L'anno scorso, l'86% delle imprese è stato colpito da un attacco DDoS (rapporto annuale sulla sicurezza Radware). Questo significa che l'86% delle aziende ha subito interruzioni di attività che, come minimo, hanno inciso sui dipendenti e, nel peggiore dei casi, sulla customer experience e sul fatturato. Quando si sceglie la tecnologia e l’approccio alla sicurezza non c’è spazio per gli errori. Le aziende devono assicurarsi che il vendor selezionato sia in grado di difendere la sua rete e le sue applicazioni dagli ultimi attacchi DDoS burst e multivettore.
Cosa accade alle aziende prive di una protezione adeguata?
Ecco un esempio. Una banca APAC è diventata l'ultimo bersaglio di una campagna di attacchi DDoS partita all'inizio di settembre. Gli attacchi hanno colpito inizialmente il principale fornitore di servizi della banca. Per quanto essa avesse implementato il servizio di protezione Cloud DDoS di Akamai qualche giorno prima dell'attacco, tale servizio non è stato in grado di identificare e mitigare tutto il traffico malevolo. Il traffico malevolo si è "espanso" dalla soluzione Akamai, colpendo i firewall Checkpoint della banca e causando ulteriori interruzioni del servizio. Sfortunatamente per la banca, tali interruzioni hanno attirato l’attenzione del pubblico.
Il team IT della banca pensava inizialmente di poter gestire gli attacchi DDoS con le soluzioni già in essere. Tuttavia, dopo altri tentativi infruttuosi di mitigazione, con conseguenti notizie dannose per il buon nome della banca, la direzione ha convocato una riunione tra il team IT, Cisco e Radware per elaborare una soluzione.
SOLUZIONE
Il team ha raccomandato il dispositivo DDoS on-premise di Radware per fornire una maggiore protezione dagli ultimi vettori di attacco che il servizio Akamai non era in grado di gestire.
A metà settembre, la prima appliance è stata installata in linea, inizialmente in modalità Report. Dieci giorni dopo, il team IT della banca ha avuto bisogno di assistenza per un grosso attacco flood UDP/TCP volumetrico di tipo burst, contro la sua VPN. La soluzione Cloud DDoS Akamai ha gestito fino a 100 Gbps dell'attacco ma si è lasciata “sfuggire” altri 2-2,5 Gbps di traffico malevolo, causando problemi di connettività da remoto e interruzione delle operazioni bancarie. Le fughe di traffico di attacco sono continuate fino a quando Akamai ha iniziato le blacklist per il traffico malevolo.
Figura 1. Fughe di traffico di attacco dalla soluzione Cloud DDoS di Akamai fermate dal blacklisting
[Ti potrebbe interessare anche: Smart DDoS Protection During the COVID-19 Crisis]
L'appliance di protezione DDoS in modalità Report ha identificato immediatamente i vettori di attacco che il servizio Akamai non era in grado di identificare e mitigare, compresi i reflection attack UDP FRAG e ICMP/UDP/DNS. La soluzione DDoS di Radware offre una protezione contro gli attacchi DDoS avanzati - compresi i burst attack, gli attacchi low-and-slow, gli attacchi di frammentazione UDP e gli attacchi SYN Flood - che i servizi di scrubbing del cloud non sono in grado di fornire. Per definizione, i servizi cloud guardano solo al traffico in entrata (ingress); non sono in grado di proteggere dai vettori di attacco che richiedono una visibilità bidirezionale del traffico.
Dopo che il team Radware ha effettuato un’analisi completa del traffico per assicurarsi che non ci fossero falsi positivi e spostato le policy da Report a Block Mode, la banca è risultata pienamente protetta. Essa ha apprezzato la capacità della tecnologia Radware di identificare gli attacchi e proteggerla dagli stessi. Dall’incidente, l’appliance di protezione DDoS di Radware è stata installata in tutti i datacenter della banca, che non ha subito ulteriori interruzioni di attività e gode ora dei vantaggi della protezione DDoS di Radware.
Per maggiori informazioni, si rimanda al caso di studio della banca qui.
Domande da fare per valutare le capacità di sicurezza del vendor
Nel valutare le soluzioni di sicurezza, assicurati di fare al vendor i cui prodotti stai valutando le seguenti domande:
- Può garantire la business continuity sotto attacco?
- Da quali attacchi la sua soluzione dà protezione?
- Usa algoritmi di apprendimento comportamentale per individuare pattern di traffico “legittimo”?
- Come distingue tra traffico benevolo e malevolo?
[Ti è piaciuto il post? Registrati subito per ricevere ogni settimana le ultime novità Radware direttamente nella tua email oltre all'accesso esclusivo al Premium Content di Radware.]