Nell’ultima settimana l’Emergency Response Team (ERT) di Radware ha rilevato un nuovo tipo di attacco SYN Flood che viene ritenuto una delle più serie minacce tra gli attacchi TCP-based. Il team ERT di Radware ha rilevato due attacchi di questo tipo in una finestra di 48 ore verso due diversi obiettivi, situati in due continenti diversi.
Questo nuovo tipo di attacco ha la capacità di saturare il traffico Internet delle sue vittime molto più rapidamente di qualsiasi altro attacco mai apparso fino ad oggi. E’ per questo motivo che l’abbiamo chiamato “Tsunami SYN Flood Attack”.
Questo nuovo attacco SYN Flood è molto diverso da un normale SYN packet ed è caratterizzato da dimensioni di circa 1000 byte per pacchetto e il suo attacco può colpire anche un’intera serie di reti. Una minaccia di questa portata è in grado di consumare banda molto rapidamente; i primi attacchi, seppur esplorativi e di lieve entità, sono stati in grado di generare picchi di 4-5Gbps.
Il team ERT di Radware consiglia a tutte le aziende di verificare che le soluzioni di sicurezza in uso siano in grado di bloccare il Tsunami SYN Flood Attack. Una rilevazione immediata è fondamentale, anche se la maggior parte delle protezioni TCP-based e SYN cookie-type non sono efficaci. Ecco alcuni aspetti fondamentali da considerare:
- Gli algoritmi basati sul comportamento sono fondamentali sia per rilevare la minaccia che per limitarne i danni. Non avere un sistema di rilevamento di tipo “behavioural”, infatti, rende inutili anche le più moderne soluzioni di sicurezza contro questa minaccia.
- La soluzione più efficace è un modello ibrido cloud/on-premise. Dato che questo tipo di attacchi può avere forti picchi, la vittima presa di mira dovrà avere una soluzione di detection veloce e di qualità, con funzioni di cloud scrubbing mitigation per prevenire la saturazione della banda.
- Avere un piano di azione in caso di emergenza è la chiave per gestire gli attacchi informatici. Cercate di avere un piano sempre aggiornato e di informare le persone su cosa devono fare in caso di attacco.
E’ la prima volta che assistiamo a questo tipo di attacco, ma pensiamo possa diventare una nuova modalità di attacco DDoS (Distributed Denial of Service). I primi attacchi con questo nuovo approccio sembrano essere “esplorativi”, una sorta di test per affinare la minaccia e valutare nel frattempo l’efficacia delle protezioni attualmente in uso.
Per chi volesse verificare l’efficacia delle proprie difese contro questo nuovo attacco SYN Flood, il team ERT di Radware è a disposizione per una verifica delle misure difensive.