In un attacco Distributed Denial of Service zero-day, gli aggressori sfruttano vulnerabilità di sicurezza precedentemente sconosciute in sistemi, reti o applicazioni per avviare un DDoS. Questo improvviso flusso di traffico proveniente da più fonti rende non disponibili servizi o siti Web mirati.
Molti exploit zero-day hanno origine nel dark web, dove i criminali informatici distribuiscono exploit al miglior offerente. I mercati del dark web facilitano anche la vendita dei cosiddetti servizi booster/stresser, altrimenti noti come DDoS-for-hire.
Questi mercati del dark web forniscono agli attori malintenzionati tutti gli strumenti e le competenze necessarie per lanciare attacchi DDoS altamente distruttivi e dirompenti.
Un esempio recente di questo fenomeno è stata la scoperta e lo sfruttamento della vulnerabilità TP240PhoneHome. I difetti nella configurazione dei gateway PBX-to-Internet hanno consentito agli aggressori di abusare dei sistemi, portando ad attacchi DDoS che hanno causato interruzioni sostanziali alle organizzazioni prese di mira.
Ecco un altro esempio: nel luglio 2020 l'FBI ha allertato il mondo aziendale su quattro nuovi vettori di attacco DDoS: CoAP (Constrained applicazione Protocol), WS-DD (Web Services Dynamic Discovery), ARMS (Apple Remote Management Services) e Jenkins web-based automation software. Le vulnerabilità erano attive da almeno 12 mesi prima di questo avviso.
Nonostante l'avvertimento, l'FBI si aspettava che le vulnerabilità avrebbero continuato a essere sfruttate in natura per un po' di tempo a venire.
Gli attacchi zero-day colgono le vittime alla sprovvista perché non hanno avuto la possibilità di prepararsi applicando patch o mitigando in altro modo i difetti nei sistemi interessati.
Gli exploit zero-day vengono in genere ottenuti solo dopo un lavoro approfondito. Un ricercatore di sicurezza deve prima individuare un punto debole in un sistema, una rete o un'applicazione. Lo sviluppo di un exploit basato sulla vulnerabilità richiede inoltre competenze tecniche, risorse, tempo e sforzi significativi.
Per sviluppare una preziosa minaccia zero-day, l'aggressore deve:
Le motivazioni e i fattori di attacco variano, anche se una motivazione comune è il guadagno finanziario. Ad esempio, gli aggressori possono utilizzare un DDoS per interrompere le operazioni aziendali come parte di un attacco più ampio per rubare dati finanziari sensibili. Altre probabili motivazioni sono l'attivismo politico (hacktivismo), in cui gli aggressori interrompono le agende politiche dei loro nemici o tentano di attirare l'attenzione sulla loro causa.
In alcuni casi, il punto è proprio l'interruzione e il caos: gli aggressori cercano semplicemente il brivido o la notorietà derivati dall'attacco.
Difendersi dagli attacchi DDoS zero-day è impegnativo, ma possibile. Le organizzazioni devono iniziare adottando misure proattive, come ad esempio:
La protezione zero-day è chiaramente un obiettivo utile e raggiungibile per le organizzazioni che si impegnano in questo modo.
Di seguito sono riportate alcune strategie che le organizzazioni possono utilizzare per ridurre la potenziale superficie di attacco:
Sebbene l'implementazione di queste strategie migliorerà sicuramente l'efficienza e l'adattabilità di un'organizzazione, è altrettanto importante che i Chief Security Officer (CSO) diano priorità ai rischi zero-day.
Riconoscere il rischio di attacchi DDoS zero-day e adottare misure proattive per mitigare la minaccia è fondamentale per i CSO. Ecco alcuni dei nostri consigli:
Seguendo queste raccomandazioni, i CSO assumono un ruolo guida nella protezione della propria organizzazione dalla minaccia di attacchi DDoS zero-day.
Gli attacchi DDoS zero-day sfruttano le vulnerabilità non rivelate nei sistemi, accecando la vittima con un volume di traffico improvviso e travolgente che interrompe le operazioni, rendendo i servizi non disponibili per l'uso. La crescente minaccia di questi attacchi richiede che le organizzazioni diano priorità all'implementazione di efficaci strategie di protezione zero-day per salvaguardare le preziose risorse aziendali.
Stare al passo con le minacce DDoS zero-day è l'obiettivo centrale del Check Point Quantum DDoS Protector. Affidandosi ad algoritmi avanzati di apprendimento automatico per analizzare i modelli nel traffico di rete, il Quantum DDoS Protector è in grado di rilevare rapidamente le anomalie e mitigare gli attacchi DDoS zero-day con una velocità e una precisione senza precedenti.
Non lasciare che gli attacchi DDoS zero-day colgano di sorpresa la tua organizzazione. Iscriviti oggi stesso per una demo gratuita del Quantum DDoS Protector .