Gli argomenti a favore di un servizio di protezione e di mitigazione DDoS gestito sono più che assodati. Stringendo una collaborazione con un provider capace di monitorare le operazioni di sistema vi liberate da un grande peso in ambito IT, incrementate le risorse per lo staff e avete la possibilità di accedere a competenze specifiche sul DDoS. Tuttavia, non tutti i servizi DDoS gestiti sono uguali. Come è possibile distinguere uno di altissimo livello da uno soltanto buono? Netscout Arbor ha voluto illustrare le caratteristiche da ricercare.
- Flessibilità nella gestione dei flussi di lavoro personalizzati: potreste infatti disporre già di alcuni processi e procedure operativi volti alla gestione delle minacce DDoS. Il provider del servizio gestito deve dunque essere in grado di adattarsi e allinearsi alla vostra situazione anziché chiedervi di modificare i processi esistenti. Ad esempio, qual è il vostro protocollo per contatti e comunicazioni? In quali scenari desiderate che il provider del servizio intervenga autonomamente con attività di mitigazione e in quali debba richiedere la vostra autorizzazione? Il provider è in grado di rispondere in modo diverso ai vari tipi di allerta e ai livelli degli eventi? Un provider eccellente investe tempo a capire i vostri processi e vanta la flessibilità necessaria a inserirsi al loro interno. Numerosi vendor, anche di buona qualità, impongono invece le proprie procedure o non se ne fa nulla.
- Reporting e informazioni incentrati sul cliente: un provider DDoS di buona qualità fornisce report con informazioni dettagliate sugli ultimi incidenti e gli interventi attuati in risposta a eventi legati alla sicurezza. Un provider eccezionale, invece, adotta un approccio più proattivo e consultivo, sfruttando le informazioni relative alle minacce globali per suggerirvi come migliorare la vostra sicurezza. I provider di servizi gestiti devono inoltre essere in grado di garantire attività di reporting per gli executive, con le quali sia possibile dimostrare alla dirigenza il ROI e le metriche chiave.
- Dimensioni della rete: gli attacchi DDoS segnano una crescita delle proprie dimensioni tanto da affacciarsi rapidamente al territorio dei terabyte, situazione prevalentemente dovuta alle tecniche di amplificazione e all’emergere di botnet dell’Internet delle cose (IoT). La capacità di assorbire e disperdere gli attacchi noti più grandi è assolutamente irrinunciabile. Altrettanto importante è disporre di un’infrastruttura distribuita su più sedi, grazie alla quale è possibile attuare gli interventi di mitigazione il più vicino possibile alla fonte dell’attacco. In questo modo si accorciano le tempistiche necessarie per conseguire la mitigazione.
Le dimensioni assolute della rete sono un fattore importante da tenere in considerazione, così come lo è l’entità delle capacità dedicate alla mitigazione DDoS. Ad esempio, alcune reti di distribuzione di contenuti e alcuni provider di servizi web che vantano un’enorme capacità di rete possono offrire la protezione DDoS quale servizio collaterale. È però evidente che destineranno gran parte della capacità di rete alle proprie attività commerciali principali, esponendo i clienti del DDoS a rischi.
Per questo motivo, è essenziale affidarsi a un provider dedicato capace di mitigare gli attacchi di notevole entità. Detto questo, i provider di servizi gestiti si occupano di innumerevoli clienti e si corre sempre il rischio che molti di essi vengano colpiti nello stesso momento. Non è dunque sufficiente disporre di livelli di capacità pari o persino doppi alle dimensioni dei potenziali attacchi. In realtà, la rete deve essere diversi ordini di grandezza più voluminosa degli attacchi più consistenti noti. Una capacità di dieci terabyte sta diventando rapidamente lo standard di riferimento per i moderni provider DDoS gestiti.
- Esperienza nel lavoro di squadra: i provider di buona qualità fanno notevole affidamento sull’automazione. Ma, sebbene rivesta un ruolo importante per l’efficacia della protezione DDoS, l’automazione non è sempre in grado di distinguere il traffico buono da quello nocivo. Se lasciata agire senza controllo, l’automazione ha buone probabilità di bloccare il traffico legittimo e di generare numerosi falsi positivi. Per contrastare i criminali occorre dunque l’intelligenza umana, ossia la capacità di riconoscere e analizzare gli attacchi reali, di comprenderne le origini e di individuarne velocemente le mire. I provider migliori dispongono di team di ricerca dedicati che vantano decenni di esperienza nello studio, nell’analisi e nel monitoraggio del buon esito della mitigazione degli attacchi DDoS. Come se non bastasse, possono contare su una nutrita esperienza in ambito di sicurezza con background professionali diversi e competenze complementari.
- Buone pratiche della soluzione ibrida: molti dei servizi gestiti offerti si basano integralmente su cloud. In altre parole, l’intera attività di mitigazione avviene su un sistema basato su cloud sempre attivo, soluzione che può rivelarsi ben presto esosa. Sempre più esperti concordano sul fatto che una soluzione ibrida, in cui si combinano capacità locali e su cloud, offra la difesa migliore dagli attacchi DDoS. Di solito la componente locale è in grado di catturare gran parte del traffico dannoso. Qualora l’attacco minacci di esaurire la capacità del dispositivo locale la capacità su cloud può attivarsi automaticamente.
Come se non bastasse, le soluzioni ibride sono meno costose e offrono un miglior rapporto qualità/prezzo di quanto si possa credere. Al giorno d’oggi, infatti, è possibile rendere virtuali le difese locali. Con il servizio fully-managed i costi sono compensati dalla ridotta necessità di personale. Inoltre, si paga solamente la capacità cloud utilizzata.
A cura di Marco Gioanola, Senior CE, Services Architect di NETSCOUT Arbor
