FirewallSicurezza

Sicurezza sul cloud e Intelligence collettiva

evidenza
Google + Linkedin
Blog a cura di Akamai

Un vantaggio che le aziende sperano di ottenere dalla sicurezza web basata sul cloud è rappresentato dall’Intelligence collettiva

Idealmente, un vendor di soluzioni per la sicurezza sul cloud che deve proteggere molti clienti acquisisce sempre nuove competenze ed esperienze che vanno ad accrescere il livello di Intelligence di cui tutti i clienti potranno trarre vantaggio.

In realtà, l’Intelligence collettiva non è un vantaggio intrinseco del cloud. Ogni vendor di soluzioni per la sicurezza sul cloud dispone di una base clienti estremamente diversa in termini di dimensioni e varietà e non tutti i vendor compiono investimenti significativi nelle attività di ricerca e analisi delle minacce. Senza un volume elevato di traffico e un team di ricerca delle minacce, l’Intelligence derivante dalla sicurezza basata sul cloud potrebbe non avere granché da offrire.

Intelligence collettiva, un esempio pratico

Un attacco reale sferrato a un cliente che utilizzava Kona Site Defender di Akamai mostra l’importanza di combinare un volume di traffico globale con un’adeguata scalabilità dei dati e una capacità di analisi avanzata. Abbiamo scoperto che il sito del cliente era stato preso di mira da tentativi ripetuti di exploit RFI (Remote File Inclusion), 2.122 per la precisione.

Non avevamo mai visto prima sfruttare questa vulnerabilità per lanciare un attacco, sebbene tale tecnica fosse stata segnalata già nel 2007. Perché adesso? Il nostro team si ricordò che Google aveva recentemente aggiornato Skipfish, il proprio scanner delle vulnerabilità web. L’autore degli attacchi l’aveva probabilmente scaricato e aveva quindi avviato l’attività di probing per individuare un punto debole. L’approccio casuale “trial and error” dell’attacco ripetuto sollevava un’ulteriore domanda: l’autore degli attacchi stava forse prendendo di mira anche altri siti?

L’analisi dei big data

Il motore di analisi dei big data della Cloud Security Intelligence (CSI) di Akamai ha aiutato a portare alla luce una serie di dati interessanti:

  • L’autore originale degli attacchi aveva in realtà preso di mira 34 siti diversi,
  • per un totale di oltre 24.000 singoli attacchi,
  • lanciati come parte di un potente botnet composto da 272 membri,
  • che avevano attaccato 1.700 diverse applicazioni sulla piattaforma Akamai,
  • con 1.358.980 singoli attacchi in un arco di tempo di 2 settimane.

Ciò significava che centinaia di clienti erano stati sotto attacco senza nemmeno accorgersene. Abbiamo informato immediatamente tutti i clienti di questo attacco e abbiamo inviato una notifica di minaccia con una regola personalizzata per la mitigazione di tutti i clienti interessati, quindi abbiamo aggiornato il nostro set proprietario di regole per avere la certezza che tutti i clienti fossero protetti. Tutto questo è stato possibile grazie all’Intelligence acquisita da un attacco a un singolo cliente.

È possibile confrontare l’impatto di questa Intelligence sulla protezione offerta da Akamai osservando le differenze tra l’accuratezza di Akamai in relazione agli attacchi RFI (Remote File Inclusion) e quella di altri WAF (Web Application Firewall) basati sul cloud. Alcuni mesi dopo quell’attacco, abbiamo testato la nostra soluzione WAF a fronte di quelle di altri due provider. Tra le altre cose, questo confronto ha rivelato che mentre Akamai garantiva una protezione contro il 100% degli attacchi RFI testati, il primo provider non proteggeva contro nessun attacco, mentre il secondo provider solo contro un sottoinsieme ridotto di attacchi RFI.

2_why-cloud-it-promo The Benefits of Collective Intelligence

Ecco perché una scalabilità significativa fa la differenza ai fini del valore dell’Intelligence collettiva.

Gestione dei bot e non solo

Le applicazioni che acquisiscono Intelligence collettiva dalla sicurezza sul cloud sono altrettanto numerose di quelle utilizzate per lanciare gli attacchi. Questo aspetto è particolarmente prezioso per tenere traccia dell’evoluzione e delle mutazioni del traffico dei bot. Una visibilità ampia e dettagliata sul traffico web globale è essenziale per essere in grado di anticipare i continui cambiamenti. I dati CSI (Cloud Security Intelligence) di Akamai vengono utilizzati per identificare e tenere traccia di oltre 1.300 bot noti in 15 categorie di servizi legittimi e per aggiornare continuamente le regole di rilevamento dei bot in tempo reale, in modo da essere sempre al passo con i bot sconosciuti.

Akamai utilizza anche l’Intelligence collettiva per il nostro servizio di Client Reputation. Il fatto di avvalerci di una nostra Intelligence, anziché di origini di terze parti, fa sì che i nostri dati sulla reputazione IP siano molto più articolati e i clienti possano applicarli in maniera flessibile. Al posto di una semplice impostazione sì/no, la soluzione Client Reputation di Akamai è in grado di valutare il rischio su una scala da 1 a 10 e di classificarlo in base al tipo di attacco, in modo che i clienti possano scegliere esattamente chi bloccare in base ai propri requisiti di business specifici. Inoltre, grazie alla nostra costante attività di raccolta e analisi dei dati, possono anche vedere in che modo il punteggio di rischio di un indirizzo IP cambia nel tempo.

Il nuovo e-book di Akamai, Perché il cloud? Guida per gli acquirenti alla sicurezza sul cloud, contiene molti altri esempi di come l’Intelligence collettiva derivante dalla sicurezza sul cloud abbia protetto molti clienti in situazioni reali. Scaricabile gratuitamente, l’e-book contiene anche un’analisi approfondita delle domande relative a scalabilità, velocità, accuratezza e soluzioni ibride, che spesso si presentano quando si considera la sicurezza basata sul cloud.

Per leggere l’ebook in versione integrale, scarica il file in formato pdf da qui.