Proteggere le applicazioni web e le infrastrutture server dagli attacchi DDoS non è più una scelta per le organizzazioni con una presenza online. L’avvento dei servizi DDoS-for-hire ha effettivamente abbassato il livello di coloro che sono in grado di eseguire un attacco, rendendo tutte le entità web un potenziale bersaglio.
Un attacco DDoS riuscito ha un impatto negativo sulla reputazione di un’organizzazione, oltre a danneggiare le relazioni con i clienti esistenti. Perdite finanziarie significative possono arrivare fino a 40.000 dollari all’ora per le grandi imprese. Le entità più piccole possono affrontare decine di migliaia di dollari di danni, mentre gli assalti più lunghi e non mitigati hanno il potenziale di essere eventi che mettono fine al business.
In generale, ci sono diversi approcci per fermare gli attacchi DDoS. Le soluzioni più comuni si basano su metodi fai-da-te (DIY), apparecchi di mitigazione on-premise e soluzioni off-premise basate sul cloud.
Mentre ognuno offre i propri vantaggi, la loro efficacia complessiva nel fermare i DDoS si basa su una serie di fattori. Questi includono la scalabilità e le capacità di filtraggio, il costo e la facilità di integrazione, così come la facilità d’uso e la compatibilità di hosting.
Do It Yourself | On-Premise | Off-Premise | |
CAPEX | Nessuno | Costoso | Moderato |
OPEX | Minimo | Costoso | Moderato |
Modo di distribuzione | Su richiesta | Su su richiesta | Su richiesta /sempre su |
Tempo di mitigazione | Significativo | Significativo | Moderato /nessuno |
Scalabilità | Nessuno | Limitato | Virtualmente illimitato |
Filtraggio | Limitato | Significativo | Significativo |
Facilità d’uso | Complesso | Moderato | Molto facile |
Integrazione | Complesso | Moderato | Facile |
Compatibilità con opzioni di hosting |
Qualsiasi cosa | Di proprietà e dedicata | Qualsiasi cosa |
Protezione fai da te
La protezione fai da te è ampiamente considerata un approccio debole alla mitigazione DDoS. In termini pratici, si basa sull’impostazione di soglie di traffico statiche (ad esempio, utilizzando mod_evasive) e regole di blacklisting IP indiscriminate. È per lo più preferito per ragioni di bilancio e raramente considerato dalle imprese online.
Un grande svantaggio delle soluzioni fai da te è che sono spesso impiegate come misura reattiva. Quasi sempre, una configurazione viene modificata manualmente dopo che un’ondata iniziale di attacchi ha colpito. Mentre una tale soluzione potrebbe fermare simili assalti futuri, la prima ondata di successo è di solito sufficiente a causare ore di inattività e altri problemi.
Inoltre, gli autori possono facilmente modificare i loro metodi, attaccando da fonti disparate e utilizzando diversi vettori. Questo mantiene la vostra organizzazione in una posizione difensiva, dove deve ripetutamente implementare configurazioni aggiuntive, mentre simultaneamente cerca di recuperare da più eventi di downtime. Questo può andare avanti per giorni.
Il vero problema con qualsiasi approccio fai da te, tuttavia, è che è sempre limitato dalla larghezza di banda della rete, che limita gravemente la scalabilità necessaria per fermare gli attacchi DDoS a livello di rete.
Con la maggior parte degli assalti che registrano oltre 10Gbps e poche organizzazioni che hanno più di un uplink a raffica da 10Gbps, la soluzione fai da te è quasi sempre destinata a fallire.
Appliance on-premise
L’approccio on-premise alla protezione DDoS utilizza appliance hardware distribuite all’interno di una rete, posizionate di fronte ai server protetti.
Queste appliance di solito hanno capacità avanzate di filtraggio del traffico armate con una combinazione di geo-blocking, limitazione del tasso, reputazione IP e identificazione della firma.
Le appliance di mitigazione tipiche possono essere efficacemente utilizzate per filtrare il traffico malevolo in entrata. Questo li rende una valida opzione per fermare gli attacchi a livello di applicazione.
Tuttavia, diversi fattori rendono impraticabile fare affidamento sulle appliance:
- La scalabilità rimane un problema. La capacità dell’hardware di gestire grandi quantità di traffico DDoS è limitata dall’uplink di una rete, che raramente è più di 10Gbps (burst).
- Le appliance on-premise devono essere distribuite manualmente per fermare un attacco. Questo ha un impatto sul time-to-response e sulla mitigazione, causando spesso alle organizzazioni tempi di inattività prima che un perimetro di sicurezza possa essere stabilito.
- Infine, il costo di acquisto, installazione e manutenzione dell’hardware è relativamente alto, specialmente se confrontato con un’opzione meno costosa e più efficace basata sul cloud. Questo rende i dispositivi di mitigazione un acquisto poco pratico, a meno che un’organizzazione non sia obbligata a utilizzare soluzioni in loco (ad esempio, da normative specifiche del settore).
In quest’ultimo scenario, l’hardware è in genere parte di un’implementazione ibrida, dove è integrato da soluzioni basate sul cloud in grado di difendere dagli attacchi a livello di rete.
Soluzioni fuori sede, basate sul cloud
Le soluzioni fuori sede sono fornite dall’ISP o basate sul cloud. Gli ISP offrono tipicamente solo la protezione del livello di rete, mentre le soluzioni basate sul cloud forniscono ulteriori capacità di filtraggio necessarie per fermare gli attacchi del livello applicazione. Entrambe offrono una scalabilità virtualmente illimitata, poiché sono distribuite al di fuori di una rete e non sono vincolate dalle limitazioni di uplink identificate in precedenza.
In genere, le soluzioni di mitigazione off-premise sono servizi gestiti. Non richiedono nessuno degli investimenti in personale di sicurezza o manutenzione richiesti dalle soluzioni fai da te e dall’hardware on premise. Sono anche significativamente più convenienti delle soluzioni on-premise, pur fornendo una migliore protezione contro le minacce a livello di rete e di applicazione.
Le soluzioni off-premise vengono distribuite come servizio on-demand o always-on, con la maggior parte dei fornitori leader di mercato che offrono entrambe le opzioni.
Opzione on-demand
Abilitata dal rerouting BGP, l’opzione on-demand blocca gli attacchi a livello di rete, compresi quelli diretti al server di origine e altri componenti dell’infrastruttura di rete centrale. Questi includono i flood SYN o UDP, che sono attacchi volumetrici progettati per intasare i tubi di rete con pacchetti di dati falsi.
Opzione sempre attiva
L’opzione sempre attiva è abilitata attraverso il reindirizzamento DNS. Blocca gli assalti a livello di applicazione che tentano di stabilire connessioni TCP con un’applicazione nel tentativo di esaurire le risorse del server. Questi includono HTTP floods, DNS floods e vari attacchi low-and-slow (es, Slowloris).
Vedi come Imperva DDoS Protection può aiutarti con gli attacchi DDoS.
Imperva DDoS protection
Imperva mitiga un massiccio flood HTTP: 690.000.000 di richieste DDoS da 180.000 IP di botnet.
Imperva fornisce una protezione DDoS facile da usare, conveniente e completa che spinge la busta della tecnologia di mitigazione basata sul cloud.
Attraverso una combinazione di soluzioni on-demand e always-on, una rete globale che offre una scalabilità quasi illimitata e soluzioni di filtraggio premiate per una mitigazione trasparente, Imperva protegge completamente i suoi clienti da qualsiasi tipo di attacco DDoS.
Visita qui per saperne di più sui servizi di protezione DDoS di Imperva.