Embed Size (px)
Citation preview
KASPERSKY DDoS PROTECTIONProtezione dell'azienda dalle perdite finanziarie e di reputazione con Kaspersky DDoS Protection
Protezione dell'azienda dalle perdite finanziarie e di reputazione con Kaspersky DDoS Protection2
Un attacco DDoS (Distributed Denial of Service) è una delle armi più diffuse nell'arsenale dei cybercriminali. Il suo obiettivo è rendere impossibile l'accesso ai sistemi informativi, come siti Web e database, da parte dei normali utenti. Dietro il lancio degli attacchi DDoS possono esserci motivi vari, che vanno dal teppismo informatico a pratiche di concorrenza sleale o persino di estorsione.
Il moderno settore DDoS è costituito da una struttura multilivello, che comprende coloro che commissionano gli attacchi, i creatori di botnet che mettono a disposizione le proprie risorse, gli intermediari che organizzano gli attacchi e discutono con i clienti e le persone che predispongono i pagamenti di tutti i servizi forniti. Qualsiasi nodo di una rete disponibile in Internet può diventare un bersaglio, sia esso un server specifico, un dispositivo di rete o un indirizzo in disuso nella sottorete della vittima.
Esistono due scenari comuni per la conduzione degli attacchi DDoS: l'invio di richieste direttamente alla risorsa attaccata da un elevato numero di bot o il lancio di un attacco DDoS ad amplificazione tramite server pubblicamente disponibili contenenti vulnerabilità del software. Nel primo scenario, i cybercriminali trasformano una moltitudine di computer in "zombie" controllati da remoto, a cui segue il comando del master e l'invio simultaneo di richieste al sistema di elaborazione mirato ("attacco distribuito"). Talvolta, gli hacktivist reclutano un gruppo di utenti, lo dotano di software speciale progettato per condurre gli attacchi DDoS e gli impartiscono l'ordine di attaccare un bersaglio.
Nel secondo scenario, relativo a un attacco ad amplificazione, invece dei bot possono essere utilizzati server noleggiati presso un data center. Per il potenziamento sono solitamente impiegati server pubblici con software vulnerabile. Attualmente possono essere utilizzati server DNS (Domain Name System) o NTP (Network Time Protocol). L'attacco viene amplificato tramite lo spoofing degli indirizzi IP di ritorno e l'invio a un server di una breve richiesta che necessita di una risposta molto più lunga. La risposta ricevuta viene inviata all'indirizzo IP falsificato che appartiene alla vittima.
Scenari degli attacchi DDoSAutori degli
attacchiServer noleggiati
presso un data centerServer di
ampli�cazione
Botnet
Vittima
Server C&C
Figura 1. Diagramma di flusso delle versioni più diffuse di attacchi DDoS
Un altro fattore rende la situazione ancora più pericolosa. Data la grande diffusione di malware e l'elevato numero di botnet create dai cybercriminali, quasi chiunque è in grado di lanciare questo tipo di attacco. I cybercriminali pubblicizzano i propri servizi affermando che tutti possono annientare un sito specifico a soli 50 dollari al giorno. I pagamenti vengono solitamente effettuati in crittovaluta, per cui è quasi impossibile risalire agli ordini tramite i flussi di cassa.
Protezione dell'azienda dalle perdite finanziarie e di reputazione con Kaspersky DDoS Protection3
Dati i prezzi accessibili, qualsiasi risorsa online può diventare un bersaglio in un attacco DDoS. Il problema non è limitato alle risorse Internet delle organizzazioni grandi e famose. È più difficile causare danni alle risorse Web di proprietà delle grandi aziende, ma se tali risorse vengono rese indisponibili il costo associato al tempo di inattività sarà molto più elevato. A parte le perdite dirette derivanti dalle opportunità di business perse (ad esempio le vendite di e-commerce), le aziende possono incorrere in sanzioni per essere venute meno ai propri obblighi e in spese correlate alle misure aggiuntive necessarie per proteggersi da un ulteriore attacco. Infine, ma non meno importante, potrebbe subire danni anche la reputazione dell'azienda, causando la perdita di clienti esistenti o futuri.
Il costo totale dipende dalla dimensione dell'attività, dal segmento industriale in cui opera e dal tipo di servizio sotto attacco. In base ai calcoli della società di analisi IDC, un'ora di inattività di un servizio online può costare a un'azienda da 10.000 a 50.000 dollari.
Metodi di contrasto degli attacchi DDoSEsistono sul mercato decine di aziende che forniscono servizi di protezione dagli attacchi DDoS. Alcune installano appliance nell'infrastruttura informativa del cliente, alcune utilizzano funzionalità all'interno dei provider ISP e altre ancora canalizzano il traffico attraverso centri di pulizia dedicati. Tuttavia, tutti questi approcci seguono lo stesso principio: l'eliminazione del traffico indesiderato, ovvero il filtraggio del traffico creato dai cybercriminali.
L'installazione di apparecchiature di filtraggio sul lato del cliente è ritenuta il metodo meno efficace. Innanzitutto, richiede la presenza all'interno dell'azienda di personale appositamente formato per provvedere al controllo di tali apparecchiature e regolarne il funzionamento, determinando di conseguenza ulteriori costi. In secondo luogo, è efficace solo contro attacchi rivolti al servizio e non impedisce gli attacchi che intasano il canale Internet. Un servizio in funzione non è di alcuna utilità se non è possibile accedervi dalla rete. Man mano che aumenta la diffusione degli attacchi DDoS ad amplificazione, è diventato molto più facile sovraccaricare un canale di connessione.
Il filtraggio del traffico da parte del provider è un metodo più affidabile, in quanto esiste un canale Internet più ampio ed è molto più difficile ingorgarlo. Dall'altra parte, i provider non sono specializzati nei servizi di sicurezza e filtrano solo il traffico indesiderato più ovvio, trascurando gli attacchi più astuti. L'attenta analisi di un attacco e una risposta tempestiva richiedono competenza ed esperienza appropriate. Inoltre, questo tipo di protezione rende il cliente dipendente da un provider specifico e crea difficoltà nel caso in cui il cliente abbia esigenza di utilizzare un canale di dati di backup o di cambiare provider.
Di conseguenza, i centri di elaborazione specializzati che implementano una combinazione di vari metodi di filtraggio del traffico sono da considerare il modo più efficace per neutralizzare gli attacchi DDoS.
Kaspersky DDoS ProtectionKaspersky DDoS Protection è una soluzione che protegge da tutti i tipi di attacchi DDoS utilizzando un'infrastruttura distribuita di centri di pulizia dei dati. La soluzione combina metodi diversi, tra cui filtraggio del traffico sul lato del provider, installazione di un'appliance controllata da remoto per analizzare il traffico e posta accanto all'infrastruttura del cliente e l'utilizzo di centri di pulizia specializzati con filtri flessibili. Il funzionamento della soluzione è inoltre costantemente monitorato dagli esperti di Kaspersky Lab, per cui l'inizio di un attacco può essere rilevato al più presto possibile e i filtri possono essere modificati come necessario.
Protezione dell'azienda dalle perdite finanziarie e di reputazione con Kaspersky DDoS Protection4
Kaspersky DDoS Protection in modalità attiva
Centro di prevenzione DDoS KasperskyProvider di servizi Internet
Kaspersky DDoS Protection in modalità attivaInternet
Router edge del cliente
Connessione disattivata dal cliente
Listener del tra�co del cliente
Infrastruttura IT del cliente
Sensore
Dati statisticiRegole di �ltraggio
Esperto
Figura 2. Kaspersky DDoS Protection: diagramma di funzionamento
L'arsenale di Kaspersky LabDa più di un decennio Kaspersky Lab rileva con successo una vasta gamma di minacce online. Durante questo periodo, gli analisti di Kaspersky Lab hanno acquisito un livello unico di competenze, inclusa una conoscenza dettagliata del modo in cui operano gli attacchi DDoS. Gli esperti dell'azienda osservano costantemente gli ultimi sviluppi che avvengono in Internet, analizzano i metodi più recenti di conduzione degli attacchi informatici e migliorano i nostri strumenti di protezione esistenti. Grazie a queste competenze, è possibile rilevare un attacco DDoS non appena viene sferrato e prima che inondi la risorsa Web presa di mira.
Il secondo elemento della tecnologia di protezione dagli attacchi DDoS di Kaspersky è rappresentato da un sensore installato accanto all'infrastruttura IT del cliente. Il sensore è un software eseguito nel sistema operativo Ubuntu e che richiede un server x86 standard. Analizza i tipi di protocolli utilizzati, il numero di byte e di pacchetti di dati inviati, il comportamento del cliente sul lato Web, ovvero i metadati o le informazioni sui dati inviati. Non reindirizza il traffico, non lo modifica né analizza il contenuto dei messaggi. Le statistiche vengono quindi inviate all'infrastruttura basata su cloud di Kaspersky DDoS Protection, dove per ogni cliente viene creato un profilo derivato da tali statistiche sulla base dei metadati raccolti. Questi profili sono di fatto registrazioni dei modelli tipici di scambio delle informazioni relativi a ogni cliente. Vengono registrati i cambiamenti dei tempi tipici di utilizzo e successivamente il traffico viene analizzato: ogni volta che il comportamento del traffico è diverso dal profilo basato sulle statistiche, è possibile che sia il segno di un attacco.
Il fulcro di Kaspersky DDoS Protection è costituito dai suoi centri di pulizia. Questi sono situati sulle principali linee dorsali di Internet, in luoghi come Francoforte e Amsterdam. Kaspersky Lab utilizza simultaneamente vari centri di pulizia, per cui può suddividere o reindirizzare il traffico che necessita di pulizia. I centri di elaborazione sono congiunti in un'infrastruttura informativa comune basata su cloud e i dati sono contenuti senza tali confini. Ad esempio, il traffico Web dei clienti europei non esce dal territorio europeo.
Protezione dell'azienda dalle perdite finanziarie e di reputazione con Kaspersky DDoS Protection5
Un altro modo per controllare il traffico DDoS è il filtraggio sul lato del provider. Il provider ISP non fornisce semplicemente un canale Internet, ma può anche stabilire una partnership tecnologica con Kaspersky Lab. In questo modo, Kaspersky DDoS Protection potrà eliminare il traffico indesiderato più ovvio, utilizzato nella maggior parte degli attacchi DDoS, quanto più vicino possibile al punto di origine. Ciò impedisce ai flussi di unirsi in un unico e potente attacco e alleggerisce il carico di lavoro dei centri di pulizia, che saranno liberi per gestire il traffico indesiderato più sofisticato.
Strumenti di reindirizzamento del trafficoAffinché la soluzione di sicurezza operi efficacemente, il primo requisito chiave è configurare un canale di connessione tra i centri di pulizia e l'infrastruttura IT del cliente. In Kaspersky DDoS Protection, questi canali sono organizzati secondo il protocollo Generic Routing Encapsulation. Essi vengono utilizzati per creare un tunnel virtuale tra il centro di pulizia e l'apparecchiatura di rete del cliente, attraverso il quale viene consegnato al cliente il traffico pulito.
Il reindirizzamento del traffico effettivo può essere eseguito mediante due metodi: comunicando la subnet del cliente tramite il protocollo di indirizzamento dinamico BGP o modificando il record DNS mediante l'introduzione dell'URL del centro di pulizia. Il primo metodo è preferibile, poiché consente di reindirizzare il traffico molto più velocemente e proteggere dagli attacchi che puntano direttamente a un indirizzo IP specifico. Questo metodo richiede però che il cliente disponga di un intervallo di indirizzi indipendente dal provider, ad esempio un blocco di indirizzi IP forniti da un registrar Internet regionale.
Per quanto riguarda la procedura di reindirizzamento effettivo, i due metodi presentano scarsa differenza. Se si utilizza il primo metodo, i router BPG sul lato del cliente e presso il centro di pulizia stabiliscono una connessione permanente tramite il tunnel virtuale. In caso di attacco, viene creato una nuova route dal centro di pulizia al cliente. Quando si utilizza il secondo metodo, viene assegnato al cliente un indirizzo IP dal pool di indirizzi del centro di pulizia. Se ha inizio un attacco, il cliente sostituisce l'indirizzo IP nel record A del DNS con l'indirizzo IP assegnato dal centro di pulizia. Dopo di ciò, tutto il traffico che giunge all'indirizzo del cliente verrà inviato prima al centro di pulizia. Tuttavia, per impedire che l'attacco sul vecchio indirizzo IP continui, il provider deve bloccare tutto il traffico in entrata ad eccezione dei dati che provengono dal centro di pulizia.
FunzionamentoIn circostanze normali, tutto il traffico proveniente da Internet va direttamente al cliente. Le azioni di protezione hanno inizio non appena perviene un segnale da parte del sensore. In alcuni casi, gli analisti di Kaspersky Lab riconoscono un attacco non appena inizia e ne informano il cliente. Le misure preventive possono quindi essere adottate in anticipo. L'esperto DDoS in servizio di Kaspersky Lab riceve un segnale che il traffico in arrivo al cliente non corrisponde al profilo statistico. Se l'attacco viene confermato, il cliente ne riceve notifica e deve impartire l'ordine di reindirizzare il traffico ai centri di pulizia (in alcuni casi, il contratto con il cliente può prevedere l'avvio automatico del reindirizzamento).
Non appena le tecnologie di Kaspersky Lab definiscono il tipo dell'attacco, vengono applicate regole di pulizia specifiche per il tipo di attacco e per la determinata risorsa Web. Alcune regole, progettate per affrontare i tipi di attacchi più rudimentali, vengono comunicate all'infrastruttura del provider e applicate ai router di proprietà del provider. Il traffico rimanente viene inviato ai server del centro di pulizia e filtrato in base a un certo numero di segni caratteristici, come indirizzi IP, dati geografici, informazioni delle intestazioni HTTP, correttezza dei protocolli e dello scambio dei pacchetti SYN e così via.
Il sensore continua a monitorare il traffico non appena giunge al cliente. Se mostra ancora segni di un attacco DDoS, il sensore avvisa il centro di pulizia e il traffico viene sottoposto a un'approfondita analisi del comportamento e delle firme. Grazie a questi metodi, è possibile filtrare il traffico dannoso in base alle firme, ad esempio è possibile bloccare un tipo specifico di traffico oppure bloccare gli indirizzi IP in base a criteri specifici osservati. In questo modo vengono filtrati persino gli attacchi più sofisticati, incluso un attacco di tipo HTTP flood. Questi attacchi prevedono simulazioni di un utente che visita un sito Web, ma in realtà sono caotici, veloci in modo innaturale e i genere provengono da una moltitudine di computer zombie.
Gli esperti di Kaspersky Lab monitorano l'intero processo mediante un'interfaccia dedicata. Se un attacco è più complicato del solito o è atipico, l'esperto può intervenire, cambiare le regole di filtraggio e riorganizzare i processi. I clienti possono inoltre osservare il funzionamento della soluzione e il comportamento del traffico tramite la propria interfaccia.
© 2015 Kaspersky Lab. Tutti i diritti riservati. I marchi registrati e i marchi di servizio appartengono ai rispettivi proprietari.
www.kaspersky.com
Marzo 2015/Globale
Figura 3. Schermata dell'interfaccia del cliente
Al termine dell'attacco, il traffico viene indirizzato nuovamente ai server del cliente. Kaspersky DDoS Protection torna alla modalità di standby e il cliente riceve un report dettagliato dell'attacco, contenente la descrizione particolareggiata di come si sia sviluppato, grafici che riportano i parametri misurabili e la distribuzione geografica delle origini dell'attacco.
Vantaggi dell'approccio di Kaspersky Lab • Solo reindirizzando il traffico ai centri di pulizia di Kaspersky Lab durante un attacco e filtrando il traffico sul lato
del provider è possibile ridurre notevolmente i costi del cliente.
• Le regole di filtraggio sono sviluppate singolarmente per ciascun cliente a seconda dei servizi online specifici che occorre proteggere.
• Gli esperti di Kaspersky Lab monitorano il processo e regolano rapidamente le regole di filtraggio quando necessario.
• La stretta collaborazione tra gli esperti di Kaspersky DDoS Protection e gli sviluppatori di Kaspersky Lab consente di adattare la soluzione in modo flessibile e rapido in risposta alle mutevoli circostanze.
• Per garantire il livello di affidabilità più alto possibile, Kaspersky Lab utilizza solo fornitori di apparecchiature e servizi europei nei paesi europei.
• Kaspersky Lab ha accumulato una vasta esperienza applicando questa tecnologia in Russia, dove protegge con successo importanti istituti finanziari, enti commerciali e governativi, negozi online e così via.
