Recentemente, i team che si occupano di sicurezza in AWS hanno individuato un nuovo tipo di HTTP request flood, ovvero un attacco distribuito DDoS, progettato deliberatamente per rendere un sito web o un’applicazione non disponibili per gli utenti. Questi tipi di attacchi sono purtroppo diventati un problema comune per i team di sicurezza informatica. Ma questo ultimo tipo era di una dimensione e scala mai viste prima.
“Gli attacchi DDoS si stanno evolvendo: gli utenti hanno trovato un modo per comunicare con i web server con una frequenza e una aggressività di molto superiore rispetto al passato” ha dichiarato Tom Scholl, Vice President AWS e Distinguished Engineer. “Una request flood è causato da una richiesta di dati fatta ad un server. Il server va a recuperare i dati ma a quel punto il richiedente li rifiuta; un po’ come chiamare qualcuno ripetutamente e riagganciare non appena risponde. Quando un server deve rispondere a più di 100 milioni di richieste simultanee, consuma una grande quantità di risorse, impedendo una regolare elaborazione del traffico. Ad agosto, per esempio, è stato perpetrato un attacco, conosciuto come ‘HTTP/2 Rapid Reset Attack’, che ha causato più di 155 milioni di richieste al secondo.”
Se un attacco DDoS ha successo, può causare grandi problemi per le aziende, tra cui l’aumento dei costi e l’interruzione dello svolgimento di attività quotidiane. Può, per esempio, impedire di compiere bonifici bancari, ostacolare la visualizzazione di informazioni da parte del proprio medico o bloccare la visione della propria serie preferita. Per gli appassionati di gaming, potrebbe rendere impossibile giocare o causare continue disconnessioni durante le sessioni.
Grazie all’impegno degli ingegneri di AWS, i clienti sono stati rapidamente protetti da questo nuovo attacco DDoS. Insieme ad altre aziende tecnologiche, AWS ha lavorato allo sviluppo di ulteriori mitigazioni, migliorando il modo in cui tali attacchi vengono gestiti dall’intero settore.
“Affrontiamo queste minacce da diversi punti di vista”, ha dichiarato Scholl. “Riuniamo tutte le nostre competenze per trovare rapidamente delle soluzioni al problema e allo stesso tempo identifichiamo le aree che potrebbero essere vulnerabili. Nel caso di un nuovo tipo di DDoS, simuliamo nei nostri laboratori anche le azioni perpetrate dai malintenzionati, per comprendere il funzionamento dei loro attacchi e testare la resistenza dei nostri sistemi.”
Scholl ha dichiarato che per prevenire gli attacchi è fondamentale collaborare con gli attori del settore, in modo da condividere le conoscenze sugli approcci ingegneristici più efficaci per proteggersi da tali minacce.
“In definitiva, stiamo cercando di rendere internet un posto più sicuro e protetto, non solo per i clienti, ma per ogni utente web, ovunque si trovino nel mondo”, continua Scholl.
Di seguito, tre modi in cui AWS sta cercando di prevenire gli attacchi DDoS e di bloccare le infrastrutture responsabili per averli generati.
1. Rilevare ed identificare le botnet
Gli aggressori spesso utilizzano le “botnet” per alimentare gli attacchi DDoS. Una botnet è una rete di computer infettata da malware o altri software creati per interferire con la normale programmazione. I computer colpiti, che potrebbero essere decine di migliaia, vengono controllati da un server che li forza ad eseguire un attacco simultaneo, nel tentativo di sovraccaricare il sistema obiettivo dell’attacco. Grazie allo strumento di intelligenza delle minacce MadPot di AWS è possibile rilevare le botnets, e il loro server di controllo; quindi collaboriamo con i registratori di domini e gli hosting providers per bloccare quel centro di controllo, impedendo alla botnet stessa di partecipare a qualunque attacco.
2. Trovare la fonte di uno spoofed IP
Immaginate di ricevere contemporaneamente mille chiamate sul vostro telefono da mille numeri diversi. Per bloccare tale flusso, sarebbe necessario trovare la fonte di ciascuna chiamata. Gli attacchi spoofed IP operano proprio in questa modalità: i malintenzionati inviano una serie di messaggi ma ne nascondono la fonte per impedire il blocco dell’attacco. Data le difficoltà di individuare la fonte dell’attacco, storicamente questa tecnica ha comportato una vera sfida per i team di sicurezza. Ma AWS gestisce un network ampio, interconnesso e globale che permette di risalire alla sorgente, disabilitandola e sventando così la minaccia. Inoltre, AWS collabora con una serie di operatori di rete per tracciare e bloccare questo tipo di attacchi.
3. Tracciare request floods HTTP tramite open proxies
Un “proxy server” è un computer che agisce come un gateway tra un utente e internet. Esempi popolari possono essere i pacchetti software, come Squid. I DDoS sfruttano i proxy server – disponibili a chiunque abbia intenzione di effettuare un attacco del genere – per nascondere il loro operato. Quando generano i request floods http, i malintenzionati cercano proxy aperti per nascondere la fonte dell’attacco. In questo modo, quando gli obiettivi rilevano l’attacco, li vedono provenire dalle migliaia di proxy server presenti su internet, piuttosto che dalla vera origine. Grazie allo strumento di intelligenza delle minacce MadPot di AWS, è possibile risalire alle sorgenti che si connettono ai proxy e, collaborando con l’hosting provider, disattivarle.
Di seguito, tre consigli su come rendere la vostra azienda più sicura online.
1. Non fare tutto da soli
La sicurezza è uno sforzo collaborativo e servizi come Amazon CloudFront possono aiutare, sia che si tratti di una start-up o un’azienda consolidata. L’impronta globale di CloudFront, i sistemi di mitigazione DDoS e di gestione del traffico sono progettati per gestire grandi flussi di traffico, indipendentemente dal grado di rischio. Con CloudFront, è come se le imprese installassero una porta blindata all’entrata della propria infrastruttura IT: se qualcuno provasse a scagliare un masso pesante contro di esse, potrebbe riuscire a scalfirne una piccola parte, ma la porta stessa rimarrebbe intatta. In combinazione con i servizi AWS Shield, progettati per affrontare specificamente i DDoS, i clienti hanno a disposizione una serie di strumenti adatti a mitigare le minacce legate ai DDoS.
2. Rimanere aggiornati
Per godere degli ultimi aggiornamenti di sicurezza, è fondamentale eseguire regolarmente gli aggiornamenti software e delle patch di sicurezza, in modo da contrastare anche le vulnerabilità più avanzate. Inoltre, le aziende che gestiscono i propri web server con compatibilità a HTTP/2, dovrebbero verificare con il fornitore dei server se ci siano stati casi di HTTP flood e, nel caso, installare le patch più recenti per risolvere il problema.
3. Usare l’autenticazione a più fattori
Uno dei modi migliori per proteggere la propria azienda da minacce online è attraverso l’autenticazione a più fattori (MFA). Si tratta di una best practice di sicurezza che richiede un secondo fattore di autenticazione, oltre alle credenziali di accesso con nome utente e password. Offre un ulteriore livello protezione per impedire a persone non autorizzate di accedere ai vostri sistemi o dati.
