Quando si gestisce una grande rete globale che supporta migliaia di applicazioni web e servizi multimediali di streaming, la mitigazione degli attacchi DDoS (Distributed Denial-of-Service) fa parte delle nostre operazioni quotidiane. Disporre di una piattaforma di mitigazione degli attacchi DDoS resiliente e intelligente è essenziale per il funzionamento della nostra rete e per i servizi Web che dipendono da essa.
Per garantire tale protezione, abbiamo sviluppato Stonefish, la nostra piattaforma di rilevamento e mitigazione degli attacchi DDoS che impedisce agli attacchi di livello 3/4 di influire sulle applicazioni web dei nostri clienti. Stonefish è il primo livello di difesa della soluzione di sicurezza olistica di Edgio all’edge, che funziona 24 ore su 24, 7 giorni su 7, 365 giorni all’anno, analizza milioni di pacchetti al secondo, li valuta per le minacce, interviene automaticamente quando necessario e viene monitorato dal nostro team di supporto in modo che possano eseguire analisi aggiuntive e azioni mitigative in tempo reale, se necessario.
In combinazione con la soluzione WAAP (Web and API Protection) di Edgio, Edgio fornisce una sicurezza unificata a più livelli che viene eseguita su ogni server dell’intera rete edge. Edgio WAAP include regole di controllo degli accessi (ACL), sicurezza API, protezione DDoS a livello di applicazione, gestione avanzata dei bot, regole di sicurezza personalizzate e regole di sicurezza gestite. Ogni richiesta viene elaborata da questi livelli di sicurezza sofisticata con latenza minima. Siamo orgogliosi di fornire questo servizio ai nostri clienti come punto di riferimento unico per rilevare e mitigare gli attacchi di livello 3/4 e 7 per tutte le applicazioni web che si trovano dietro la nostra piattaforma, migliorando al contempo le prestazioni e l’affidabilità del loro sito tramite un unico pannello di controllo.
Obiettivi di progettazione Stonefish
Stonefish è una piattaforma di mitigazione degli attacchi DDoS creata appositamente per proteggere la nostra rete e la nostra infrastruttura e tutti i nostri servizi critici per i clienti che vengono eseguiti su di essa. Abbiamo sviluppato il nostro stack di sicurezza DDoS utilizzando un mix di software open source e personalizzato che viene eseguito su ogni punto di presenza (POP), consentendoci di fornire una piattaforma DDoS altamente scalabile e automatizzata che migliora la capacità del nostro team di supporto in prima linea di fornire supporto per la mitigazione degli attacchi DDoS.
Stonefish è stato progettato per:
- Rilevare e filtrare il traffico in modo errato in pochi secondi.
- Difendersi da un’ampia gamma di attacchi DDoS, dagli attacchi volumetrici all’esaurimento dello stato, attraverso i livelli OSI 3 e 4 (gli attacchi di livello 7 sono coperti dal nostro WAAP olistico).
- Sfruttate la nostra architettura di rete esistente combinata con policy di mitigazione e rilevamento definite tramite software.
- Essere implementabile tramite un pannello di controllo a pannello singolo basato su cloud (con API di gestione disponibili)
- Aggiornate in modo efficiente le regole e applicate le policy a livello globale in tutti i nostri pop-up quasi in tempo reale, oltre alle regole create automaticamente al volo in risposta agli attacchi.
I nostri sforzi hanno portato a un sistema completamente automatizzato in grado di rilevare e bloccare la maggior parte degli attacchi DDoS, garantendo sicurezza e tranquillità superiori.
Architettura Stonefish
Adottando un approccio definito tramite software a Stonefish, possiamo ospitare la nostra mitigazione degli attacchi DDoS sulla nostra infrastruttura distribuita, consentendo a ogni POP della nostra rete globale di funzionare come scrubbing center in grado di rilevare e filtrare il traffico dannoso. Stonefish è costruito con un’architettura software modulare, che ci consente di aggiungere facilmente funzionalità al sistema contro un panorama di minacce in continua evoluzione senza l’uso di hardware specializzato.
Stonefish sfrutta la nostra enorme rete globale di Anycast. La rete Anycast distribuita a livello globale ci consente di instradare il traffico dannoso verso il POP più vicino. Questo ci consente di mitigare qualsiasi attacco all’edge vicino alla fonte dell’attacco prima che possa raggiungere la rete e il data center di un cliente. La mitigazione è semplice, quindi la maggior parte delle volte i clienti non sono consapevoli di essere attaccati. I nostri servizi, nel frattempo, sono sempre attivi, utilizzando valori quali l’indirizzo IP/porta di origine, l’IP/porta di destinazione e i campi dei pacchetti per identificare potenziali attacchi e arrestarli prima che possano causare danni.
Campionamento e punteggio
Tutto il traffico di rete in entrata viene campionato e analizzato da Stonefish. Un sistema di punteggio viene utilizzato per determinare la gravità del malfunzionamento e bloccare automaticamente il traffico dannoso. I risultati dell’analisi vengono inoltre inviati al SOC 24x7x365 e valutati se sono necessarie ulteriori azioni. Ecco come funziona.
- Un client invia una richiesta di contenuto a un’applicazione che si trova in Internet.
- Il nostro router riceve la richiesta e la indirizza alla nostra infrastruttura di bilanciamento del carico.
- Un campione del traffico viene inviato dai bilanciatori di carico a Stonefish.
- Stonefish analizza e calcola il traffico.
- Se viene identificato un traffico dannoso, Stonefish invia istruzioni al bilanciamento del carico per far cadere il traffico in base al segnale identificato da Stonefish.
- Il SOC di Edgio viene informato di un attacco e seguirà se sono necessarie ulteriori azioni.
Miglioramento di Stonefish
Abbiamo recentemente migliorato il nostro motore di ricerca e analisi distribuito per utilizzare Elasticsearch, che ora alimenta il “cervello” di Stonefish. I dati di Elasticsearch vengono continuamente analizzati per rilevare eventuali modifiche alle metriche dei pacchetti tramite un’applicazione software personalizzata. Il nostro software recupera i punteggi per gli intervalli di tempo e li confronta con gli intervalli precedenti per eventuali modifiche anomale o fuori limite. Ogni protocollo dispone di una logica di query e rilevamento personalizzata per l’identificazione più accurata possibile, come pacchetti TCP, UDP o ICMP. Inoltre, negli ultimi anni abbiamo investito nella tecnologia XDP (Express Data Path) e abbiamo aggiornato il nostro campionamento dei pacchetti per essere eseguito nel livello XDP. Abbiamo inoltre sfruttato i percorsi dati programmabili ad alte prestazioni in XDP per eliminare i pacchetti di attacco in modo più efficace.
Come il SOC e Stonefish lavorano insieme
Stonefish è uno dei molti strumenti utilizzati dal SOC per monitorare le nostre applicazioni dal punto di vista della sicurezza e delle prestazioni. È integrato in un dashboard che avvisa il nostro team di supporto di attacchi sofisticati in tempo reale. Mentre Stonefish blocca automaticamente gli attacchi DDoS, è configurato anche per avvisare eventuali anomalie, coinvolgendo i nostri specialisti SOC nelle indagini e nell’azione.
La mitigazione degli attacchi DDoS è inclusa in ognuno dei nostri piani di servizio. I clienti possono accedere al nostro team di supporto per l’assistenza DDoS tramite telefono o e-mail 24 ore su 24, 7 giorni su 7, 365 giorni all’anno. Il supporto e le escalation ottimizzati per gli attacchi DDoS non richiedono livelli o tassi di servizio di sicurezza specializzati, tra cui mitigazione proattiva e supporto clienti in caso di riscatto DDoS. Anche Edgio non addebita di più se sei sotto attacco, offrendo ai nostri clienti prezzi prevedibili (e senza costi a sorpresa).
Stonefish previene attacchi DDoS di massa
Il 14 giugno 2022, Edgio ha impedito un attacco DDoS di grandi dimensioni che misurava circa 176 milioni di pacchetti al secondo (Mpps), destinato a un client di e-commerce multinazionale con sede in Asia. L’attacco è durato circa 30 minuti e ha avuto origine dall’UE; la nostra rete Anycast ha rapidamente diffuso il carico e mitigato l’attacco all’interno della regione dell’UE nonostante le infrastrutture dei clienti siano ubicate in Asia.
Qualche settimana dopo, Stonefish ha rilevato e fermato un attacco del doppio di questa dimensione, circa 355 Mpps; il cliente, una delle principali organizzazioni francesi, non ne è stato influenzato. L’attacco era circa la metà delle dimensioni del più grande attacco DDoS mai registrato, misurato in Mpps.
Nonostante le enormi dimensioni di questo attacco, si è trattato di un evento non-evento per il nostro cliente che non ha visto alcun impatto sulla sua origine, poiché la rete di Edgio ha assorbito il 100% del traffico di attacco. Il nostro SOC 24 ore su 24, 7 giorni su 7, ha notificato al cliente di renderlo consapevole anche se non era necessaria alcuna azione da parte loro. Edgio dispone di una capacità di larghezza di banda di 250 Tbps ed è una delle uniche piattaforme edge sul mercato a fornire una sicurezza completa delle applicazioni e una protezione DDoS L3/4/7, supportata dal nostro team di sicurezza gestito e dal SOC 24 ore su 24, 7 giorni su 7.
Conclusione
Essendo una delle più grandi piattaforme di sicurezza abilitate alla periferia a livello globale, in grado di elaborare oltre il 4% di tutto il traffico Internet, difendiamo e mitighiamo ogni giorno gli attacchi DDoS contro migliaia di siti Web dei clienti.
La mitigazione degli attacchi DDoS è solo uno dei livelli di un’efficace difesa della sicurezza, ma rimane un livello essenziale. Abbiamo creato Stonefish per difendere automaticamente le applicazioni web dei nostri clienti dagli attacchi di livello 3 e 4, integrando uno stack software intelligente sulla nostra enorme periferia di rete in grado di rilevare e mitigare queste minacce. Lavorando in collaborazione con i nostri team di assistenza, i clienti dispongono di un supporto DDoS proattivo che può collaborare con loro per bloccare gli attacchi DDoS da tutti i livelli.
Se sei interessato a saperne di più su come Edgio può aiutare la tua organizzazione a rafforzare la sua strategia di sicurezza informatica, contattaci oggi stesso per pianificare una valutazione completa con uno dei nostri esperti.
