Nel mirino degli attacchi informatici è sempre più il cloud, mentre sono cambiate le motivazioni e le dimensioni degli attacchi, che non sono più portati soprattutto da hacktivismo per fini ideologici né per vandalismo, ma sono sempre più gestiti da organizzazioni criminali per fini estorsivi. Si tratta sempre più di attacchi complessi, rispetto ai quali i firewall sono spesso insufficienti. E’ quanto emerge dall’undicesima edizione dello studio Worldwide Infrastructure Security Report (Wisr) di Arbor Networks, la divisione sicurezza di Netscout. Lo studio propone ogni anno insight provenienti direttamente dalla comunità globale degli specialisti in sicurezza operativa, dal rilevamento delle minacce e dalla reazione agli incidenti fino alle questioni che riguardano il personale, i budget e le relazioni con i partner.
“Uno scenario di minacce in costante evoluzione è ormai un dato di fatto accettato dalle persone che abbiamo interpellato per questo studio – afferma Darren Anstee (nella foto), chief security technologist di Arbor Networks – Il report getta luce sulle problematiche che gli operatori di rete di tutto il mondo stanno affrontando, e sottolinea come la tecnologia sia solo una parte dell’intera questione dal momento che la sicurezza è un elemento umano con avversari capaci attivi su entrambi i fronti. Grazie alle informazioni offerte dagli operatori di rete di tutto il mondo, siamo in grado di offrire insight su persone e processi fornendo un quadro molto più ricco di quanto sta accadendo in prima linea”. Cinque i trend individuati dallo studio.
Cambiano le motivazioni degli attacchi
La principale motivazione di quest’anno non è stata l’hacktivismo né il vandalismo, bensì ‘la dimostrazione delle capacità di attacco da parte dei criminali, un elemento che normalmente risulta associato ai tentativi di cyber-estorsione.
Le dimensioni degli attacchi continuano a crescere
Il più grande attacco registrato è stato pari a 500 Gbps ed è stato seguito da altri attacchi di 450 Gbps, 425 Gbps e 337 Gbps. Negli undici anni di questo studio, le dimensioni massime di attacco sono cresciute di oltre 60 volte.
Aumentano gli attacchi complessi
Il 55% degli intervistati ha registrato attacchi multi-vettore diretti simultaneamente contro infrastrutture, applicazioni e servizi, in aumento rispetto al 42% dello scorso anno. Il 93% ha subìto attacchi DDoS diretti contro il layer applicativo. Il servizio più comunemente colpito dagli attacchi contro il layer applicativo è ora il Dns (anziché l’Http).
Il cloud sotto attacco
Due anni fa, gli attacchi lanciati contro servizi basati su cloud erano stati osservati dal 19% degli interpellati. L’anno scorso la proporzione era salita al 29% e quest’anno ha raggiunto il 33%, con una netta indicazione di tendenza. Il 51% degli operatori di data center ha infatti registrato attacchi DDoS che hanno provocato la saturazione della connettività Internet disponibile. Vi è stato anche un deciso incremento (34% contro il 24% dell’anno precedente) nel numero di data center che hanno visto attacchi in uscita lanciati da server ospitati sulle proprie reti.
Firewall insufficienti durante gli attacchi DDoS
Più di metà delle aziende intervistate ha registrato malfunzionamenti dei firewall in conseguenza di attacchi DDoS, un dato in aumento rispetto al terzo dell’anno precedente. Essendo dispositivi stateful in linea, i firewall estendono la superficie di attacco e rischiano di essere le prime vittime degli attacchi DDoS con l’esaurimento della loro capacità di tenere traccia delle connessioni. E poiché si trovano in linea, possono oltretutto aggiungere tempi di latenza alla rete.
Quanto alle prime cinque tendenze nelle minacce avanzate, dal Worldwide infrastructure security report emergono cinque tendenze principali:
Focus sulle reazioni più efficaci
Il 57% delle aziende intende dotarsi di soluzioni capaci di velocizzare i processi di risposta in caso di incidente. Tra i service provider, invece, un terzo ha ridotto a meno di una settimana i tempi necessari a rilevare un attacco APT (Advanced Persistent Threat) sulla propria rete, e il 52% ha affermato che i propri tempi che intercorrono tra il rilevamento e il contenimento sono inferiori a un mese.
Più pianificazione
Il 2015 ha registrato un incremento nella proporzione di aziende che hanno sviluppato piani formali per la reazione agli incidenti e hanno dedicato almeno qualche risorsa per queste necessità, passando dai due terzi circa dell’anno precedente al 75% di quest’anno.
Attenzione agli insider
La proporzione di aziende che hanno avuto a che fare con malintenzionati al proprio interno è salita al 17% contro il 12% dell’anno precedente. Quasi il 40% di tutte le aziende intervistate non possiede ancora nulla in grado di monitorare i dispositivi BYOD collegati alle proprie reti. La proporzione di chi ha registrato incidenti di sicurezza associati ai dispositivi BYOD è raddoppiata da un anno all’altro passando dal 6% al 13%.
Problemi di personale
Si è verificata una forte riduzione (dal 46% al 38%) nella proporzione di aziende che intendono allargare le proprie risorse interne per meglio affrontare i casi di incidente.
Aumenta la dipendenza dal supporto esterno
La carenza di risorse interne ha condotto a un aumento del ricorso ai servizi gestiti e all’assistenza in outsourcing, con il 50% delle aziende che ha affidato la risposta agli incidenti a fornitori esterni. Questo dato è del 10% superiore rispetto a quanto accade tra i service provider. E proprio tra i service provider, il 74% ha registrato un aumento delle richieste di servizi gestiti da parte dei propri clienti.