Un estratto dal Global DDoS Mitigation Market Research Report di Frost & Sullivan (NDD2-72) del Luglio 2014 NDD2-74

Transcript

1 Analisi del mercato sull'assorbimento del Global Distributed Denial of Service (DDoS) - La versione breve L'aumento degli attacchi DDoS aumenta la richiesta di Soluzioni Complete Un estratto dal Global DDoS Mitigation Market Research Report di Frost & Sullivan (NDD2-72) del Luglio

2 Piano d'azione Il punto di vista manageriale Gli attacchi DDoS stanno aumentando in frequenza e gravità, e vengono riconosciute come le maggiori minacce alla sicurezza informatica e alla continuità del servizio In conseguenza all'intensificazione delle presenza online di organizzazioni pubbliche e commerciali, la richiesta del mercato di soluzioni per attenuare gli attacchi DDoS è la più grande di sempre Un interesse elevato per le soluzioni per contrastare il DDoS ha spinto molte aziende di sicurezza informatica a sviluppare e proporre soluzioni 4 Anche se vi sono strutture di tutte le dimensioni interessate a soluzioni contro il DDoS, ci sono diverse opzioni per mitigare gli attacchi DDoS che contribuiscono ad una frammentazione del mercato 2

3 Analisi del mercato Gli attacchi DDoS interrompono l'operatività di IT e business Gli attacchi DDoS sono denial-of-service che utilizzano grandi quantità distribuite di potenza di calcolo rubata attraverso connessioni infette per intasare reti ed applicazioni web con traffico dati. L'obiettivo di un attacco DDoS è quello di interrompere le operazioni online di un ente consumando la banda di rete disponibile o le risorse dei server. Il successo di un attacco DDoS viene determinato dalla mancanza di risorse disponibili per i legittimi utenti. La maggior parte degli attacchi DDoS hanno come obiettivo applicazioni e siti web. Organizzazioni finanziarie e governative sono spesso obiettivi di attacchi DDoS, anche se sono di solito bersaglio di minacce online in generale. Qualsiasi organizzazione che abbia una significativa presenza online, come aziende di e-commerce e di giochi online, sono bersagli adatti e qualsiasi organizzazione con una presenza online è un bersaglio potenziale. I responsabili degli attacchi DDoS sono hacker esperti e gruppi organizzati. Comunque, il profilo degli aggressori si sta espandendo rapidamente visto che nazioni, organizzazioni criminali ed hacker attivisti (hacktivists) utilizzano attacchi DDoS contro prede selezionate o chiedono a gruppi di hacker di effettuare attacchi DDoS contro obiettivi specifici. 3

4 Analisi del mercato (continua) L'anno degli attacchi DDoS Gli attacchi DDoS sono cresciuti in quantità e grandezza. Nel 2005, i maggiori attacchi DDoS erano di 9 Gigabits al secondo (Gbps) e questo numero è cresciuto a 100 Gbps nel 2010 secondo il Worldwide Infrastructure Security Reportdi Arbor Networks. Nel Dicembre 2013, gli aggressori utilizzavano Network Time Protocol (NTP) reflection per aumentare gli attacchi DDoS fino a 400 Gbps. I ricercatori hanno anche identificato un aumento nella misura dell'attacco medio*. Mercato delle contromisure per gli attacchi DDoS: Grandezza media degli attacchi, Mondiale, Grandezza degli attacchi per Flusso di traffico *Fonte: Verizon 2014 Data Breach Investigations Report. 4

5 Spiegazione delle strategie Gli attacchi DDoS stanno aumentando in frequenza o Gli attacchi DDoS sono oggi degli avvenimenti comuni, e alcuni laboratori di ricerca ne registrano migliaia al giorno. o Questo aumento della frequenza deriva dalla crescente popolarità del DDoS come strumento di attacco e molte associazioni hanno stabilito che il DDoS sarà il sistema di attacco preferito dagli hackers. o In primo luogo, gli aggressori desiderano indebolire e scompaginare organizzazioni di ogni genere usando degli attacchi DDoS. o Inoltre, gli attacchi DDoS richiedono un minore impegno da parte degli aggressori, rispetto alla scrittura di malware avanzato o alla preparazione di campagne di penetrazione di network. o La frequenza crescente degli attacchi DDoS aumenta la loro percezione come una minaccia. Questo effetto si amplifica quando delle grandi organizzazioni quando vengono bersagliate o cadono vittima di attacchi. 5

6 Spiegazione delle strategie (continua) Gli attacchi DDoS stanno aumentando in magnitudine o Storicamente, gli hackers aumentano la scala degli attacchi DDoS infettando un grande numero di computer per generare maggiori volumi di traffico di rete. o Il numero di device infetti e potenzialmente bot su Internet potrà solo salire in continuazione, considerando la crescita esponenziale degli smartphones e della cosidetta "Internet delle cose" che unirà tutto in un network dai piccoli elettrodomestici alle automobili. o Comunque, gli aggressori hanno anche sviluppato nuovi sistemi di attacco che hanno portato ad aumenti nella misura degli attacchi DDoS dalla fine del 2012 all'inizio del o Per prima cosa, gli hacker prendono di mira siti web aperti o vulnerabili e server di sistemi di gestione dei contenuti (CMS) per ospitare script di attacchi DDoS come Brobot DDoS attack kit. I server hanno un maggior potere di calcolo rispetto agli apparati per gli utenti finali e operano in data center privati, in cloud e in host con connessioni ad alta velocità. o Come risultato, gli attacchi DDoS che utilizzano server compromessi possono raggiungere un impatto maggiore. Attacchi DDoS che usano server infetti con Brobot hanno raggiunto più di 100 Gbps durante Operation Ababil nel o Nel 2013, gli attacchi DDoS hanno raggiunto un altro primato in termini di ampiezza utilizzando tecniche di amplificazione e di riflessione. 6

7 Spiegazione delle strategie (continua) Gli attacchi DDoS stanno aumentando in magnitudine (continua) o Gli attacchi con amplificazione consistono nello spedire piccole richieste ai server per ottenere in cambio risposte più grandi. Gli attacchi per riflessione permettono di rubare l'identità del mittente creando del traffico di risposta non richiesto che viene diretto all'indirizzo IP della vittima. o Nel Marzo 2013, gli aggressori hanno utilizzato un attacco di riflessione basato su Mercato dell'attenuazione degli attacchi DDoS: Misure di picco degli attacchi DDoS, Domain Name System (DNS) contro Spamhaus, generando picchi di traffico di 300 Mondiale, Gbps*. Grandezze degli attacchi DDoS (Gbps) *Fonte: Arbor Networks. 7

8 Spiegazione delle strategie (continua) Gli attacchi DDoS stanno diventando più sofisticati o Tradizionalmente, gli aggressori utilizzano Transmission Control Protocol (TCP) sincronizzazione (SYN) o flood UDP per consumare la banda disponibile del network bersaglio con grandissimi volumi di traffico. Più recentemente, gli attaccanti bersagliano il protocollo degli applicativi e dei servizi con maggiori frequenze e maggiori effetti. o Per esempio, Operation Ababil ha utilizzato attacchi all'application-layer mandando richieste GET del Hyper Text Transfer Protocol (HTTP) per file Portable Document Format (PDF), esaurendo con successo le risorse del server con meno richieste. o Gli hacker possono anche creare significativi ritardi bersagliando heavy URLs che richiedono complesse richieste ai database. Questi attacchi sono difficili da identificare visto che si appoggiano alla logica per creare un ritardo nelle applicazioni per richieste piuttosto che eseguire enormi quantità di richieste. o Gli attacchi all'application-layer (i cosiddetti attacchi low-and-slow ) possono velocemente bloccare un server con pochissimo traffico e sono difficilmente identificabili con le pratiche tradizionali di reazione agli attacchi DDoS che lavorano sul massimo traffico sostenibile. In aggiunta, il traffico dell'application layer è spesso criptato e complica il processo di ispezione. 8

9 Spiegazione delle strategie (continua) Gli attacchi DDoS stanno diventando più sofisticati (continua) o Gli hacker stanno mescolando sempre più ambo le tecniche, utilizzando attacchi sui network per creare grandi volumi di traffico che richiedono banda e utilizzando attacchi alle applicazione che sono difficili da individuare. o In sostanza, gli attacchi misti usano grandi attacchi volumetrici per riempire i "condotti" dell'organizzazione vittima e gli attacchi a livello applicativo per esaurire le risorse dei server. o Al minimo, la capacità di attenuare delle minacce miste richiede un approccio ibrido, che utilizza cloud-based scrubbing per gli attacchi a grandi volumi e soluzioni di attenuazione in loco per individuare e bloccare gli attacchi all'application layer. o Di conseguenza, aziende sono motivate ad avere prodotti in loco per l'attenuazione del DDoS e a sottoscrivere servizio di attenuazione del DDoS per una protezione aggiuntiva; una strategia di difesa profonda. 9

10 Spiegazione delle strategie (continua) L'accesso ad Internet e ai servizi Web aumenterà per importanza per ogni tipo di industria o Il rischio associato ad un attacco DDoS è relativo al valore del servizio web che ne è bersaglio. Attualmente, la presenza sul Web è molto importante nelle industrie dell'intrattenimento, della finanza e del commercio online. o Aziende in questi mercato sono state fra i primi ad adottare soluzione di mitigazione del DDoS perché l'importanza della loro connessione alla Rete è un componente integrante del loro modello di business. o Nel futuro, la presenza web, comprendente i siti web, le applicazioni ed i servizi in cloud delle aziende diverrà sempre più importante strategicamente. o Inoltre, aziende in qualsiasi campo e di qualsiasi grandezza necessiteranno di un alto livello di connessione con il pubblico per garantire l'accesso a clienti e partner. o Non appena il valore della connettività con il Web e con Internet aumenterà per molte aziende, così aumenterà l'appeal di una soluzione per l'attenuazione del DDoS. 10

11 Spiegazione delle strategie (continua) L'attenuazione del DDoS offre un ritorno sugli investimenti (ROI) quantificabile o Gli attacchi DDoS interrompono l'operatività e impediscono agli utenti l'accesso ad applicazioni web critiche. Queste interruzioni significano perdita di produttività, perdita di traffico generato da visitatori, di transazioni di e-commerce e altre opportunità mancate. o Il valore di queste opportunità perdute varia da business a business. Comunque, le aziende possono e dovrebbero valorizzare i danni potenziali che un attacco DDoS potrebbe causare in dollari per ora. o Per aziende finanziare e basate sul web, gli attacchi DDoS possono risultare in milioni di dollari di danni per ora. o Valorizzando il rischio DDoS in termini monetari, il vertice manageriale potrà meglio comprendere i rischi e valutare le soluzioni per mitigare gli attacchi a disposizione. o A paragone, molte tecnologie di sicurezza danno valore difficile da misurare con la protezione dei dati dei clienti e della reputazione del marchio che sono considerazioni importanti ma difficili da valutare economicamente. o Questa strategia è limitata dai costi impegnativi delle soluzione di attenuazione del DDoS che potrebbero mettere in ombra i danni potenziali di un attacco DDoS. 11

12 Soluzioni concorrenti Meets Market Demands Conclusioni chiave: Il cambiamento delle tecnologie e le richieste dei clienti creano un significativo potenziale per avanzare nei confronti della concorrenza. Fortinet Verisign Huawei NSFOCUS Rio Rey Neustar Soluzioni concorrenti Mercato dell'attenuazione degli attacchi DDoS totale: Mondiale, 2013 Imperva (Incapsula) Corero Network Security Black Lotus Juniper Networks Akamai Radware Prolexic Arbor Networks Market Leader Market Contender Market Challenger Emerging Competitor Market Penetration 12

13 Prodotto Fascia Market Share Conclusioni chiave: Arbor Networks è il principale concorrente nel mercato delle contromisure per gli attacchi DDoS. Percentuale di guadagni Fascia di prodotto: Mondiale, 2013 n = 11 *A list of companies included in Others can be found in the appendix Note: All figures are rounded. The base year is

14 Prodotto Fascia Panorama di mercato Conclusioni chiave: Il segmento di mercato dei prodotti per la mitigazione DDoS sta diventando sempre più competitivo. Soluzioni concorrenti Fascia di prodotto: Mondiale, 2013 Meets Market Demands Fortinet NSFOCUS Rio Rey Huawei Corero Network Security Juniper Networks Radware Arbor Networks Market Leader Market Contender Market Challenger Emerging Competitor Market Penetration 14

15 Le ultime parole Raccomandazioni ai clienti 1 Un approccio ibrido e misto per mitigare il DDoS è molto consigliato. Le aziende dovrebbero avere varie soluzioni contro il DDoS in servizio prima di un attacco inclusi dei "canali liberi" dagli ISP e dagli CSP, dispositivi per mitigare DDoS in loco, e servizi on-demand su cloud per gestire DDoS. 2 Non esiste una soluzione per mitigare il DDoS valida per tutti. Le aziende dovrebbero considerare la natura delle loro operazioni comprese la sensibilità ai ritardi, le richieste di banda, l'expertise tecnico interno e i costi associati prima di selezionare una soluzione per mitigare il DDoS. 3 Le aziende dovrebbero considerare gli attacchi DDoS come una minaccia ai loro dati sensibili e alla loro integrità. L'attenuazione del DDoS è spesso considerata un problema operativo o di business continuity, ma gli aggressori stanno sempre più utilizzando gli attacchi DDoS in combinazione con intrusioni sulle reti, furti dei dati e tentativi di estorsione. 15