Arbor Networks Inc., la divisione sicurezza di NETSCOUT (NASDAQ: NTCT), ha pubblicato oggi i dati globali sugli attacchi DDoS per i primi sei mesi del 2016, i quali mostrano un aumento continuo sia della dimensione che della frequenza degli attacchi.
I dati Arbor sono raccolti tramite ATLAS™, una collaborazione con più di 330 clienti service provider che condividono con Arbor dati anonimi relativi al traffico al fine di fornire una vista aggregata completa del traffico globale e delle minacce. ATLAS fornisce i dati per la Digital Attack Map, una visualizzazione del traffico globale di attacchi creata in collaborazione con Google Ideas. I dati ATLAS sono stati utilizzati recentemente anche nel Visual Networking Index Report di Cisco e nel Data Breach Incident Report di Verizon.
ATTIVITÀ GLOBALE DDoS
Gli attacchi DDoS continuano ad essere utilizzati di frequente, sfruttando la disponibilità immediata di tool gratuiti e servizi online a basso costo che permettono a chiunque sia in possesso di un grievance e di una connessione internet di lanciare un attacco. Ciò ha comportato un aumento sia della frequenza che della dimensione e della complessità degli attacchi negli ultimi anni.
· ATLAS ha registrato una media di 124.000 eventi a settimana negli ultimi 18 mesi.
· Un aumento del 73% della dimensione massima degli attacchi rispetto al 2015, che ha raggiunto 579Gbps.
· 274 attacchi superiori a 100Gbps rilevati nella prima metà del 2016, contro i 223 registrati in tutto il 2015.
· 46 attacchi superiori a 200Gbps rilevati nella prima metà del 2016, contro i 16 registrati in tutto il 2015.
· USA, Francia e Gran Bretagna sono i principali obiettivi degli attacchi superiori a 10Gbps.
Il team Security Engineering & Research di Arbor (ASERT) ha recentemente dimostrato che i grandi attacchi DDoS non richiedono l’uso di tecniche di riflessione/amplificazione. LizardStresser, una IoT botnet, è stata usata per lanciare attacchi che arrivavano a 400Gbps destinati a siti di gaming di tutto il mondo, istituzioni finanziarie brasiliane, ISP e istituzioni governative. Secondo ASERT, i pacchetti di attacchi non sembrano provenire da indirizzi di origine falsificati – e non è stato utilizzato nessun tipo di protocollo UDP con amplificazione come NTP o SNMP.
QUANDO LA MEDIA È UN PROBLEMA
Un attacco DDoS da 1 Gbps è sufficiente per lasciare offline la maggior parte delle organizzazioni.
· La media delle dimensioni degli attacchi nella prima metà del 2016 è stata 986Mbps, è aumentata quindi del 30% rispetto al 2015.
· Per la fine del 2016 si prevede una dimensione media degli attacchi di 1,15Gbps.
“I dati dimostrano la necessità di sistemi di difesa contro gli attacchi DDoS ibridi o multilivello,” ha detto Darren Anstee, Responsabile Tecnologico per la Sicurezza di Arbor Networks. “Gli attacchi a larghezza di banda elevata possono essere mitigati solo nel cloud, lontano dagli obiettivi prefissati. Tuttavia, nonostante la forte crescita delle dimensioni degli attacchi più consistenti, l’80% di questi è ancora inferiore a 1Gbps e il 90% dura meno di un’ora. La protezione on premise garantisce la rapidità di reazione necessaria ed è la chiave contro gli attacchi “low and slow” a livello di applicazione e gli attacchi state-exhaustion destinati a infrastrutture come firewall e IPS.”
UN TEMPO PER LA RIFLESSIONE
La riflessione/amplificazione è una tecnica che permette agli aggressori sia di ampliare la quantità di traffico generato, sia di offuscare la sorgente originale di quel traffico di attacchi. Di conseguenza, la maggior parte dei grandi attacchi recenti si serve di questa tecnica tramite server DNS, Network Time Protocol (NTP), Chargen e Simple Service Discovering Protocol (SSDP). Di conseguenza, nella prima metà del 2016:
· Il DNS è il protocollo più usato nel 2016, avendo sostituito NTP e SSDP nel 2015.
· La media delle dimensioni degli attacchi di riflessione/amplificazione del DNS sta crescendo considerevolmente.
· La dimensione massima degli attacchi di riflessione/amplificazione rilevati nel 2016 è stata di 480Gbps (DNS).
