Checklist dei nuovi possibili obiettivi di attacchi DoS

MILANO - Il mese di marzo è stato definito il ‘mese a maggiore intensità di azioni hacktivist’, ed infatti questi sono, ad oggi, gli attacchi più pericolosi registrati i seguenti :
- 3 marzo, attacco DDoS alle organizzazioni governative e di e-commerce della Corea
- 4 marzo, attacco DDoS a Wordpress.com con pesanti interruzioni delle attività
- 6 marzo, attacco al governo francese re: il G20
- 9 marzo, attacco DDoS all’hosting provider gestito da Codero, con danni pesanti a Twitter
- 9 marzo, gli Anonymous annunciano una nuova «Operazione Payback» contro BMI.com e sollecita i suoi membri a sferrare attacchi continui e disabilitanti.

Queste minacce sono state considerate molto serie ed hanno spinto il Financial Services – Information Security Advisory Council (FS-ISAC) a diramare un avviso (2011-03-024) a tutte le società finanziarie associate sul possibile verificarsi di attacchi Denial-os-Service; inoltre, è stata nuovamente pubblicata la guida CERT con le indicazioni per prepararsi a fronteggiare gli attacchi.
Considerate a maggior rischio sono le grandi istituzioni finanziarie – banche, service provider, amministrazioni finanziarie pubbliche, infrastrutture tecnologiche indipendenti, infrastrutture sensibili (elettricità e gas, internet service provider e i provider della rete energetica nazionale USA).

Radware ha messo a punto una check-list per aiutare queste istituzioni a proteggere più efficacemente le loro reti:
• Punto 1 – pianificare il perimetro per predisporre un’ attack mitigation:
- impostare un approccio security-in-depth per prepararsi a bloccare gli attacchi con una strategia anti-DDoS che metta in stato di allerta e poi mitighi tutto il traffico lanciato dall’attacco ed essenzialmente provveda a ‘pulire le condutture’ su tutta la rete
- assicurare che la soluzione possegga specifiche capacità perimetrali per individuare in tempo reale attività maligne o intrusioni, respingere gli attacchi a livello applicativo, riconoscere il traffico legittimo da quello illecito, ed infine attivare un sistema di logging/correlation per raccogliere tutti i dettagli dell’attacco e farne il report immediato.
• Punto 2 – tecnologie complementari:
oltre alla protezione di base con IPS e firewall, impostare una soluzione in grado di mitigare attacchi sia noti che sconosciuti e che comprenda
- tools anti-DoS e anti-DDoS (a livello di rete e di applicazione) a contrasto di attacchi flood
- dispositivi di analisi comportamentale capaci di creare firme in tempo reale contro abusi e attacchi zero-day
- sistemi di intrusion prevention contro le vulnerabilità applicative già note
- strategie di contrattacco attivo in caso di emergenza (Smart Hands/Man-in-the-Loop capability).
• Punto 3 – prepararsi al contrattacco: a volte la miglior difesa è l’attacco
- definire un piano che coinvolga tecnici esperti in real-time negli eventi per far sì che strumentazione, allarmi, correlazione e mitigazione vengano gestite nel modo corretto
- assicurarsi che i team siano pronti a prestare assistenza immediata con azioni di mitigation attiva o di contrattaccare in difesa non appena il sistema è sotto attacco
- il concetto di difesa attiva è quello di un contrattacco proporzionato all’offesa, per eliminare definitivamente ogni traccia dell’attacco DDoS e chiudere un incidente spiacevole.