I QUADERNI DI FASTWEB

#6
Distributed Denial of Service
MINACCE CRESCENTI E CONTROMISURE EFFICACI

2018
1

ATTACCHI DISTRIBUTED DENIAL-OF-SERVICE
(DDoS): UNO SCENARIO IN RAPIDA EVOLUZIONE

La cybersecurity sta diventando un tema sempre più centrale per la vita delle imprese dal momento che il rischio informatico cresce costantemente: le minacce "cyber", infatti, sono oggi considerate come il primo rischio tecnologico in assoluto, il terzo in termini di probabilità e il sesto in termini di impatto (Rif. World Economic Forum - "Global Risk Report 2018"). Una tra le minacce crescenti è sicuramente rappresentata dagli attacchi di tipo Distributed Denial of Service (DDoS). Lo scopo di un attacco Denial of Service è quello di rendere indisponibili agli utenti le risorse scelte come obiettivo dell'attacco (computazionali, memoria, banda ecc.) sfruttando i limiti delle infrastrutture ICT che determinano un malfunzionamento a fronte di un numero elevato di richieste. L'aggettivo "Distributed" si riferisce in particolare al fatto che viene utilizzato un insieme di dispositivi opportunamente infettati e controllati da remoto (le cosiddette Botnet) per lanciare l'attacco in maniera coordinata e massiva verso l'obiettivo.

La crescita continua del fenomeno DDoS è determinata essenzialmente dal fatto che, oltre alle storiche motivazioni che hanno da sempre accompagnato questa tipologia di attacchi (Nihilism/Vandalism), se ne sono affiancate altre prevalentemente correlate a motivazioni criminali: ad esempio si effettuano attacchi DDoS per portare a termine estorsioni o per distogliere l'attenzione nel caso di attacchi "sofisticati" multivettore come quelli di tipo APT-Advanced Persistent Threat (sezione 3).

Gli attacchi DDoS risultano oggi sempre più dannosi perché la diffusione di apparati sempre connessi alla rete Internet e l'adozione di soluzioni e servizi Cloud richiedono che risorse e servizi applicativi siano sempre disponibili. Inoltre la crescita dell'utilizzo non solo di smartphone e tablet, ma anche di "dispositivi connessi" (IoT) amplia la superficie esposta a vulnerabilità ed attacchi: i dispositivi IoT, ad esempio, possono diventare obiettivi diretti di attacchi DDoS o strumenti per attuare tali attacchi come parte di una botnet.
In questo contesto è quindi facile comprendere come gli attacchi DDoS costituiscano una seria minaccia per qualunque servizio erogato su internet da parte di Aziende private o Amministrazioni Pubbliche per le possibili conseguenze sulla reputation aziendale e, in definitiva, sul business. Del resto la risonanza data anche sui media a notizie relative ad attacchi DDoS, rende questo fenomeno conosciuto da una platea molto vasta, anche di "non addetti ai lavori", che è particolarmente attenta ad allarmi di questo tipo poiché, grazie a comportamenti e stili di vita sempre di più permeati dal "digitale", può essere impattata in maniera considerevole dall'interruzione di servizi e applicazioni e decidere quindi di cambiare i propri comportamenti di acquisto orientandoli verso fornitori ritenuti più "sicuri".

LE CONSEGUENZE DI UN ATTACCO DDoS

  • Calo diretto di ricavi e profitti dovuto al tempo di inattività.
  • Perdita dei Clienti per indisponibilità dei servizi, con probabile migrazione del potenziale utente e della customer base verso altro fornitore.
  • Danni all'immagine o al brand per notizie relative ad interruzione di servizio o violazioni della sicurezza e conseguenti impatti sul livello di competition nel mercato.
  • Possibili sanzioni legate alla non compliance alle normativeche prevedono la disponibilità della raggiungibilità dei dati (Availability).
  • Diminuzione della Produttività. Quando i servizi online non funzionano, la produttività dei dipendenti e delle aziende che si affidano a tali servizi diminuisce notevolmente.
  • Penali. Il mancato soddisfacimento di determinati requisiti di disponibilità potrebbe implicare il pagamento di penali verso Clienti e Fornitori.
  • Costi di ripristino del servizio. La gestione non strutturata di attacchi di tipo DDoS comporta l'utilizzo di personale ed infrastrutture in emergenza con evidente dispendio di risorse ed un allungamento dei tempi necessari per le attività di ripristino.
La disponibilità di infrastrutture e servizi specifici, competenze sempre aggiornate sulla tipologia degli attacchi e di esperienza maturata sul campo, sono quindi elementi fondamentali per una protezione efficace, che, spesso, è garantita solo da contromisure da attuare in tempo reale al variare delle tecniche di attacco che vengono via via messe in campo. Per questo motivo è altrettanto essenziale che chi eroga servizi di protezione DDoS possa disporre di una capacità operativa adeguata, garantita solo da Security Operation Center che abbiano competenze specifiche e operino su piattaforme tecnologiche d'eccellenza.
2

LE TIPOLOGIE DI ATTACCO

Gli attacchi DDoS si suddividono in due macro categorie: attacchi Volumetrici ed attacchi Applicativi.
Gli attacchi Volumetrici hanno come obiettivo primario la saturazione dell'accesso ad internet veicolando enormi quantità di traffico che l'infrastruttura fisica non è in grado di gestire. Sono gli attacchi di gran lunga più frequenti e solitamente possono essere contrastati da servizi specifici di protezione dell'accesso internet che gli ISP mettono a disposizione dei propri Clienti.
Nel caso di tentativi di saturazione della banda, la protezione a livello ISP è generalmente più efficace rispetto a soluzioni che operano a livello di sede Cliente, solitamente attivabili su alcuni apparati di sicurezza (che però hanno "mission" di sicurezza differenti) quali ad esempio IPS, Next Gen. Firewall (NGFW), Web App, Firewall ecc., dal momento che intercetta e "ripulisce" a monte il traffico diretto verso la sede consentendo il passaggio solo al traffico "legittimo" (sezione 5). L'attacco può essere realizzato con differenti tecniche ad esempio di Flooding, Amplification o Reflection come descritto nella sezione 8.1.
Gli attacchi Applicativi invece hanno come obiettivo la saturazione delle risorse dei Server CPU, RAM) senza necessariamente saturare la banda del link di accesso e si realizzano attraverso richieste di operazioni artificiosamente complesse che impiegano molto tempo per essere svolte e che rallentano o bloccano totalmente il normale flusso delle attività. Ad esempio le sessioni contemporanee gestibili da apparati di sicurezza perimetrale come Firewall (o anche Router), o la memoria che i Server Web dedicano alla gestione della comunicazione con i client. L'attacco può essere veicolato a livello di Protocollo Connessione o Applicazione come illustrato nella sezione 8.1.

La distinzione tra attacchi Volumetrici e Applicativi risulta negli ultimi anni sempre meno netta, in quanto nella stessa campagna possono essere utilizzate entrambe le tecniche: in questo caso si parla di strategia Multi-Vector.

Figura 1 - Tipologie di attacco DDoS

Un aspetto importante da sottolineare è la limitata efficacia di apparati di sicurezza quali Firewall e IPS nella gestione di attacchi DDoS perché, nonostante siano necessari per garantire separazione, segregazione e monitoraggio dell'infrastruttura di rete, possono addirittura essere a loro volta sfruttati per portare a termine attacchi DDoS. In particolare:
  • possono soffrire l'esaurimento delle risorse dedicate a gestire le sessioni, in caso di attacchi basati su Flood o Connection;
  • non gestiscono attacchi che contengono richieste valide e distribuite (su cui si basano dei vettori di attacco DDoS);
  • normalmente non si integrano con soluzioni Cloud (i.e. lo Scrubbing Center dell'ISP) per richieste on-demand di mitigation di attacchi a banda elevata.
3

CHI GENERA GLI ATTACCHI DDoS E PERCHÉ?

Con percentuali variabili a seconda delle vittime di attacco, gli attori che generano attacchi DDoS ricadono principalmente nelle seguenti aree:
  • Nihilism/Vandalism: vengono effettuati attacchi DDOS come attività dimostrative legate a dispute Politiche o Ideologiche.
  • Cybercrime/Competitors/Cyberwarfare: il DDoS è utilizzato per attività di estorsione Criminale (es. richiesta di pagamenti con la minaccia di scatenare un attacco DDoS contro le risorse esposte), concorrenza sleale (es. attacco su un sito di e-commerce o gestione prenotazioni di un competitor) o per tentativi di Diversion in situazione di Data Exfiltration dove il DDoS è un vero e proprio "smoke screen" a protezione di altri tipi di intrusione portati per ragioni di spionaggio industriale o in scenari di Cyber warfare.
Gli attacchi DDoS rientrano nell'ambito delle minacce complesse e costituiscono una tecnica utilizzata spesso a supporto di attacchi mirati multilivello. Ad esempio negli attacchi APT (Advanced Persistent Threat) il DDoS può essere utilizzato in diverse fasi:
  • di Reconnaisance, che permette la comprensione del livello di preparazione in termini di sicurezza dell'Azienda o servizio sotto attacco;
  • Delivery and weaponization del Malware, per renderne difficile l'identificazione;
  • Data exfiltration per spostare l'attenzione su eventi macroscopici;
  • Post-attacco, per confondere le tracce nei Forensics log e rendere difficoltosa la ricerca del Malware.

Minacce APT (Avanced persistent Threat)

Minacce APT
4

ESEGUIRE UN ATTACCO DDoS È FACILE

Le soluzioni e le tecniche che possono essere utilizzate da coloro che vogliono definire una nuova tipologia di attacco derivano spesso da precedenti esperienze. Quindi il riutilizzo di vettori noti rende generalmente la creazione di un attacco DDoS "semplice" ad hacker mediamente esperti.

ESEMPIO 1

Ad esempio il link seguente mostra l'evoluzione della Botnet Mirai e come, cambiando pochi parametri del Vettore di attacco, gli "sviluppatori" abbiano dato vita a Botnet inizialmente non tracciabili e che potevano stimolare attacchi DDoS con diversi vettori Flooding o Reflection/Amplification. (https://asert.arbornetworks.com /the-arcof-satori/)
Oltre a questo, si deve considerare che gli attori che "finanziano" un attacco DDoS possono anche utilizzare Tool disponibili su Internet per automatizzare e lanciare attacchi, al costo di pochi dollari/ora. Questi Tool si basano su Botnet create ad hoc dagli sviluppatori della soluzione, in modo da rimanere attive per un tempo limitato e non essere tracciabili. Gli attacchi sviluppati sono principalmente di tipo "Floods".
Esistono inoltre codici Open Source disponibili gratuitamente come Low Orbit Ion Cannon (LOIC), che possono essere utilizzati oltre che in ambiente di simulazione anche per stimolare attacchi verso risorse online.

ESEMPIO 2

Di seguito, a titolo d'esempio, si riporta una breve lista di attacchi DDoS alcuni dei quali hanno avuto risonanza sui media, mentre altri non hanno avuto evidenza pubblica poiché mitigati grazie ad un insieme di contromisure tecniche e organizzative.
In generale ogni tipo di attaccante cerca di raggiungere il massimo profitto, con lo sforzo minimo e per questo motivo si osserva il proliferare di tecniche di attacco simili, ma con poche varianti: da un lato si sfrutta una tecnica che ha provata efficacia, dall'altro si modifica qualche aspetto base del meccanismo (per esempio la propagazione, come nel caso delle permutazioni della Botnet Mirai in Satori) per rendere le fasi di Detection e Mitigation dell'attacco meno efficaci. Propagazione attacco
5

LA PROTEZIONE DA ATTACCHI DDoS

La protezione da un attacco DDoS può essere implementata attraverso varie soluzioni che operano con modalità e a livelli differenti nell'infrastruttura ICT. Le caratteristiche delle soluzioni e dei servizi di protezione da attacchi DDoS possono essere anche differenti tra loro ma non necessariamente mutuamente esclusive.
Gli ISP si trovano certamente in una posizione privilegiata in questo ambito dal momento che, fornendo il servizio di connettività e implementando nella maggior parte dei casi già delle politiche di protezione della propria infrastruttura, possono erogare agevolmente un servizio di protezione DDoS (con varie opzioni possibili a seconda del livello di Analisi, Detection, oltre alla successiva Mitigation, degli attacchi).

Vi sono poi i servizi antiDDoS "Cloud based" erogati tipicamente da operatori Over The Top (OTT) che implementano una protezione a livello globale su tutto il traffico in rete attraverso infrastrutture Cloud in cui il servizio di protezione da attacchi DDoS viene spesso abbinato in opzione ad altri servizi di sicurezza (es. CDN o WAF).
A complemento delle soluzioni antiDDoS operanti a livello di rete (ISP o "Cloud based"), esiste la possibilità di implementare soluzioni on-premise, progettate specificamente per la protezione da attacchi di tipo Applicativo. Di seguito sono descritte le principali modalità di realizzazione di servizi di protezione da attacchi DDoS.

A - LA PROTEZIONE DDoS FORNITA DA ISP

Come illustrato più in dettaglio nella sezione 6, l'ISP normalmente mantiene sotto monitoring il traffico raccolto dai Peering Point per proteggere le proprie infrastrutture: nel caso poi di fornitura di un servizio di protezione DDoS, analizza il traffico del Cliente identificandone un profilo "standard" e implementa quindi delle politiche di Detection specifiche in funzione delle anomalie rilevate rispetto a questo profilo. In caso di attacco, per le attività di Mitigation, utilizza normalmente le risorse di Scrubbing Center locali verso cui inoltrare il traffico per bloccare l'attacco e trasmettere verso il Cliente solo il traffico legittimo.

Nella Figura 3 viene illustrata la modalità con cui l'ISP implementa la protezione in caso di attacco che satura la connettività del Cliente.
Figura 3
Normalmente gli attacchi gestiti sono quelli ricevuti dai Peering Point, quindi da Internet verso il Cliente pertanto il traffico inoltrato verso gli Scrubbing Center è quello Inbound verso il Cliente, mentre in outbound il traffico segue il Path normale.
I principali vantaggi offerti della protezione DDoS erogata da ISP sono i seguenti.
  • Il traffico, con le informazioni ed i dati contenuti, non viene re-diretto verso una rete esterna collocata anche al di fuori dell'Europa, magari senza particolari protezioni di sicurezza (es cifratura), ma rimane confinato nella rete dell'ISP senza nessun impatto sull'infrastruttura Cliente. Il traffico che non è sotto attacco viene mantenuto sul path ottimale, mentre solo quello sospetto viene ridiretto verso la piattaforma antiDDoS
Scrubbing Center); questo aspetto risulta particolarmente importante per applicazioni che siano dipendenti da limiti di latenza del traffico (es VoIP ecc.)
  • L'ISP ha la possibilità di offrire il servizio singolarmente a tutti i clienti attestati alla propria rete dal momento che è in grado di gestire attacchi verso il singolo indirizzo (IP/32), in quanto la re-direction verso lo scrubbing Center è locale alla rete ISP in modo da limitare così gli impatti sulle prestazioni a livello applicativo da parte del servizio di mitigazione DDoS.
  • L'ISP opera generalmente con un Team Locale madrelingua che consente una comunicazione efficace con i Clienti in grado di rendere più efficiente il coordinamento e la collaborazione tra Cliente e ISP nelle fasi di gestione operativa della mitigazione.

B - LA PROTEZIONE DDoS FORNITA TRAMITE SERVIZI CLOUD BASED

Le soluzioni di protezione Cloud based operano reindirizzando tutto il traffico Cliente presente in rete, indipendentemente dal fatto che sia lecito o infetto, verso piattaforme localizzate in Cloud per l'eliminazione, secondo politiche standard, della componente di traffico malevola. Esistono in questo ambito differenti opzioni che si possono schematizzare come segue.
  • Protezione Always on: il traffico utente attraversa sempre la rete del Cloud Provider, sia in caso di attacco che in peace time. Ulteriori opzioni sono nelle offerte Always Monitored o Always Mitigated, che determinano la capacità di implementare Detection e Mitigation specifiche per il servizio del Cliente. Spesso questi approcci sono forniti insieme a servizi CDN o WAF, per cui il tema DDoS viene visto in un contesto più ampio e non dedicato specificamente al problema.
  • Protezione con redirection basata su protocollo BGP: la convenzione è di proteggere non il singolo IP address sotto attacco, ma subnet /24; quindi in caso di attacco, si ridirige il traffico dell'intera subnet e non del singolo servizio verso lo Scrubbing Center Cloud. È normalmente anche necessario che il servizio o l'Azienda sotto protezione abbia un proprio BGP ASN.
  • Protezione con redirection DNS: sono approcci invece basati su Proxy del traffico in/out del Cliente; un possibile problema è legato al fatto che gli attaccanti potrebbero usare come target di attacco direttamente l'IP del servizio e quindi bypassare protezioni basate su interrogazioni al DNS.
La Figura 4 illustra schematicamente il funzionamento della protezione Cloud based, dalla situazione di attacco alla presa in carico dello Scrubbing Center Cloud:
Figura 4
In generale i servizi di protezione DDoS basati su soluzioni Cloud based hanno le seguenti caratteristiche:
  • Normalmente l'interazione avviene con un SOC che opera in lingua inglese.
  • L'approccio Cloud permette una protezione indipendente dal link di ricezione dell'attacco e/o dall'ISP a cui si è connessi, ma costringe a re-dirigere tutto il traffico verso la piattaforma Cloud.
  • I servizi anti DDoS Cloud possono essere visti non solo come una possibile alternativa al servizio ISP, ma, soprattutto, come complemento degli stessi: infatti, l'ISP può integrare la propria infrastruttura di Scrubbing con quella Globale di un servizio Cloud, in modo da ricevere supporto nel caso di attacchi che superino la capacità locale di Scrubbing.

C - PROTEZIONE ANTI DDoS TRAMITE PIATTAFORMA ON PREMISE

La crescita di attacchi Applicativi e Multi- Vector porta alla necessità di valutare anche una protezione da attacchi Applicativi. Tale tipologia di protezione è realizzata a livello locale presso la sede Cliente tramite soluzioni tecnologiche che tipicamente sono in grado di interlavorare con un servizio ISP/Cloud per la mitigazione contemporanea anche di attacchi Volumetrici di banda elevata in modo tale da poter garantire il più ampio spettro di protezione.
La protezione a livello applicativo consente di intercettare e mitigare attacchi Applicativi che possono essere di tre tipologie: Attacchi su base Protocollo, Attacchi su base Connessione e Attacchi Applicativi veri e propri (paragrafo 8.1).

Nella Figura 5 viene sommariamente schematizzato il funzionamento della protezione a livello applicativo on-premise:
Figura 5
I principali vantaggi derivanti da una protezione DDoS on premise sono i seguenti.
  • Una piattaforma on-premise realizza una protezione da attacchi Applicativi e a livello di Protocollo in maniera estremamente efficiente poiché, dal momento che opera normalmente in linea con il traffico, può migliorare notevolmente i tempi di Detection e Mitigation.
  • Nel caso di attacchi che superino la capacità degli Uplink di connettività verso gli ISP, la best practice è l'implementazione di automazioni a livello di signaling dalla piattaforma on-premise ai servizi antiDDoS ISP o Cloud based, per richiedere la gestione dell'attacco sullo Scrubbing Center del partner (Multi Layer Approach) in modo da evitare saturazioni delle risorse di rete.
6

COME FUNZIONA IL SERVIZIO DI PROTEZIONE OFFERTO DA ISP

I servizi di protezione DDoS forniti dagli ISP rientrano nell'ambito dei servizi Gestiti che coprono tipicamente le esigenze di Connettività e Sicurezza nel loro complesso. In particolare alcuni elementi che spingono in questa direzione, per fronteggiare efficacemente e con elevati livelli d'efficienza gli attacchi di tipo DDoS, sono:
Il livello elevato delle competenze richieste sulle tematiche di sicurezza che, generalmente, è oneroso da raggiungere e mantenere per lo staff tecnico del Clienti.
La garanzia di una copertura "always-on" da parte dell'ISP in caso di attacchi di grande portata che si basa sulla presenza di Security Operation Center locali, adeguatamente staffati e con chiari processi di gestione dell'attacco e SLA.
La compliance con la normativa.
La possibilità di gestire la protezione DDoS con una struttura di costi variabili (OPEX) senza dover affrontare onerosi investimenti in tecnologia.
Un primo elemento generale che caratterizza i servizi antiDDoS offerti da ISP è costituito dall'adozione, da parte degli ISP stessi, di Best Common Practice che proteggono l'infrastruttura ed i clienti nel loro complesso e agevolano la creazione di servizi di protezione DDoS specifici per ogni singolo Cliente.
Di seguito se ne riportano alcune a titolo d'esempio:
  • assenza di servizi NTP o DNS all'interno della rete, che possano essere usati per attacchi verso la rete o verso Partner
  • blocco servizi (i.e. SNMP) che non devono essere aperti verso la Public Internet
  • individuazione ed eventuale blocco di scanning di servizi che potrebbero essere abusati su Server, Switch, Router e CPE
  • implementazione di meccanismi anti-spoofing per non permettere a traffico con IP sorgente "interno" di essere ricevuto dai Peering Point
  • partecipazione alla Global Operational Security community e condivisione della threat intelligence sugli attacchi osservati
  • sviluppo e aggiornamento con test ricorrenti di un processo per la gestione di attacchi DDoS
  • implementazione di Flow Telemetry per la "Detection" degli attacchi e di politiche "grezze" di protezione come S/RTBH (Black Holing) & Flowspec a protezione dell'infrastruttura
  • implementazione di Intelligent DDoS Mitigation Systems
Gli elementi descritti di seguito costituiscono invece il cuore della protezione che un ISP può fornire per automatizzare e gestire efficacemente le attività di Detection e Mitigation di un attacco DDoS.

DETECTION

Fornisce il contesto e gli analytics necessari per comprendere se si è di fronte ad un attacco. Viene implementata tramite una piattaforma che raccoglie le informazioni dalla rete, normalmente dai Peering Point (per gestire attacchi ricevuti da Big Internet) e potenzialmente anche dai Router Edge (per gestire attacchi da Cliente a Cliente, da Cliente verso servizi Interni, da Cliente verso Big Internet). La piattaforma è off-line rispetto al traffico, normalmente ridondata e installata in DC distinti, in modo da coprire un'analisi Distribuita del traffico che interessa la rete. Questo aspetto è fondamentale nel differenziare il servizio fornito da un ISP da uno "on-premise o Cloud based", che non consentono la visibilità completa dei domini ISP e network. Inoltre, essendo off-line, la piattaforma può scalare in modo appropriato in modo da gestire l'intera rete ISP. I dati fondamentali raccolti per l'analisi del traffico sono i seguenti:
  • Raccolta SNMP delle informazioni del Router e delle statistiche delle interfacce
  • Raccolta Netflow per l'evidenza dei flussi di traffico fino al L4 (Source/Destination Port/IP Address, Protocol, Interfacce IN/OUT, bps, etc.). La raccolta avviene su campioni di traffico esportati in Netflow, e non sulla totalità del traffico
  • Sessioni BGP per incrociare le informazioni di Routing con quelle di Flow I dati raccolti permettono di avere visibilità del traffico che attraversa la rete, anche in peace time, per ottimizzare il Path di attraversamento verso il Cliente.
Per individuare attacchi DDoS, si raccolgono le informazioni in modo specifico per ogni Servizio e Cliente, in modo da "profilarne" il traffico:
  • per singolo indirizzo IP sotto monitoring, controllando i servizi associati e confrontandoli con soglie di allarme
  • a livello Network, per ciascun Servizio o Cliente, monitorando il traffico totale e su base Protocollo, confrontandolo con delle soglie definite in modo automatico.
La funzionalità di Detection è Always On: quindi, la profilatura del traffico avviene in modo costante per tutti i servizi e Clienti sotto monitoring
La piattaforma segnala all'Operatore la possibile presenza di un attacco, e su questa base sono possibili varie Azioni, tra cui l'opzione più completa è costituita dal coinvolgimento di una piattaforma di Scrubbing per la gestione dell'attacco (Mitigation).
 

SCRUBBING CENTER

Si tratta di piattaforme dedicate alla gestione dell'attacco. Dal momento che la maggior parte degli attacchi arrivano dalla Big Internet, gli Scrubbing Center devono essere quanto più vicini ai Router di Accesso Internet (per evitare il trasporto del traffico di attacco, potenzialmente x10Gbps, attraverso la rete); per scalabilità e ridondanza, si implementano solitamente due o più Scrubbing Centers che raccolgono il traffico dai Router Gateway che colloquiano con la Global Internet. Le piattaforme sono Out of band per massimizzarne scalabilità infatti sono utilizzate solo on-demand, in caso di attacco.

MITIGATION

In reazione ad un attacco, l'operatore del Security Operation Center (o la piattaforma di Detection in modo automatico, a seconda delle scelte) può cambiare il routing del traffico sotto attacco e inviarlo verso uno Scrubbing Center, dove un Intelligent DDoS Mitigation System (IDMS) analizza ondemand (es. in caso di attacco e richiesta dell'Operatore) il traffico in modo da scartare la parte di attacco e inoltrare il solo traffico legittimo al Cliente.
Figura 6
  • L'operatore, in caso di attacco, richiede ai Router Gateway di cambiare il Routing per l'indirizzo /32 (normalmente) sotto attacco, tramite un annuncio BGP che cambia il Next-hop associato e lo punta verso la piattaforma di Scrubbing.
  • Il traffico dell'IP sotto attacco dunque viene gestito dallo Scrubbing Center, con contromisure multiple dedicate al Cliente e al servizio in essere.
  • Le contromisure sono implementate in fase di Design dello specifico servizio sotto protezione; in fase di attacco, la piattaforma di Detection può "accendere" le contromisure adeguate all'attacco osservato (i.e. una UDP Reflection/Amplification) in modo automatico. L'Operatore può cambiare in corso d'opera le contromisure associate, in base all'evoluzione dell'attacco.
  • Le contromisure sono completate dall'utilizzo di Regole (i.e. Regular Expression) che sono scaricate automaticamente sull'IDMS da Server che forniscono una Global Intelligence sulle Threat in corso e che quindi completano le contromisure con l'informazione allineata alle Osservazioni globali sui vettori di attacco in corso.
  • La piattaforma di Scrubbing seleziona dunque il traffico legittimo del Cliente e lo inoltra alla rete in modo da consegnarlo tramite router dedicati, VPN dedicate o GRE Tunnel.
Nel caso di servizio con integrazione della protezione a livello Applicativo la piattaforma presso la sede Cliente (On premise) effettua essenzialmente le attività di Detection dell'attacco e, interagendo con quella centralizzata attraverso un'adeguata procedura di segnalazione, "guida" il processo di "ripulitura" del traffico malevolo.
La Figura 7 illustra la gestione di un attacco DDoS tramite un approccio integrato tra piattaforma On-premise e rete dell'ISP. In questo caso la richiesta di mitigazione dell'attacco DDoS viene stimolata dopo che la piattaforma Onpremise registra un attacco che sta esaurendo la capacità dell'Uplink e la piattaforma di Scrubbing dell'ISP prende conseguentemente in carico la gestione dell'attacco.
Figura 7
7

SCEGLIERE LA MIGLIORE PROTEZIONE

L'insieme degli elementi che concorrono a definire il livello di rischiosità quali la probabilità di essere attaccati, la dimensione di un attacco, la relativa durata ecc.
Le conseguenze dirette o indirette sull'operatività e sul business derivanti da un attacco DDoS.
La scelta della modalità di protezione più adeguata è determinata essenzialmente da due fattori che devono essere considerati.

In particolare RISCHIO e IMPATTO per un attacco DDoS possono essere valutati sulla base dei seguenti elementi:
  • analisi dei costi diretti e delle ricadute in termini di compliance e di operatività sullo staff
  • necessità di protezione da attacchi Applicativi chiedendosi ad esempio quali servizi sono esposti, qual è la statistica degli attacchi registrati, quale l'esperienza su eventuali problemi sofferti da apparati stateful come Firewall o IPS ecc.
L'interlocutore privilegiato nella valutazione dell'offerta di un servizio di protezione DDoS è normalmente l'ISP che fornisce la connettività. Ogni ISP infatti implementa nativamente una piattaforma a protezione della propria infrastruttura e può eventualmente fornire, qualora disponga di un'organizzazione dedicata (es SOC) e di processi realizzati espressamente per i Clienti, un servizio specifico anti-DDoS in modo da fornire al Cliente una protezione dedicata. Infatti, un attacco potenzialmente bloccante per il Cliente potrebbe non essere evidenziato dalla sola protezione infrastrutturale dell'ISP (es. senza adeguata configurazione, non si generano allarmi nel caso di saturazione della banda sugli Uplink del sito Cliente). In questo caso è necessario dunque un design specifico perché l'ISP abbia una completa visibilità del traffico Cliente, possa profilarlo in modo adeguato, e possa, in caso di attacco, definire una detection specifica relativa ai servizi offerti dal Cliente implementare una mitigation adeguata in termini di automazione e tempi di risposta.
  • Risorse di Scrubbing Locali: da valutare se adeguate rispetto alla media di attacchi registrati
  • Presenza di un SOC dedicato: è preferibile che operi in lingua Italiana e abbia un chiaro modello operativo basato su processi predefiniti nel caso di attacco ed eventuale escalation
  • Fornitura di una reportistica per consentire una visibilità completa delle azioni messe in campo per gestire l'attacco
  • Comprensione dei meccanismi che utilizza l'ISP per gestire le fasi di detection e mitigation, per inoltrare il traffico legittimo verso l'utente; valutazione di quanto questi meccanismi siano specifici al servizio protetto e di quanto si basino su una global intelligence condivisa con gli altri operatori
  • Valutazione degli SLA offerti
  • Costo operativo della protezione: necessità di cambio di regole di Routing, supporto ed interazione con il SOC; automazione dell'intervento della protezione
Nel caso poi sia ritenuta necessaria una protezione a livello applicativo, le funzionalità che devono essere rese disponibili da un servizio integrato di protezione anti-DDoS sono le seguenti:
  • automazione nell'ingaggio delle contromisure adeguate in caso di attacco e dell'integrazione con segnalazione verso lo Scrubbing Center dell'ISP
  • Possibilità di integrazione tra soluzione on-premise e Scrubbing Center dell'ISP
  • Reportistica disponibile ad evidenziare ed analizzare il traffico in entrata e uscita dalla rete, oltre alla gestione degli attacchi
8.1

APPROFONDIMENTO: LE TECNICHE PER ATTACCHI DDoS

Di seguito, sono illustrate sommariamente le principali tecniche utilizzate per generare attacchi DDoS Volumetrici:
Flooding attacks
Comunemente saturano le risorse sotto attacco in modo da renderle indisponibili agli utenti legittimi.
I protocolli usati più di frequente sono ICMP, TCP, UDP. Le sorgenti dell'attacco possono utilizzare sia indirizzi nativi che spoofed.
  • L'utilizzo di vettori basati su UDP deriva dalla possibilità di utilizzare IP spoofed, in quanto il protocollo è stateless e quindi non richiede che si stabilisca una sessione, prima dell'invio del traffico. Questo permette di utilizzare una sorgente IP "fake" e inondare un Server con richieste fittizie. Le richieste possono variare in packet size: pacchetti più piccoli sono utilizzati per creare attacchi con rate elevato di packet per second (che possono causare problemi di forwarding su Router/Switch/Firewall). Pacchetti più grandi causano invece l'esaurimento della capacità dell'infrastruttura (i link di connessione).
  • L'utilizzo di vettori basati su TCP tende invece a saturare le risorse non solo della rete, a causa dell'elevato traffico stimolato, ma anche delle risorse del Server sotto attacco, che deve stabilire e poi mantenere uno stato per ogni sessione.
Amplification attacks
Sfruttano implementazioni di protocolli di rete per cui una Query verso un particolare servizio genera una risposta dal Server relativamente più grande in termini di dimensioni (byte del pacchetto). Questo permette di moltiplicare la dimensione del traffico stimolato verso la vittima, normalmente utilizzando in parallelo la Reflection di cui al punto successivo.
Esempi di vettori di questo tipo sono attacchi DNS, NTP e SSDP.
Reflection attacks
L'attaccante usa l'indirizzo IP spoofed della vittima come sorgente, facendo richiesta a proxies o resolvers aperti su Internet in modo che questi usino l'IP address della vittima come destinazione della risposta. Se usato insieme al vettore di Amplification, ovviamente la risposta (o le risposte stimolate) sarà maggiore della Query in termini di dimensioni del pacchetto generato.
Tecniche comuni sono quelle basate su DNS Reflection, NTP Reflection/Amplification.
Le figure seguenti spiegano lo sviluppo di un attacco Reflection/Amplification su base NTP: dalla richiesta, si generano molte risposte verso l'indirizzo target dell'attacco.
Tra le tecniche più utilizzate per generare attacchi DDoS Applicativi si possono elencare le seguenti:

Attacchi su base Protocollo
Sfruttano le vulnerabilità del protocollo in modo da saturare la capacità di stato di sessioni degli apparati stateful, in particolare Firewall, Load Balancers, IPS; alcuni esempi sono SYN Flood, RST/FIN Flood.

Attacchi su base Connessione
Si apre un numero elevato di connessioni verso il servizio, senza poi far seguire traffico se non al minimo indispensabile per mantenere la sessione aperta; sono possibili anche richieste incomplete; in entrambi i casi, le connessioni disponibili al servizio sono esaurite sul Server, come anche potrebbero esserci impatti sugli apparati stateful come Firewall/ IPS/Load Balancers.

Attacchi Applicativi
Generati verso particolari applicazioni come http, SSL, DNS, con target una vulnerabilità del livello applicativo. Possono essere basati su Flood di messaggi applicativi o su richieste low and slow. L'effetto a livello rete non è che limitato in quanto i rate di traffico sono ridotti; il servizio risulta però non disponibile. Alcuni esempi sono attacchi di tipo URL flood, RUDY, Slowloris, DNS Dictionary.

ESEMPIO ATTACCO DDoS APPLICATIVO

Per esempio, nel caso di attacco basato su TCP SYN, il Server deve rispondere con un messaggio TCP adeguato SYN-ACK alla richiesta di instaurazione di sessione. Se il successivo messaggio (i.e. ACK) da parte del Cliente non viene ricevuto (in quanto il Cliente "fake" non lo genera), la sessione non passa allo stato Established, ma rimane in uno stato "appeso" o half open; se questo processo viene ripetuto per un grande numero di sessioni (fino a saturare la capacità del Server), col tempo le successive richieste legittime di instaurazione di sessione con lo stesso Server sono inibite (si veda a complemento una spiegazione pubblica al link https://www.cisco.com /c/en/us/about/pressinternetprotocol- journal/back- issues/table- contents- 34/syn- flooding- attacks.html ).

8.2

GLOSSARIO

/32 IP address: l'indirizzo specifico assegnato ad un Host/servizio. La protezione sul singolo /32 significa che solo il traffico verso questo specifico servizio è inoltrato verso IDMS e di conseguenza solo tale traffico è soggetto ad analisi ed applicazione di contromisure.

/24 IP address: la subnet che comprende fino a 256 specifici Host/Servizi. La protezione della intera /24 Subnet comporta che tutto il traffico della subnet è inoltrato verso la piattaforma di Scrubbing (i.e. Cloud); quindi sia il traffico sotto attacco (normalmente un /32 IP address) sia il traffico non interessato da attacco. Questo comportamento è necessario in piattaforme Cloud basate su Redirection BGP, poiché gli annunci BGP minimi sono basati su subnet /24, per mantenere le tabelle di Routing gestibili come dimensione.

L4: analisi/Detection sulla base di campi del pacchetto quali IP address e Porta Sorgente/Destinazione, oltre a Protocollo (dati estratti da analisi dei Flussi Netflow). La Detection di attacchi Volumetrici da parte di ISP è L4; la Mitigation (traffico in attraversamento su IDMS) è invece L7.

L7: analisi/Detection/Mitigation sulla base oltre che sui campi L4, sul payload del pacchetto (i.e. DNS Query, URL http). La Detection di attacchi Applicativi su piattaforma on- premise è L7; la Mitigation è anch'essa L7.

ASN: L'Autonomous System registrato ed univoco globalmente in Internet, abilita lo scambio di informazioni di Routing verso altri ASN via BGP.

IDMS:: Intelligent DDoS Mitigation System.
Fastweb
Con 2,6 milioni di clienti su rete fissa e 1,6 milioni su rete mobile, Fastweb è uno dei principali operatori di telecomunicazioni in Italia. L'azienda offre una vasta gamma di servizi voce e dati, fissi e mobili, a famiglie e imprese. Dalla sua creazione nel 1999, l'azienda ha puntato sull'innovazione e sulle infrastrutture di rete per garantire la massima qualità nella fornitura di servizi a banda ultralarga. Fastweb ha sviluppato una infrastruttura di rete nazionale in fibra ottica di 50.500 chilometri, con oltre 4 milioni di chilometri di fibra. Grazie all'espansione e al continuo potenziamento della rete ultra broadband, Fastweb raggiunge oggi 22 milioni di abitazioni, di cui 8 con rete proprietaria, con velocità di collegamento fino a 1 Gigabit. La società offre inoltre ai propri clienti un servizio mobile di ultima generazione basato su tecnologia 4G e 4G Plus. Entro il 2020 il servizio mobile verrà potenziato, a partire dalle grandi città, grazie alla realizzazione di una infrastruttura di nuova generazione 5G con tecnologia small cells. Fastweb fornisce servizi di telecomunicazioni ad aziende di tutte le dimensioni, dalle start-up alle piccole e medie imprese, dalle società di grandi dimensioni fino al settore pubblico, alle quali offre connettività e servizi ICT avanzati, come l'housing, il cloud computing, la sicurezza e la comunicazione unificata. La società fa parte del gruppo Swisscom dal settembre 2007.
Relativamente ai servizi Data Center e Cloud, Fastweb ha costruito un'infrastruttura dedicata ai clienti Enterprise, basata su un Data Center di ultima generazione certificato Tier IV da Uptime Institute. Realizzato secondo gli standard più esigenti in termini di sicurezza e affidabilità esso è in grado di ospitare anche applicazioni e servizi "mission critical" tra i quali vi sono quelli erogati dall'infrastruttura Cloud di Fastweb dedicata alle imprese.

Tale infrastruttura è infatti concepita per garantire continuità e performance alle applicazioni di business. In particolare la piattaforma cloud IaaS (Infrastructure as a service) di Fastweb garantisce la totale segregazione logica e applicattiva degli ambienti dedicati ai singoli Clienti in modo da ottenerne il completo isolamento.

Grazie ai motori di Orchestration e Automation sviluppati internamente su piattaforma "aperta" Open stack, i sistemi cloud di Fastweb sono in grado di allocare risorse in maniera scalabile e in tempo reale in funzione del carico e dell'uso applicativo del singolo cliente secondo il modello Software Defined Data Center (le componenti di computing, network, storage e security sono virtualizzate e orchestrate da un'unica piattaforma).

Tutta l'infrastruttura cloud è gestita da team specializzati in centri di competenza e nuclei operativi di gestione dedicati rispettivamente a Data Center, infrastruttura IT e Security, in grado di supportare i Clienti dalla fase di progetto a quella di attivazione ed esercizio.
Per quanto riguarda in particolare i servizi dedicati alla sicurezza, Fastweb rende disponibili alle aziende una serie di servizi e soluzioni di IT Security attraverso il modello di Managed Security Service Provider.
Approfondisci navigando le nostre sezioni dedicate:

Tale modello prevede infatti che ciascuna azienda mantenga la totale autonomia nella definizione della Governance dell'IT Security in termini di livelli di rischio e conseguenti priorità di protezione di sistemi e informazioni e demandi invece la gestione operativa dell'IT Security ad un operatore esterno dotato di processi, competenze specifiche e piattaforme tecnologiche adeguate.

Fastweb, oltre a mettere a disposizione un centro di competenza dedicato alla progettazione di soluzioni di IT Security, si è dotata anche di un Security Operation Center (SOC Enterprise) dedicato esclusivamente alla gestione dei servizi di sicurezza per le Aziende. Il SOC Enterprise di Fastweb opera in Italia con personale italiano erogando un servizio con copertura H24 7gg/ settimana; è dotato di processi conformi alle normative con le certificazioni "ISO 9001 - Quality Management" e "ISO 27001 - information Security Management", gestisce piattaforme di sicurezza multi-tecnologia sia presso le sedi dei Clienti che centralizzate nell'infrastruttura Cloud di Fastweb, anch'essa con le medesime certificazioni oltre alla conformità alla norma "ISO 27018 - Privacy on Public Cloud". Con il proprio SOC Enterprise Fastweb gestisce direttamente migliaia di apparati e piattaforme di sicurezza operative presso le Aziende Cliente.

I nostri esperti sono al tuo servizio

Vuoi ricevere maggiori informazioni su come integrare il tuo business con i prodotti e le soluzioni Fastweb?

Inserire una email valida


Inserire una partita iva valida


tutti i campi obbligatori

Grazie per averci contattato!


Abbiamo ricevuto i tuoi dati e il nostro team di esperti ti ricontatterà per darti maggiori informazioni e supporto su come integrare il tuo Business con le soluzioni di Connettività, Sicurezza, Cloud e Digital Transformation.

Costruiremo insieme l’azienda del futuro.

Attenzione,


Attenzione,


si è verificato un errore momentaneo.
Ci scusiamo per il disagio e ti invitiamo a riprovare più tardi