Sempre più frequenti, sempre più sofisticati: i temibili attacchi Distributed Denial of Service (DDoS) possono arrivare a bloccare anche le infrastrutture critiche di un paese. Per questo oggi non solo i gestori delle reti ma le nazioni si attrezzano per fronteggiare i cyberattacchi con strategie che entrano nei programmi della politica. Anche in Italia, dove la Legge di Stabilità mette in cantiere 150 milioni per la sicurezza informatica.
Arbor Networks, la divisione sicurezza di Netscout, ha raccolto nell’11ma edizione del suo Worldwide Infrastructure Security Report (WISR), le indicazioni provenienti dalla comunità globale degli specialisti in sicurezza operativa sul rilevamento delle minacce, la reazione agli incidenti, i budget. Commenta con noi il report Marco Gioanola, Senior Consulting Engineer di Arbor Networks.
Quali sono le tendenze principali in ambito DDoS che emergono dallo studio di quest’anno?
Innanzitutto cambiano le motivazioni degli attacchi: non più l’hacktivismo né il vandalismo, bensì ‘la dimostrazione delle capacità di attacco da parte dei criminali’, un elemento che normalmente risulta associato ai tentativi di cyber-estorsione. Inoltre, continuano a crescere le dimensioni degli attacchi: il più grande attacco registrato è stato pari a 500 Gbps. Negli undici anni di questo studio, le dimensioni massime di attacco sono cresciute di oltre 60 volte. Poi, aumentano gli attacchi complessi: il 55% degli intervistati ha registrato attacchi multi-vettore diretti simultaneamente contro infrastrutture, applicazioni e servizi, in aumento rispetto al 42% dello scorso anno. Altro punto: i firewall continuano a rivelarsi insufficienti durante gli attacchi DDoS e gli attacchi DDoS stanno diventando atti di distrazione, diversivi per coprire infiltrazioni malware o il furto di dati sensibili. Infine, due anni fa, gli attacchi lanciati contro servizi basati su cloud erano stati osservati dal 19% degli interpellati; l’anno scorso la proporzione era salita al 29% e quest’anno ha raggiunto il 33%.
Il dato sul cloud sembra particolarmente allarmante. Si tratta di un’industria su cui l’Ue punta per rilanciare l’economia digitale e l’occupazione nel nostro continente. Ma i problemi di sicurezza da superare sembrano tanti.
Quest’anno il 51% degli operatori di data center ha registrato attacchi DDoS che hanno provocato la saturazione della connettività Internet disponibile. I gestori di data center, che forniscono servizi Internet su scala globale, sono potenzialmente in balia di attacchi contro cui non riescono a difendersi.
Ci sono strategie efficaci per proteggersi?
Questi attacchi non si possono prevenire, ma ci si può proteggere, e le aziende che vogliono rivolgersi a dei service provider devono assicurarsi che esistano servizi di mitigazione degli attacchi DDoS. I service provider a loro volta devono valutare il rischio che corrono le loro risorse di rete di essere danneggiate o congestionate con attacchi DDoS e usare servizi cosiddetti provider-agnostici, ovvero distribuiti globalmente, che possono assorbire grandi quantità di attacchi prima che arrivino alla loro rete. E’ importante anche la collaborazione tra Internet Service Provider (ISP) su scala mondiale.
Quanto possono pesare gli attacchi DDoS?
Non è solo la quantità di attacchi, che sono più frequenti e imponenti, ma è la loro natura. Gli attacchi DDoS sono quelli contro cui è più difficile reagire nonostante i sistemi di mitigation, contro cui i firewall sono meno efficaci: le aziende sono più esposte. Senza contare che per sferrare un attacco DDoS non sono necessarie tecnologie sofisticate; per questo gli attacchi DDoS sono sempre più spesso una potente arma a disposizione di chi persegue anche altri scopi, dall’intrusione all’estorsione al furto di credenziali e dati.
Le aziende sono consapevoli dei rischi?
Negli anni la consapevolezza è aumentata, ma siamo lontani da una situazione ottimale in cui c’è personale dedicato alla sicurezza informatica con alte competenze tecniche, dirigenti totalmente concentrati su quest’area come il chief security officer e investimenti adeguati. Siamo lontani dalla comprensione, a livello globale, che la sicurezza informatica non si può lasciare in secondo piano, anche se quest’anno abbiamo visto che le aziende iniziano a cogliere l’importanza legata ai “tempi di risposta” alla minaccia e aumentano gli investimenti in tal senso.
Anche l’Italia sta cercando di trovare una sua strategia per la cybersicurezza. I 150 milioni di euro stanziati per la cybersicurezza sono sufficienti?
E’ un importante passo in avanti mettere a disposizione risorse dedicate. Sulla cifra in sé si può dire che è adeguata, se c’è la volontà di sfruttare i sistemi di difesa già esistenti o per definire strategie di protezione su sistemi che già esistono; se invece si vogliono mettere in campo soluzioni aggiuntive, 150 milioni non bastano. Ma come punto di partenza va bene: nel caso degli attacchi di DDoS, si potrebbero prevedere iniziative che mettono a fattor comune ciò che gli ISP già hanno fatto per loro necessità di protezione per ottenere adesso un coordinamento maggiore, misure condivise e armonizzate che moltiplicherebbero l’efficacia perché si andrebbero a proteggere, anziché la rete del singolo provider, i sistemi del paese.
Secondo lei per coordinare l’attività cyber a livello politico-istituzionale, serve più una figura tecnica o politica?
Un ente preposto alle questioni di cybersicurezza deve avere innanzitutto forti competenze tecniche, ma anche il potere politico è necessario, perché una volta individuate le scelte e le strategie più adeguate occorre l’autorità per implementarle. Tuttavia la cybersicurezza non può essere affidata a un solo ente o comitato, come se questo avesse la bacchetta magica per risolvere i problemi della sicurezza informatica. Sia che si tratti di attacchi DDoS che di altro genere, la cybersecurity si fa con la cooperazione di tutti i soggetti coinvolti: enti dello Stato, aziende, associazioni di categoria e così via, che dovrebbero concordare best practice e condotte da applicare. Anzi, il coordinamento dovrebbe essere non solo nazionale ma sovranazionale. Gli attacchi DDoS, per esempio, che sono un evento specificamente legato all’infrastruttura di rete operata dagli Internet Service Provider, richiedono per loro natura un lavoro di cooperazione con gli ISP su scala globale. Internet non ha confini.
A dicembre l’Europa ha approvato la versione finale della nuova direttiva sulla cooperazione tra agenzie di law enforcement dell’Ue per lo scambio di dati personali: è un passo nella giusta direzione?
Sicuramente: la cooperazione in Ue è importante e oggi quasi assodata. Ma non basta. Occorre uno sguardo globale, perché resta problematico contrastare gli attacchi informatici i cui responsabili si nascondono in paesi – o usano server ubicati in paesi – con legislazioni diverse dal nostro. Servono un lavoro e uno scambio di conoscenze globale, altrimenti nel mondo continueranno ad esistere “isole” dove i criminali del web agiscono impunemente o fanno facilmente perdere le loro tracce.
L’Italia è allineata agli altri Paesi avanzati nella sua architettura istituzionale sulla sicurezza informatica?
Il panorama internazionale è variegato. I mercati più avanzati, come il Regno Unito, hanno da tempo inglobato le attività di cybersecurity dentro una strategia di sicurezza nazionale strutturata e molti Paesi hanno centri per la gestione degli attacchi alle loro infrastrutture critiche. Da noi questo esiste parzialmente. Comunque anche a livello internazionale lo scenario è ancora troppo frammentato e lasciato all’iniziativa dei singoli Stati, mentre armonizzare standard e strategie su scala globale è la chiave di volta. Anche in Ue la cooperazione si scontra con alcune difficoltà, non da ultimo perché ci si focalizza su temi considerati più gravi o urgenti e si tende a considerare la sicurezza informatica come dominio esclusivo dei servizi segreti.
Conta invece anche la regia politica, mi pare di capire. E gli ISP, che ruolo hanno? Dopotutto, sono loro i proprietari o i gestori delle reti oggetto di attacco.
Le collaborazioni tra ISP non solo sono necessarie, ma spesso telco e Internet Service Provider, visto che sono le aziende che direttamente vengono attaccate, si muovono per primi per tutelarsi, con protezioni ad hoc e collaborazioni internazionali. Queste strategie risultano spesso più efficaci delle collaborazioni tra Stati, perché si tratta di un dialogo tra tecnici, basato sul pragmatismo. Quando si passa sul piano della politica si incontrano più ostacoli. Questo non vuol dire che la guida degli Stati o dell’Ue non serva – anzi, rappresenta il necessario ombrello; è però evidente che strategie e regole non si possono calare dall’alto e che l’input delle aziende e degli “addetti ai lavori” è fondamentale perché da qui arrivano i dati reali che danno “il polso della situazione”.
