di Scrubbing Center locali verso cui inoltrare il traffico per
bloccare l'attacco e trasmettere verso il Cliente solo il traffico legittimo.
Nella Figura 3 viene illustrata la modalità con cui l'ISP implementa la protezione in caso di attacco che satura la connettività del Cliente.
Nella Figura 3 viene illustrata la modalità con cui l'ISP implementa la protezione in caso di attacco che satura la connettività del Cliente.
Figura 3
Normalmente gli attacchi gestiti sono quelli ricevuti dai Peering Point, quindi da
Internet verso il Cliente pertanto il traffico inoltrato verso gli Scrubbing Center è
quello Inbound verso il Cliente, mentre in outbound il traffico segue il Path normale.
I principali vantaggi offerti della protezione DDoS erogata da ISP sono i seguenti.
I principali vantaggi offerti della protezione DDoS erogata da ISP sono i seguenti.
- Il traffico, con le informazioni ed i dati contenuti, non viene re-diretto verso una rete esterna collocata anche al di fuori dell'Europa, magari senza particolari protezioni di sicurezza (es cifratura), ma rimane confinato nella rete dell'ISP senza nessun impatto sull'infrastruttura Cliente. Il traffico che non è sotto attacco viene mantenuto sul path ottimale, mentre solo quello sospetto viene ridiretto verso la piattaforma antiDDoS
Scrubbing Center); questo aspetto risulta particolarmente importante per
applicazioni che siano dipendenti da limiti di latenza del traffico (es VoIP ecc.)
- L'ISP ha la possibilità di offrire il servizio singolarmente a tutti i clienti attestati alla propria rete dal momento che è in grado di gestire attacchi verso il singolo indirizzo (IP/32), in quanto la re-direction verso lo scrubbing Center è locale alla rete ISP in modo da limitare così gli impatti sulle prestazioni a livello applicativo da parte del servizio di mitigazione DDoS.
- L'ISP opera generalmente con un Team Locale madrelingua che consente una comunicazione efficace con i Clienti in grado di rendere più efficiente il coordinamento e la collaborazione tra Cliente e ISP nelle fasi di gestione operativa della mitigazione.
B - LA PROTEZIONE DDoS FORNITA TRAMITE SERVIZI CLOUD BASED
Le soluzioni di protezione Cloud based operano reindirizzando tutto il traffico
Cliente presente in rete, indipendentemente dal fatto che sia lecito o infetto, verso
piattaforme localizzate in Cloud per l'eliminazione, secondo politiche standard,
della componente di traffico malevola. Esistono in questo ambito differenti
opzioni che si possono schematizzare come segue.
- Protezione Always on: il traffico utente attraversa sempre la rete del Cloud Provider, sia in caso di attacco che in peace time. Ulteriori opzioni sono nelle offerte Always Monitored o Always Mitigated, che determinano la capacità di implementare Detection e Mitigation specifiche per il servizio del Cliente. Spesso questi approcci sono forniti insieme a servizi CDN o WAF, per cui il tema DDoS viene visto in un contesto più ampio e non dedicato specificamente al problema.
- Protezione con redirection basata su protocollo BGP: la convenzione è di proteggere non il singolo IP address sotto attacco, ma subnet /24; quindi in caso di attacco, si ridirige il traffico dell'intera subnet e non del singolo servizio verso lo Scrubbing Center Cloud. È normalmente anche necessario che il servizio o l'Azienda sotto protezione abbia un proprio BGP ASN.
- Protezione con redirection DNS: sono approcci invece basati su Proxy del traffico in/out del Cliente; un possibile problema è legato al fatto che gli attaccanti potrebbero usare come target di attacco direttamente l'IP del servizio e quindi bypassare protezioni basate su interrogazioni al DNS.
La Figura 4 illustra schematicamente il funzionamento della protezione Cloud
based, dalla situazione di attacco alla presa in carico dello Scrubbing Center
Cloud:
Figura 4
In generale i servizi di protezione DDoS basati
su soluzioni Cloud based hanno le seguenti
caratteristiche:
- Normalmente l'interazione avviene con un SOC che opera in lingua inglese.
- L'approccio Cloud permette una protezione indipendente dal link di ricezione dell'attacco e/o dall'ISP a cui si è connessi, ma costringe a re-dirigere tutto il traffico verso la piattaforma Cloud.
- I servizi anti DDoS Cloud possono essere visti non solo come una possibile alternativa al servizio ISP, ma, soprattutto, come complemento degli stessi: infatti, l'ISP può integrare la propria infrastruttura di Scrubbing con quella Globale di un servizio Cloud, in modo da ricevere supporto nel caso di attacchi che superino la capacità locale di Scrubbing.
C - PROTEZIONE ANTI DDoS TRAMITE PIATTAFORMA ON PREMISE
La crescita di attacchi Applicativi e Multi- Vector porta alla necessità di valutare
anche una protezione da attacchi Applicativi. Tale tipologia di protezione è
realizzata a livello locale presso la sede Cliente tramite soluzioni tecnologiche
che tipicamente sono in grado di interlavorare con un servizio ISP/Cloud per la
mitigazione contemporanea anche di attacchi Volumetrici di banda elevata in
modo tale da poter garantire il più ampio spettro di protezione.
La protezione a livello applicativo consente di intercettare e mitigare attacchi
Applicativi che possono essere di tre tipologie: Attacchi su base Protocollo,
Attacchi su base Connessione e Attacchi Applicativi veri e propri (paragrafo 8.1).
Nella Figura 5 viene sommariamente schematizzato il funzionamento della protezione a livello applicativo on-premise:
Nella Figura 5 viene sommariamente schematizzato il funzionamento della protezione a livello applicativo on-premise:
Figura 5
I principali vantaggi derivanti da una protezione DDoS on premise sono i
seguenti.
- Una piattaforma on-premise realizza una protezione da attacchi Applicativi e a livello di Protocollo in maniera estremamente efficiente poiché, dal momento che opera normalmente in linea con il traffico, può migliorare notevolmente i tempi di Detection e Mitigation.
- Nel caso di attacchi che superino la capacità degli Uplink di connettività verso gli ISP, la best practice è l'implementazione di automazioni a livello di signaling dalla piattaforma on-premise ai servizi antiDDoS ISP o Cloud based, per richiedere la gestione dell'attacco sullo Scrubbing Center del partner (Multi Layer Approach) in modo da evitare saturazioni delle risorse di rete.
6
COME FUNZIONA IL SERVIZIO DI PROTEZIONE OFFERTO DA ISP
I servizi di protezione DDoS forniti dagli ISP rientrano nell'ambito dei servizi
Gestiti che coprono tipicamente le esigenze di Connettività e Sicurezza nel loro
complesso. In particolare alcuni elementi che spingono in questa direzione, per
fronteggiare efficacemente e con elevati livelli d'efficienza gli attacchi di tipo
DDoS, sono:
Il livello elevato delle competenze richieste
sulle tematiche di sicurezza che, generalmente,
è oneroso da raggiungere e mantenere per lo
staff tecnico del Clienti.
La garanzia di una copertura "always-on" da parte dell'ISP
in caso di attacchi di grande portata che si basa sulla presenza di
Security Operation Center locali, adeguatamente staffati e con
chiari processi di gestione dell'attacco e SLA.
La compliance con la normativa.
La possibilità di gestire la protezione DDoS con
una struttura di costi variabili
(OPEX) senza dover affrontare onerosi investimenti in tecnologia.
Un primo elemento generale che caratterizza i servizi antiDDoS offerti da ISP è
costituito dall'adozione, da parte degli ISP stessi, di Best Common Practice che
proteggono l'infrastruttura ed i clienti nel loro complesso e agevolano la
creazione di servizi di protezione DDoS specifici per ogni singolo Cliente.
Di seguito se ne riportano alcune a titolo d'esempio:
- assenza di servizi NTP o DNS all'interno della rete, che possano essere usati per attacchi verso la rete o verso Partner
- blocco servizi (i.e. SNMP) che non devono essere aperti verso la Public Internet
- individuazione ed eventuale blocco di scanning di servizi che potrebbero essere abusati su Server, Switch, Router e CPE
- implementazione di meccanismi anti-spoofing per non permettere a traffico con IP sorgente "interno" di essere ricevuto dai Peering Point
- partecipazione alla Global Operational Security community e condivisione della threat intelligence sugli attacchi osservati
- sviluppo e aggiornamento con test ricorrenti di un processo per la gestione di attacchi DDoS
- implementazione di Flow Telemetry per la "Detection" degli attacchi e di politiche "grezze" di protezione come S/RTBH (Black Holing) & Flowspec a protezione dell'infrastruttura
- implementazione di Intelligent DDoS Mitigation Systems
Gli elementi descritti di seguito costituiscono invece il cuore della protezione che
un ISP può fornire per automatizzare e gestire efficacemente le attività di
Detection e Mitigation di un attacco DDoS.
DETECTION
Fornisce il contesto e gli analytics necessari per comprendere se si è di fronte ad
un attacco. Viene implementata tramite una piattaforma che raccoglie le
informazioni dalla rete, normalmente dai Peering Point (per gestire attacchi
ricevuti da Big Internet) e potenzialmente anche dai Router Edge (per gestire
attacchi da Cliente a Cliente, da Cliente verso servizi Interni, da Cliente verso Big
Internet). La piattaforma è off-line rispetto al traffico, normalmente ridondata e
installata in DC distinti, in modo da coprire un'analisi Distribuita del traffico che
interessa la rete. Questo aspetto è fondamentale nel differenziare il servizio
fornito da un ISP da uno "on-premise o Cloud based", che non consentono la
visibilità completa dei domini ISP e network. Inoltre, essendo off-line, la
piattaforma può scalare in modo appropriato in modo da gestire l'intera rete ISP.
I dati fondamentali raccolti per l'analisi del traffico sono i seguenti:
- Raccolta SNMP delle informazioni del Router e delle statistiche delle interfacce
- Raccolta Netflow per l'evidenza dei flussi di traffico fino al L4 (Source/Destination Port/IP Address, Protocol, Interfacce IN/OUT, bps, etc.). La raccolta avviene su campioni di traffico esportati in Netflow, e non sulla totalità del traffico
- Sessioni BGP per incrociare le informazioni di Routing con quelle di Flow I dati raccolti permettono di avere visibilità del traffico che attraversa la rete, anche in peace time, per ottimizzare il Path di attraversamento verso il Cliente.
Per individuare attacchi DDoS, si raccolgono le informazioni in modo specifico
per ogni Servizio e Cliente, in modo da "profilarne" il traffico:
- per singolo indirizzo IP sotto monitoring, controllando i servizi associati e confrontandoli con soglie di allarme
- a livello Network, per ciascun Servizio o Cliente, monitorando il traffico totale e su base Protocollo, confrontandolo con delle soglie definite in modo automatico.
La funzionalità di Detection è Always On: quindi, la profilatura del
traffico avviene in modo costante per tutti i servizi e Clienti sotto monitoring
La piattaforma segnala all'Operatore la possibile presenza di un attacco, e su questa base sono possibili varie Azioni, tra cui l'opzione più completa è costituita dal coinvolgimento di una piattaforma di Scrubbing per la gestione dell'attacco (Mitigation).
La piattaforma segnala all'Operatore la possibile presenza di un attacco, e su questa base sono possibili varie Azioni, tra cui l'opzione più completa è costituita dal coinvolgimento di una piattaforma di Scrubbing per la gestione dell'attacco (Mitigation).
SCRUBBING CENTER
Si tratta di piattaforme dedicate alla gestione
dell'attacco. Dal momento che la maggior parte
degli attacchi arrivano dalla Big Internet, gli
Scrubbing Center devono essere quanto più vicini ai
Router di Accesso Internet (per evitare il trasporto
del traffico di attacco, potenzialmente x10Gbps,
attraverso la rete); per scalabilità e ridondanza, si
implementano solitamente due o più Scrubbing
Centers che raccolgono il traffico dai Router
Gateway che colloquiano con la Global Internet. Le
piattaforme sono Out of band per massimizzarne
scalabilità infatti sono utilizzate solo on-demand, in
caso di attacco.
MITIGATION
In reazione ad un attacco, l'operatore
del Security Operation Center (o la
piattaforma di Detection in modo
automatico, a seconda delle scelte) può
cambiare il routing del traffico sotto
attacco e inviarlo verso uno Scrubbing
Center, dove un Intelligent DDoS
Mitigation System (IDMS) analizza ondemand
(es. in caso di attacco e
richiesta dell'Operatore) il traffico in
modo da scartare la parte di attacco e
inoltrare il solo traffico legittimo al
Cliente.
Figura 6
- L'operatore, in caso di attacco, richiede ai Router Gateway di cambiare il Routing per l'indirizzo /32 (normalmente) sotto attacco, tramite un annuncio BGP che cambia il Next-hop associato e lo punta verso la piattaforma di Scrubbing.
- Il traffico dell'IP sotto attacco dunque viene gestito dallo Scrubbing Center, con contromisure multiple dedicate al Cliente e al servizio in essere.
- Le contromisure sono implementate in fase di Design dello specifico servizio sotto protezione; in fase di attacco, la piattaforma di Detection può "accendere" le contromisure adeguate all'attacco osservato (i.e. una UDP Reflection/Amplification) in modo automatico. L'Operatore può cambiare in corso d'opera le contromisure associate, in base all'evoluzione dell'attacco.
- Le contromisure sono completate dall'utilizzo di Regole (i.e. Regular Expression) che sono scaricate automaticamente sull'IDMS da Server che forniscono una Global Intelligence sulle Threat in corso e che quindi completano le contromisure con l'informazione allineata alle Osservazioni globali sui vettori di attacco in corso.
- La piattaforma di Scrubbing seleziona dunque il traffico legittimo del Cliente e lo inoltra alla rete in modo da consegnarlo tramite router dedicati, VPN dedicate o GRE Tunnel.
Nel caso di servizio con integrazione della protezione a livello Applicativo la
piattaforma presso la sede Cliente (On premise) effettua essenzialmente le
attività di Detection dell'attacco e, interagendo con quella centralizzata
attraverso un'adeguata procedura di segnalazione, "guida" il processo di
"ripulitura" del traffico malevolo.
La Figura 7 illustra la gestione di un attacco DDoS tramite un approccio integrato tra piattaforma On-premise e rete dell'ISP. In questo caso la richiesta di mitigazione dell'attacco DDoS viene stimolata dopo che la piattaforma Onpremise registra un attacco che sta esaurendo la capacità dell'Uplink e la piattaforma di Scrubbing dell'ISP prende conseguentemente in carico la gestione dell'attacco.
La Figura 7 illustra la gestione di un attacco DDoS tramite un approccio integrato tra piattaforma On-premise e rete dell'ISP. In questo caso la richiesta di mitigazione dell'attacco DDoS viene stimolata dopo che la piattaforma Onpremise registra un attacco che sta esaurendo la capacità dell'Uplink e la piattaforma di Scrubbing dell'ISP prende conseguentemente in carico la gestione dell'attacco.
Figura 7
7
SCEGLIERE LA MIGLIORE PROTEZIONE
L'insieme degli elementi che concorrono a definire
il livello di rischiosità quali la probabilità di essere
attaccati, la dimensione di un attacco, la relativa durata ecc.
Le conseguenze dirette o indirette sull'operatività e sul
business derivanti da un attacco DDoS.
La scelta della modalità di protezione
più adeguata è determinata
essenzialmente da due fattori che
devono essere considerati.
In particolare RISCHIO e IMPATTO per un attacco DDoS possono essere valutati sulla base dei seguenti elementi:
In particolare RISCHIO e IMPATTO per un attacco DDoS possono essere valutati sulla base dei seguenti elementi:
- analisi dei costi diretti e delle ricadute in termini di compliance e di operatività sullo staff
- necessità di protezione da attacchi Applicativi chiedendosi ad esempio quali servizi sono esposti, qual è la statistica degli attacchi registrati, quale l'esperienza su eventuali problemi sofferti da apparati stateful come Firewall o IPS ecc.
L'interlocutore privilegiato nella valutazione dell'offerta di un servizio di
protezione DDoS è normalmente l'ISP che fornisce la connettività. Ogni ISP infatti
implementa nativamente una piattaforma a protezione della propria
infrastruttura e può eventualmente fornire, qualora disponga di
un'organizzazione dedicata (es SOC) e di processi realizzati espressamente per i
Clienti, un servizio specifico anti-DDoS in modo da fornire al Cliente una
protezione dedicata. Infatti, un attacco potenzialmente bloccante per il Cliente
potrebbe non essere evidenziato dalla sola protezione infrastrutturale dell'ISP
(es. senza adeguata configurazione, non si generano allarmi nel caso di
saturazione della banda sugli Uplink del sito Cliente). In questo caso è necessario
dunque un design specifico perché l'ISP abbia una completa visibilità del traffico
Cliente, possa profilarlo in modo adeguato, e possa, in caso di attacco, definire
una detection specifica relativa ai servizi offerti dal Cliente implementare una
mitigation adeguata in termini di automazione e tempi di risposta.
- Risorse di Scrubbing Locali: da valutare se adeguate rispetto alla media di attacchi registrati
- Presenza di un SOC dedicato: è preferibile che operi in lingua Italiana e abbia un chiaro modello operativo basato su processi predefiniti nel caso di attacco ed eventuale escalation
- Fornitura di una reportistica per consentire una visibilità completa delle azioni messe in campo per gestire l'attacco
- Comprensione dei meccanismi che utilizza l'ISP per gestire le fasi di detection e mitigation, per inoltrare il traffico legittimo verso l'utente; valutazione di quanto questi meccanismi siano specifici al servizio protetto e di quanto si basino su una global intelligence condivisa con gli altri operatori
- Valutazione degli SLA offerti
- Costo operativo della protezione: necessità di cambio di regole di Routing, supporto ed interazione con il SOC; automazione dell'intervento della protezione
Nel caso poi sia ritenuta necessaria una protezione a livello applicativo, le
funzionalità che devono essere rese disponibili da un servizio integrato di
protezione anti-DDoS sono le seguenti:
- automazione nell'ingaggio delle contromisure adeguate in caso di attacco e dell'integrazione con segnalazione verso lo Scrubbing Center dell'ISP
- Possibilità di integrazione tra soluzione on-premise e Scrubbing Center dell'ISP
- Reportistica disponibile ad evidenziare ed analizzare il traffico in entrata e uscita dalla rete, oltre alla gestione degli attacchi
Di seguito, sono illustrate sommariamente le principali tecniche utilizzate per
generare attacchi DDoS Volumetrici:
Flooding attacks
Comunemente saturano le risorse sotto attacco in modo da renderle indisponibili agli utenti legittimi.
I protocolli usati più di frequente sono ICMP, TCP, UDP. Le sorgenti dell'attacco possono utilizzare sia indirizzi nativi che spoofed.
Comunemente saturano le risorse sotto attacco in modo da renderle indisponibili agli utenti legittimi.
I protocolli usati più di frequente sono ICMP, TCP, UDP. Le sorgenti dell'attacco possono utilizzare sia indirizzi nativi che spoofed.
- L'utilizzo di vettori basati su UDP deriva dalla possibilità di utilizzare IP spoofed, in quanto il protocollo è stateless e quindi non richiede che si stabilisca una sessione, prima dell'invio del traffico. Questo permette di utilizzare una sorgente IP "fake" e inondare un Server con richieste fittizie. Le richieste possono variare in packet size: pacchetti più piccoli sono utilizzati per creare attacchi con rate elevato di packet per second (che possono causare problemi di forwarding su Router/Switch/Firewall). Pacchetti più grandi causano invece l'esaurimento della capacità dell'infrastruttura (i link di connessione).
- L'utilizzo di vettori basati su TCP tende invece a saturare le risorse non solo della rete, a causa dell'elevato traffico stimolato, ma anche delle risorse del Server sotto attacco, che deve stabilire e poi mantenere uno stato per ogni sessione.
Amplification attacks
Sfruttano implementazioni di protocolli di rete per cui una Query verso un particolare servizio genera una risposta dal Server relativamente più grande in termini di dimensioni (byte del pacchetto). Questo permette di moltiplicare la dimensione del traffico stimolato verso la vittima, normalmente utilizzando in parallelo la Reflection di cui al punto successivo.
Esempi di vettori di questo tipo sono attacchi DNS, NTP e SSDP.
Sfruttano implementazioni di protocolli di rete per cui una Query verso un particolare servizio genera una risposta dal Server relativamente più grande in termini di dimensioni (byte del pacchetto). Questo permette di moltiplicare la dimensione del traffico stimolato verso la vittima, normalmente utilizzando in parallelo la Reflection di cui al punto successivo.
Esempi di vettori di questo tipo sono attacchi DNS, NTP e SSDP.
Reflection attacks
L'attaccante usa l'indirizzo IP spoofed della vittima come sorgente, facendo richiesta a proxies o resolvers aperti su Internet in modo che questi usino l'IP address della vittima come destinazione della risposta. Se usato insieme al vettore di Amplification, ovviamente la risposta (o le risposte stimolate) sarà maggiore della Query in termini di dimensioni del pacchetto generato.
Tecniche comuni sono quelle basate su DNS Reflection, NTP Reflection/Amplification.
Le figure seguenti spiegano lo sviluppo di un attacco Reflection/Amplification su base NTP: dalla richiesta, si generano molte risposte verso l'indirizzo target dell'attacco.
L'attaccante usa l'indirizzo IP spoofed della vittima come sorgente, facendo richiesta a proxies o resolvers aperti su Internet in modo che questi usino l'IP address della vittima come destinazione della risposta. Se usato insieme al vettore di Amplification, ovviamente la risposta (o le risposte stimolate) sarà maggiore della Query in termini di dimensioni del pacchetto generato.
Tecniche comuni sono quelle basate su DNS Reflection, NTP Reflection/Amplification.
Le figure seguenti spiegano lo sviluppo di un attacco Reflection/Amplification su base NTP: dalla richiesta, si generano molte risposte verso l'indirizzo target dell'attacco.
Tra le tecniche più utilizzate per generare attacchi DDoS Applicativi si possono
elencare le seguenti:
Attacchi su base Protocollo
Sfruttano le vulnerabilità del protocollo in modo da saturare la capacità di stato di sessioni degli apparati stateful, in particolare Firewall, Load Balancers, IPS; alcuni esempi sono SYN Flood, RST/FIN Flood.
Attacchi su base Connessione
Si apre un numero elevato di connessioni verso il servizio, senza poi far seguire traffico se non al minimo indispensabile per mantenere la sessione aperta; sono possibili anche richieste incomplete; in entrambi i casi, le connessioni disponibili al servizio sono esaurite sul Server, come anche potrebbero esserci impatti sugli apparati stateful come Firewall/ IPS/Load Balancers.
Attacchi Applicativi
Generati verso particolari applicazioni come http, SSL, DNS, con target una vulnerabilità del livello applicativo. Possono essere basati su Flood di messaggi applicativi o su richieste low and slow. L'effetto a livello rete non è che limitato in quanto i rate di traffico sono ridotti; il servizio risulta però non disponibile. Alcuni esempi sono attacchi di tipo URL flood, RUDY, Slowloris, DNS Dictionary.
Attacchi su base Protocollo
Sfruttano le vulnerabilità del protocollo in modo da saturare la capacità di stato di sessioni degli apparati stateful, in particolare Firewall, Load Balancers, IPS; alcuni esempi sono SYN Flood, RST/FIN Flood.
Attacchi su base Connessione
Si apre un numero elevato di connessioni verso il servizio, senza poi far seguire traffico se non al minimo indispensabile per mantenere la sessione aperta; sono possibili anche richieste incomplete; in entrambi i casi, le connessioni disponibili al servizio sono esaurite sul Server, come anche potrebbero esserci impatti sugli apparati stateful come Firewall/ IPS/Load Balancers.
Attacchi Applicativi
Generati verso particolari applicazioni come http, SSL, DNS, con target una vulnerabilità del livello applicativo. Possono essere basati su Flood di messaggi applicativi o su richieste low and slow. L'effetto a livello rete non è che limitato in quanto i rate di traffico sono ridotti; il servizio risulta però non disponibile. Alcuni esempi sono attacchi di tipo URL flood, RUDY, Slowloris, DNS Dictionary.
ESEMPIO ATTACCO DDoS APPLICATIVO
Per esempio, nel caso di attacco basato su TCP SYN, il Server deve rispondere
con un messaggio TCP adeguato SYN-ACK alla richiesta di instaurazione di
sessione. Se il successivo messaggio (i.e. ACK) da parte del Cliente non viene
ricevuto (in quanto il Cliente "fake" non lo genera), la sessione non passa allo
stato Established, ma rimane in uno stato "appeso" o half open; se questo
processo viene ripetuto per un grande numero di sessioni (fino a saturare la
capacità del Server), col tempo le successive richieste legittime di instaurazione
di sessione con lo stesso Server sono inibite (si veda a complemento una
spiegazione pubblica al link
https://www.cisco.com /c/en/us/about/pressinternetprotocol-
journal/back- issues/table- contents- 34/syn- flooding- attacks.html
).
8.2
GLOSSARIO
/32 IP address:
l'indirizzo specifico assegnato ad un Host/servizio. La
protezione sul singolo /32 significa che solo il traffico verso questo specifico
servizio è inoltrato verso IDMS e di conseguenza solo tale traffico è soggetto ad
analisi ed applicazione di contromisure.
/24 IP address: la subnet che comprende fino a 256 specifici Host/Servizi. La protezione della intera /24 Subnet comporta che tutto il traffico della subnet è inoltrato verso la piattaforma di Scrubbing (i.e. Cloud); quindi sia il traffico sotto attacco (normalmente un /32 IP address) sia il traffico non interessato da attacco. Questo comportamento è necessario in piattaforme Cloud basate su Redirection BGP, poiché gli annunci BGP minimi sono basati su subnet /24, per mantenere le tabelle di Routing gestibili come dimensione.
L4: analisi/Detection sulla base di campi del pacchetto quali IP address e Porta Sorgente/Destinazione, oltre a Protocollo (dati estratti da analisi dei Flussi Netflow). La Detection di attacchi Volumetrici da parte di ISP è L4; la Mitigation (traffico in attraversamento su IDMS) è invece L7.
L7: analisi/Detection/Mitigation sulla base oltre che sui campi L4, sul payload del pacchetto (i.e. DNS Query, URL http). La Detection di attacchi Applicativi su piattaforma on- premise è L7; la Mitigation è anch'essa L7.
ASN: L'Autonomous System registrato ed univoco globalmente in Internet, abilita lo scambio di informazioni di Routing verso altri ASN via BGP.
IDMS:: Intelligent DDoS Mitigation System.
/24 IP address: la subnet che comprende fino a 256 specifici Host/Servizi. La protezione della intera /24 Subnet comporta che tutto il traffico della subnet è inoltrato verso la piattaforma di Scrubbing (i.e. Cloud); quindi sia il traffico sotto attacco (normalmente un /32 IP address) sia il traffico non interessato da attacco. Questo comportamento è necessario in piattaforme Cloud basate su Redirection BGP, poiché gli annunci BGP minimi sono basati su subnet /24, per mantenere le tabelle di Routing gestibili come dimensione.
L4: analisi/Detection sulla base di campi del pacchetto quali IP address e Porta Sorgente/Destinazione, oltre a Protocollo (dati estratti da analisi dei Flussi Netflow). La Detection di attacchi Volumetrici da parte di ISP è L4; la Mitigation (traffico in attraversamento su IDMS) è invece L7.
L7: analisi/Detection/Mitigation sulla base oltre che sui campi L4, sul payload del pacchetto (i.e. DNS Query, URL http). La Detection di attacchi Applicativi su piattaforma on- premise è L7; la Mitigation è anch'essa L7.
ASN: L'Autonomous System registrato ed univoco globalmente in Internet, abilita lo scambio di informazioni di Routing verso altri ASN via BGP.
IDMS:: Intelligent DDoS Mitigation System.

Fastweb
Con 2,6 milioni di clienti su rete fissa e 1,6 milioni su rete mobile, Fastweb è uno dei principali operatori di telecomunicazioni in Italia.
L'azienda offre una vasta gamma di servizi voce e dati, fissi e mobili, a famiglie e imprese. Dalla sua creazione nel 1999, l'azienda ha puntato sull'innovazione e sulle infrastrutture di rete per garantire la massima qualità nella fornitura di servizi a banda ultralarga. Fastweb ha sviluppato una infrastruttura di rete nazionale in fibra ottica di 50.500 chilometri, con oltre 4 milioni di chilometri di fibra. Grazie all'espansione e al continuo potenziamento della rete ultra broadband, Fastweb raggiunge oggi 22 milioni di abitazioni, di cui 8 con rete proprietaria, con velocità di collegamento fino a 1 Gigabit. La società offre inoltre ai propri clienti un servizio mobile di ultima generazione basato su tecnologia 4G e 4G Plus. Entro il 2020 il servizio mobile verrà potenziato, a partire dalle grandi città, grazie alla realizzazione di una infrastruttura di nuova generazione 5G con tecnologia small cells. Fastweb fornisce servizi di telecomunicazioni ad aziende di tutte le dimensioni, dalle start-up alle piccole e medie imprese, dalle società di grandi dimensioni fino al settore pubblico, alle quali offre connettività e servizi ICT avanzati, come l'housing, il cloud computing, la sicurezza e la comunicazione unificata. La società fa parte del gruppo Swisscom dal settembre 2007.
Relativamente ai servizi Data Center e Cloud, Fastweb ha costruito un'infrastruttura
dedicata ai clienti Enterprise, basata su un Data Center di ultima generazione
certificato Tier IV da Uptime Institute. Realizzato secondo gli standard più esigenti
in termini di sicurezza e affidabilità esso è in grado di ospitare anche applicazioni e
servizi "mission critical" tra i quali vi sono quelli erogati dall'infrastruttura Cloud di
Fastweb dedicata alle imprese.
Tale infrastruttura è infatti concepita per garantire continuità e performance alle applicazioni di business. In particolare la piattaforma cloud IaaS (Infrastructure as a service) di Fastweb garantisce la totale segregazione logica e applicattiva degli ambienti dedicati ai singoli Clienti in modo da ottenerne il completo isolamento.
Grazie ai motori di Orchestration e Automation sviluppati internamente su piattaforma "aperta" Open stack, i sistemi cloud di Fastweb sono in grado di allocare risorse in maniera scalabile e in tempo reale in funzione del carico e dell'uso applicativo del singolo cliente secondo il modello Software Defined Data Center (le componenti di computing, network, storage e security sono virtualizzate e orchestrate da un'unica piattaforma).
Tutta l'infrastruttura cloud è gestita da team specializzati in centri di competenza e nuclei operativi di gestione dedicati rispettivamente a Data Center, infrastruttura IT e Security, in grado di supportare i Clienti dalla fase di progetto a quella di attivazione ed esercizio.
Tale infrastruttura è infatti concepita per garantire continuità e performance alle applicazioni di business. In particolare la piattaforma cloud IaaS (Infrastructure as a service) di Fastweb garantisce la totale segregazione logica e applicattiva degli ambienti dedicati ai singoli Clienti in modo da ottenerne il completo isolamento.
Grazie ai motori di Orchestration e Automation sviluppati internamente su piattaforma "aperta" Open stack, i sistemi cloud di Fastweb sono in grado di allocare risorse in maniera scalabile e in tempo reale in funzione del carico e dell'uso applicativo del singolo cliente secondo il modello Software Defined Data Center (le componenti di computing, network, storage e security sono virtualizzate e orchestrate da un'unica piattaforma).
Tutta l'infrastruttura cloud è gestita da team specializzati in centri di competenza e nuclei operativi di gestione dedicati rispettivamente a Data Center, infrastruttura IT e Security, in grado di supportare i Clienti dalla fase di progetto a quella di attivazione ed esercizio.



Per quanto riguarda in particolare i servizi dedicati alla
sicurezza, Fastweb rende disponibili alle aziende una serie
di servizi e soluzioni di IT Security attraverso il modello di
Managed Security Service Provider.
Tale modello prevede infatti che ciascuna azienda mantenga la totale autonomia nella definizione della Governance dell'IT Security in termini di livelli di rischio e conseguenti priorità di protezione di sistemi e informazioni e demandi invece la gestione operativa dell'IT Security ad un operatore esterno dotato di processi, competenze specifiche e piattaforme tecnologiche adeguate.
Fastweb, oltre a mettere a disposizione un centro di competenza dedicato alla progettazione di soluzioni di IT Security, si è dotata anche di un Security Operation Center (SOC Enterprise) dedicato esclusivamente alla gestione dei servizi di sicurezza per le Aziende. Il SOC Enterprise di Fastweb opera in Italia con personale italiano erogando un servizio con copertura H24 7gg/ settimana; è dotato di processi conformi alle normative con le certificazioni "ISO 9001 - Quality Management" e "ISO 27001 - information Security Management", gestisce piattaforme di sicurezza multi-tecnologia sia presso le sedi dei Clienti che centralizzate nell'infrastruttura Cloud di Fastweb, anch'essa con le medesime certificazioni oltre alla conformità alla norma "ISO 27018 - Privacy on Public Cloud". Con il proprio SOC Enterprise Fastweb gestisce direttamente migliaia di apparati e piattaforme di sicurezza operative presso le Aziende Cliente.
Approfondisci navigando le nostre sezioni dedicate:
Tale modello prevede infatti che ciascuna azienda mantenga la totale autonomia nella definizione della Governance dell'IT Security in termini di livelli di rischio e conseguenti priorità di protezione di sistemi e informazioni e demandi invece la gestione operativa dell'IT Security ad un operatore esterno dotato di processi, competenze specifiche e piattaforme tecnologiche adeguate.
Fastweb, oltre a mettere a disposizione un centro di competenza dedicato alla progettazione di soluzioni di IT Security, si è dotata anche di un Security Operation Center (SOC Enterprise) dedicato esclusivamente alla gestione dei servizi di sicurezza per le Aziende. Il SOC Enterprise di Fastweb opera in Italia con personale italiano erogando un servizio con copertura H24 7gg/ settimana; è dotato di processi conformi alle normative con le certificazioni "ISO 9001 - Quality Management" e "ISO 27001 - information Security Management", gestisce piattaforme di sicurezza multi-tecnologia sia presso le sedi dei Clienti che centralizzate nell'infrastruttura Cloud di Fastweb, anch'essa con le medesime certificazioni oltre alla conformità alla norma "ISO 27018 - Privacy on Public Cloud". Con il proprio SOC Enterprise Fastweb gestisce direttamente migliaia di apparati e piattaforme di sicurezza operative presso le Aziende Cliente.