Nell'ottobre 2016, il provider di servizi DNS Dyn è stato preso di mira da un attacco Distributed Denial of Service (DDoS) da parte di un esercito di dispositivi IoT appositamente compromessi. Più di 14,000 domini che utilizzano i servizi di Dyn sono stati saturi e inaccessibili, inclusi grandi nomi come Amazon, HBO e PayPal.
Secondo uno studio di Cloudflare, il costo medio dei guasti infrastrutturali per le aziende è di $ 100,000 (£ 75,000) al momento. Quindi come puoi assicurarti che la tua organizzazione non sia vittima di questo tipo di attacco? In questa guida, imparerai a conoscere i principali fornitori di infrastrutture con il potere digitale di proteggerti dagli attacchi progettati per sovraccaricare la tua capacità di rete.
Scoprirai anche quali fornitori possono offrire protezione contro attacchi alle applicazioni più sofisticati (livello 7), che possono essere eseguiti senza un gran numero di computer hackerati (a volte chiamati botnet).
1. Progetto scudo
Protezione potente contro gli attacchi DDoS di Google, ma non tutti sono invitati
Approfitta dell'infrastruttura di Google.
Configurazione molto semplice
Disponibile solo per alcuni siti web
Project Shield nasce da un'idea di Jigsaw, una sussidiaria di Google, Alphabet. Lo sviluppo è iniziato diversi anni fa sotto George Conard, a seguito degli attacchi al monitoraggio delle elezioni e ai siti web sui diritti umani in Ucraina.
Project Shield può filtrare il potenziale traffico dannoso agendo come un proxy inverso tra un sito Web e Internet, filtrando le richieste di connessione. Se una connessione sembra provenire da un visitatore legittimo, Project Shield autorizza la richiesta di connessione. Se una richiesta di connessione è considerata non valida, ad esempio più tentativi di connessione dallo stesso indirizzo IP, viene bloccata. Questo sistema rende Project Shield estremamente facile da implementare semplicemente modificando le impostazioni DNS dei tuoi server.
Chiunque sappia leggere potrebbe chiedersi come funzionerà il filtraggio del traffico tramite un proxy con SSL. Fortunatamente, Jigsaw ha pensato a questo e ha messo insieme un tutorial completo per garantire che le connessioni sicure al tuo sito funzionino senza problemi. Vari altri tutorial sono disponibili anche nella sezione supporto.
Attualmente, Project Shield è disponibile solo per i media, il monitoraggio delle elezioni e i siti web sui diritti umani. C'è anche un'enfasi sui siti Web piccoli e sottofinanziati che non possono permettersi costose soluzioni di hosting per proteggersi dagli attacchi DDoS. Se la tua organizzazione non soddisfa questi requisiti, potresti dover prendere in considerazione un'altra soluzione, come Cloudflare.
2. Cloudflare
Il colosso della protezione DDoS.
Leader del settore nelle soluzioni DoS.
Il livello gratuito include la protezione di base.
I pacchetti aziendali sono relativamente costosi
Chiunque abbia utilizzato Internet negli ultimi anni avrà familiarità con Cloudflare perché molti dei principali siti Web ne utilizzano la protezione. Sebbene Cloudflare abbia sede negli Stati Uniti, gestisce 165 data center in tutto il mondo, un'infrastruttura paragonabile a Google. Ciò massimizza le possibilità che i tuoi siti rimangano online.
Ogni utente di Cloudflare può scegliere di abilitare la modalità "Sono stato attaccato", che può proteggere dai più sofisticati attacchi di negazione del servizio presentando una sfida Javascript. Cloudflare funge anche da proxy inverso tra i visitatori e l'host del tuo sito per filtrare il traffico allo stesso modo di Jigsaw Project Shield. Nel marzo 2019 è stato introdotto Spectrum per UDP, che fornisce protezione contro gli attacchi DDoS e un firewall per protocolli inaffidabili.
I visitatori che effettuano richieste di connessione dovrebbero utilizzare un sofisticato guanto di filtri, inclusa la reputazione del sito, se il loro IP è nella lista nera e se l'intestazione HTTP sembra sospetta. Le richieste HTTP sono impronte digitali per la protezione da reti zombie conosciute. In qualità di gigante del settore, Cloudflare può facilmente sfruttare la sua posizione condividendo informazioni su oltre 7 milioni di siti Web.
Cloudflare offre un pacchetto di base gratuito che include una limitazione degli attacchi DDoS senza misurazione. Per coloro che sono disposti a pagare per un abbonamento aziendale a Cloudflare (i prezzi partono da $ 200 o £ 149 al mese), è disponibile una protezione più avanzata, come il download di certificati SSL personalizzati.
3. AWS Shield
Eccellente mitigazione di base degli attacchi DDoS con più
Il livello standard gratuito protegge dagli attacchi più comuni.
Installazione facile
Il livello avanzato è molto costoso
AWS Shield Protection è fornito da persone competenti nei servizi Web Amazon. Il livello "Standard" è disponibile senza costi aggiuntivi per tutti i clienti AWS. Questo è l'ideale perché molte piccole imprese scelgono di ospitare i propri siti Web con Amazon. AWS Shield Standard è disponibile per tutti i clienti senza costi aggiuntivi. Protegge da attacchi di rete (Layer 3) e di trasporto (Layer 4) più tipici quando si utilizzano i servizi Cloud Front e Route 53 di Amazon.
Questo dovrebbe scoraggiare tutti tranne i pirati più determinati. Tuttavia, la tua larghezza di banda, ad esempio 15 Gbps, sarà comunque limitata dalle dimensioni della tua istanza Amazon, consentendo agli hacker di eseguire un attacco di tipo DoS se dispongono di risorse sufficienti. Peggio ancora, sei ancora responsabile del pagamento di traffico aggiuntivo alla tua istanza.
Per mitigare questo problema, Amazon offre anche AWS Shield Advanced. Un abbonamento include la protezione dei costi contro gli attacchi DDoS, che può salvarti da un forte aumento della bolletta mensile se sei vittima di un attacco. AWS Shield Advanced può anche distribuire i tuoi elenchi di controllo di accesso (ACL) ai margini della rete AWS, proteggendoti dagli attacchi più importanti.
Gli abbonati avanzati beneficiano anche di un DRT (DDoS Response Team) 24 ore su 3,000, nonché di misurazioni dettagliate di tutti gli attacchi alle loro istanze. Lo spirito offerto da AWS Shield Advanced, tuttavia, è costoso. Devi essere pronto per iscriverti per un minimo di un anno al prezzo di $ 2,200 (£ XNUMX) al mese. Questo si aggiunge ai costi di utilizzo del trasferimento dati che puoi coprire "con pagamento a consumo".
4.Microsoft Azure
Eccellente protezione di base con un livello conveniente e di pagamento.
La protezione standard è estremamente facile da configurare
Mitigazione automatizzata delle minacce
Copertura protettiva DDoS per tutte le risorse.
Come Amazon, Microsoft offre la possibilità di affittare spazi di servizio tramite il suo servizio Azure. Tutti i membri beneficiano della protezione di base contro gli attacchi DDoS. Le funzionalità includono sempre il monitoraggio del traffico e la mitigazione degli attacchi di rete in tempo reale (livello 3) per tutti gli indirizzi IP pubblici che utilizzi. Questo è lo stesso tipo di protezione dei servizi online di Microsoft e tutte le risorse di rete di Azure possono essere utilizzate per assorbire gli attacchi DDoS.
Per le aziende che necessitano di una protezione più sofisticata, Azure offre anche un livello "Standard". Questo è stato ampiamente elogiato per essere molto facile da attivare, richiedendo solo pochi clic del mouse. Soprattutto, Azure non richiede di modificare le applicazioni, sebbene il livello standard offra protezione dagli attacchi DDoS da parte delle applicazioni (Layer 7) tramite il firewall dell'applicazione Web del gateway applicazione. Monitoraggio di Azure può mostrare statistiche in tempo reale se si verifica un attacco. Questi vengono conservati per 30 giorni e possono essere esportati per ulteriori studi, se lo si desidera.
Azure controlla costantemente il traffico Web sulle tue risorse. Se questi superano una soglia predefinita, la mitigazione DDoS si avvia automaticamente. Ciò include l'ispezione delle confezioni per assicurarsi che non siano falsificate o contraffatte, nonché l'uso della limitazione del flusso.
La protezione standard è attualmente di $ 2,944 (£ 2,204) al mese, più i costi per i dati per un massimo di 100 risorse. La protezione si applica anche a tutte le risorse. In altre parole, non è possibile personalizzare le misure di mitigazione per gli attacchi DDoS.
5. Protezione DDoS di Verisign
La migliore protezione contro gli attacchi DDoS dei veterani della sicurezza.
Facile da installare tramite DNS
Centri lavanderia dedicati alla protezione dagli attacchi.
Può essere distribuito in loco
L'interfaccia richiede tempo per essere padroneggiata
Aggiornamento: i servizi di sicurezza di Verisign vengono trasferiti a Neustarma le caratteristiche e le caratteristiche menzionate in questa recensione sono rimaste relativamente le stesse.
Verisign è vecchio quasi quanto Internet stesso. Dal 1995 è passata da un'unica autorità di certificazione a uno dei principali attori nel settore dei servizi di rete.
La protezione DDoS di Verisign funziona nel cloud. Gli utenti possono scegliere di reindirizzare i tentativi di accesso semplicemente modificando le impostazioni DNS (Domain Name Server). Il traffico viene inviato a Verisign per la verifica per prevenire attacchi di rete. Verisign analizza attentamente tutto il traffico prima di reindirizzarlo.
Dato che Verisign gestisce due dei 13 server dei nomi di percorso globali, non sorprende che l'organizzazione gestisca anche diversi "centri puliti" DDoS dedicati. Questi analizzano il traffico e filtrano le richieste di connessione errate. L'infrastruttura combinata raggiunge quasi 2 TB / se può bloccare gli attacchi DDoS più dannosi.
Ciò è in gran parte realizzato tramite Athena, la piattaforma di mitigazione delle minacce di Verisign. Atena è in gran parte divisa in tre elementi. Lo "scudo" filtra gli attacchi di rete (livello 3) e di trasporto (livello 4) tramite DPI (ispezione approfondita dei pacchetti), blacklist e whitelist e gestione della reputazione del sito. Il "proxy" Athena ispeziona le intestazioni HTTP per rilevare eventuali problemi di traffico durante i tentativi di accesso iniziali. Il "proxy" e lo "shield" sono compatibili con il "load balancer" di Athena, che aiuta a prevenire gli attacchi alle applicazioni (livello 7).
Il Portale clienti visualizza rapporti dettagliati sul traffico e consente di configurare la gestione delle minacce, ad esempio creando liste nere di connessioni. Verisign offre anche OpenHybrid agli utenti che sono riluttanti a distribuire tutto nel cloud e possono essere installati in loco.
Credito immagine: Wikimedia Commons (Antoine Lamielle)