Arbor Networks Inc., la divisione sicurezza di NETSCOUT, ha pubblicato oggi il suo dodicesimo Worldwide Infrastructure Security Report (WISR). Il documento raccoglie le osservazioni degli esperti di reti e sicurezza che operano presso le maggiori organizzazioni aziendali e i principali provider di servizi di telecomunicazione, cloud e hosting a livello mondiale. Le tematiche affrontate sono molteplici: dall’identificazione delle minacce alla risposta agli incidenti informatici, passando per la definizione di servizi, personale e budget dedicati a tali attività. Il report illustra in particolare le problematiche operative associate alle minacce informatiche che gli operatori di rete affrontano quotidianamente e le strategie adottate per gestirle e mitigarle.
Il Report 2016 evidenzia come la posta in gioco sia cambiata per i team addetti alla sicurezza di rete. Lo scenario delle minacce informatiche è stato infatti trasformato dall’introduzione delle botnet IoT. La proliferazione dei dispositivi IoT su tutte le reti apporta indubbiamente grandi vantaggi per aziende e consumatori, ma offre anche una nuova arma ai criminali informatici che riescono a sfruttare le debolezze intrinseche di questi dispositivi sul fronte della sicurezza. Il rapporto di quest’anno illustra nel dettaglio il meccanismo d’azione delle botnet IoT, come ad esempio Mirai, e le modalità con cui gli aggressori informatici riescono a sfruttare e reclutare i dispositivi IoT. Fornisce inoltre consigli pratici sulle misure di difesa da adottare.
Il maggiore attacco DDoS (Distributed Denial of Service) registrato quest’anno ha raggiunto gli 800 Gbps, con un aumento del 60% rispetto all’attacco più grande del 2015 che fu pari a 500 Gbps. Oltre alle dimensioni, sono aumentate anche la frequenza e la complessità degli attacchi DDoS. La maggiore gamma e l’elevata complessità degli attacchi hanno spinto un crescente numero di aziende a dotarsi di soluzioni specifiche di protezione DDoS, implementare sistemi di difesa ibridi basati sulle best practice e dedicare più tempo alle simulazioni di risposta agli incidenti informatici.
“I professionisti che abbiamo intervistato nell’ambito della nostra indagine sono ormai abituati a convivere con uno scenario di minacce in costante evoluzione, la cui entità e complessità ha continuato a crescere progressivamente nel corso dell’ultimo decennio,” spiega Darren Anstee, Chief Security Technologist di Arbor Networks. “Ciononostante, le botnet IoT sono riuscite a rivoluzionare il settore grazie all’ingente numero di dispositivi coinvolti. I dispositivi IoT installati nel mondo sono miliardi e ognuno di essi può essere facilmente sfruttato per lanciare attacchi imponenti. L’accresciuta attenzione verso le minacce informatiche si riflette nei risultati della nostra indagine, che evidenzia miglioramenti significativi a livello di adozione di tecnologie difensive e processi di risposta.”
Principali dati emersi dall’indagine
L’innovazione e lo sfruttamento dei dispositivi IoT alimentano lo scenario degli attacchi DDoS: la comparsa di botnet capaci di sfruttare le debolezze intrinseche dei dispositivi IoT e la divulgazione del codice sorgente della botnet Mirai hanno accresciuto l’abilità degli aggressori informatici, aiutandoli a lanciare attacchi di grandissima portata.
Gamma: la massiccia espansione delle dimensioni degli attacchi è stata favorita da una maggiore attività mirata a tutti i protocolli di reflection-amplification, oltre che dallo sfruttamento dei dispositivi IoT quali strumenti di attacco e dall’introduzione delle botnet IoT.
- Da quando Arbor ha iniziato a pubblicare il report WISR nel 2005, la dimensione degli attacchi DDoS è cresciuta del 7900%, con un tasso annuo di crescita composto (CAGR) del 44%.
- Nei soli ultimi cinque anni, si è verificato un incremento del 1233%, con un CAGR del 68%.
Frequenza: come riferito dagli intervistati, le probabilità di subire un attacco DDoS sono più alte che mai.
- Il 53% dei service provider indica infatti di ricevere oltre 21 attacchi al mese, con un aumento del 44% rispetto all’anno scorso.
- Il 21% degli operatori di data center intervistati afferma di aver riscontrato oltre 50 attacchi al mese, cifra che lo scorso anno era stata segnalata dal solo 8% degli intervistati in questo settore.
- Il 45% degli intervistati che operano in ambito istituzionale (organizzazioni aziendali, enti governativi e istituti scolastici) riferisce oltre 10 attacchi al mese, con un aumento del 17% rispetto all’anno precedente.
Complessità: sta prendendo progressivamente piede l’impiego di molteplici vettori di attacco simultanei, mirati a colpire contemporaneamente diversi aspetti dell’infrastruttura della vittima. Estremamente efficaci e difficili da respingere, gli attacchi multivettore sono molto diffusi e richiedono un sistema di difesa agile imperniato su più strati.
- Il 67% dei service provider e il 40% degli intervistati che operano in ambito istituzionale riferiscono di aver assistito ad attacchi multivettore sulle proprie reti.
Le conseguenze degli attacchi DDoS diventano sempre più chiare: gli attacchi DDoS sono riusciti a bloccare l’accesso a molte importanti funzionalità del Web, provocando costi pari a migliaia o talvolta milioni di dollari e spingendo le dirigenze e i consigli di amministrazione delle aziende ad attribuire la massima priorità alla difesa contro gli attacchi DDoS.
- Il 61% degli operatori di data center dichiara di aver subito attacchi che sono riusciti a saturare completamente la banda.
- Il 25% dei data center e dei cloud provider ha dovuto sostenere costi superiori a 100.000 dollari a seguito di un grande attacco DDoS e il 5% cita costi superiori al milione di dollari.
- Il 41% delle organizzazioni istituzionali riferisce di aver subito attacchi DDoS in grado di eccedere la capacità di rete totale. Quasi il 60% degli intervistati di questo settore stima costi superiori a 500 dollari per ogni minuto di inattività.
La maggiore consapevolezza del rischio favorisce l’adozione di migliori strategie: dai risultati dell’indagine di quest’anno emergono una migliore comprensione del danno di immagine e delle spese operative conseguenti agli attacchi DDoS e una maggiore consapevolezza della necessità di adottare efficaci strategie difensive. A livello complessivo, in tutti i settori abbiamo assistito a un incremento dell’uso di soluzioni specifiche di protezione DDoS e metodi di difesa basati sulle best practice.
- Il 77% dei service provider intervistati è in grado di mitigare gli attacchi in meno di 20 minuti.
- Quasi il 50% degli intervistati che operano in ambito istituzionale ora esegue le simulazioni di difesa DDoS, nel 30% dei casi con frequenza almeno trimestrale.
- La percentuale di data center e cloud provider intervistati che utilizza i firewall a scopo difensivo contro gli attacchi DDoS è scesa dal 71 al 40%.
Ambito e caratteristiche demografiche dell’indagine
- I dati dell’indagine WISR si basano su 356 risposte ottenute da service provider di tier 1, 2 e 3, operatori di hosting, comunicazioni mobili e reti aziendali e altri tipi di operatori di rete di diversi paesi.
- Due terzi di tutti gli intervistati sono professionisti della sicurezza, della rete o delle operazioni.
- I dati si riferiscono al periodo compreso tra novembre 2015 e ottobre 2016.