Home Articoli tecnici Stonefish – automatizzare la mitigazione degli attacchi DDoS alla periferia della rete
Applications

Stonefish – automatizzare la mitigazione degli attacchi DDoS alla periferia della rete

About The Author

Outline

Quando si gestisce una grande rete globale che supporta migliaia di applicazioni web e servizi multimediali di streaming, la mitigazione degli attacchi DDoS (Distributed Denial-of-Service) fa parte delle nostre operazioni quotidiane. Disporre di una piattaforma di mitigazione degli attacchi DDoS resiliente e intelligente è essenziale per il funzionamento della nostra rete e per i servizi Web che ne dipendono.

Per fornire tale protezione, abbiamo sviluppato Stonefish, la nostra piattaforma di rilevamento e mitigazione degli attacchi DDoS che impedisce agli attacchi di livello 3/4 di influire sulle applicazioni web dei nostri clienti. Stonefish è il primo livello di difesa nella soluzione di sicurezza olistica di Edgio alla periferia della rete, operando 24 ore su 24, 7 giorni su 7, 365 giorni all’anno, analizzando milioni di pacchetti al secondo, valutandoli per le minacce, intervenendo automaticamente quando necessario, inoltre, vengono monitorati dal nostro team di supporto in modo da poter eseguire analisi aggiuntive e azioni mitigative in tempo reale, se necessario.

In combinazione con la soluzione Web and API Protection (WAAP) di Edgio , Edgio fornisce una sicurezza unificata multilivello che viene eseguita su ogni server dell’intera rete edge. Edgio WAAP include regole di controllo degli accessi (ACL), sicurezza API, protezione DDoS a livello di applicazione, gestione avanzata dei bot, regole di sicurezza personalizzate e regole di sicurezza gestite. Ogni richiesta viene elaborata da questi livelli di sicurezza sofisticata con latenza minima. Siamo orgogliosi di offrire questo servizio ai nostri clienti come sportello unico per rilevare e mitigare gli attacchi di livello 3/4 e 7 per tutte le applicazioni Web che risiedono dietro la nostra piattaforma, migliorando al contempo le prestazioni e l’affidabilità del loro sito tramite un unico pannello di controllo.

Obiettivi di progettazione Stonefish

Stonefish è una piattaforma di mitigazione degli attacchi DDoS progettata appositamente per proteggere la nostra rete e l’infrastruttura e tutti i nostri servizi critici per i clienti che vengono eseguiti su di essa. Abbiamo sviluppato il nostro stack di sicurezza DDoS utilizzando un mix di software open source e personalizzato che viene eseguito su ogni punto di presenza (POP), consentendoci di fornire una piattaforma DDoS altamente scalabile e automatizzata che migliora la capacità del nostro team di supporto in prima linea di fornire supporto per la mitigazione degli attacchi DDoS.

Abbiamo progettato Stonefish per:

  • Rilevare e filtrare il traffico dannoso in pochi secondi.
  • Difendersi da un’ampia gamma di attacchi DDoS, dagli attacchi volumetrici all’esaurimento dello stato, tra i livelli OSI 3 e 4 (gli attacchi di livello 7 sono coperti dal nostro WAAP olistico).
  • Sfruttate la nostra architettura di rete esistente combinata con policy di rilevamento e mitigazione definite tramite software.
  • Essere implementabile tramite un pannello di controllo a vetro singolo basato su cloud (con API di gestione disponibili)
  • Aggiorna in modo efficiente le regole e applica le policy a livello globale in tutti i nostri POP quasi in tempo reale, oltre alle regole create automaticamente in risposta agli attacchi.

I nostri sforzi hanno portato a un sistema completamente automatizzato che rileva e blocca la maggior parte degli attacchi DDoS, fornendo maggiore sicurezza e tranquillità.

Architettura Stonefish

Adottare un approccio definito tramite software a Stonefish ci consente di gestire la mitigazione degli attacchi DDoS sulla nostra infrastruttura distribuita, consentendo a ogni pop della nostra rete globale di fungere da scrubbing center in grado di rilevare e filtrare il traffico dannoso. Stonefish è costruito con un’architettura software modulare che ci consente di aggiungere facilmente funzionalità al sistema contro un panorama di minacce in continua evoluzione senza l’uso di hardware specializzato.

Stonefish sfrutta la nostra enorme rete globale Anycast. La rete Anycast distribuita a livello globale ci consente di instradare il traffico dannoso al pop più vicino. Questo ci consente di mitigare qualsiasi attacco all’edge vicino alla fonte dell’attacco prima che possa raggiungere la rete e il data center di un cliente. La mitigazione è senza soluzione di continuità, pertanto, nella maggior parte dei casi, i clienti non sono consapevoli di essere attaccati. I nostri servizi, nel frattempo, sono sempre attivi, utilizzando valori quali l’indirizzo IP/porta di origine, l’IP/porta di destinazione e i campi dei pacchetti per identificare potenziali attacchi e fermarli prima che possano causare danni.

Campionamento e punteggio

Tutto il traffico di rete in entrata viene campionato e analizzato da Stonefish. Un sistema di punteggio viene utilizzato per determinare la gravità del malessere e bloccare automaticamente il traffico dannoso. I risultati dell’analisi vengono inoltre inviati al nostro SOC 24 ore su 24, 7 giorni su 7, 365 giorni all’anno e valutati se sono necessarie ulteriori azioni. Ecco come funziona.

  1. Un client invia una richiesta di contenuto a un’applicazione che si trova su Internet.
  2. Il router riceve la richiesta e la indirizza alla nostra infrastruttura di bilanciamento del carico.
  3. Un campione del traffico viene inviato dai bilanciatori di carico a Stonefish.
  4. Stonefish analizza e valuta il traffico.
  5. Se viene identificato traffico dannoso, Stonefish invia istruzioni al bilanciamento del carico per far cadere il traffico in base al segnale identificato da Stonefish.
  6. Il SOC di Edgio è informato di un attacco e seguirà se sono necessarie ulteriori azioni.

Miglioramento di Stonefish

Recentemente abbiamo migliorato il nostro motore di ricerca e analisi distribuito per utilizzare Elasticsearch, che ora alimenta il “cervello” di Stonefish. I dati Elasticsearch vengono continuamente analizzati per rilevare eventuali modifiche alle metriche dei pacchetti tramite un’applicazione software personalizzata. Il nostro software recupera i punteggi per gli intervalli di tempo e li confronta con gli intervalli precedenti per eventuali modifiche anomale o fuori limite. Ogni protocollo dispone di una query personalizzata e di una logica di rilevamento per l’identificazione più accurata possibile, ad esempio pacchetti TCP, UDP o ICMP. Inoltre, abbiamo investito nella tecnologia XDP (Express Data Path) negli ultimi anni e abbiamo aggiornato il nostro campionamento dei pacchetti da eseguire nel livello XDP. Abbiamo inoltre sfruttato i percorsi di dati programmabili ad alte prestazioni in XDP per eliminare i pacchetti di attacco in modo più efficace.

Come il nostro SOC e Stonefish lavorano insieme

Stonefish è uno dei numerosi strumenti utilizzati dal nostro SOC per monitorare le nostre applicazioni dal punto di vista della sicurezza e delle prestazioni. È integrato in un dashboard che avvisa il nostro team di supporto di attacchi sofisticati in tempo reale. Mentre Stonefish blocca automaticamente gli attacchi DDoS, è anche configurato per avvisare in caso di anomalie, il che obbliga i nostri specialisti SOC a indagare e agire.

La mitigazione degli attacchi DDoS è inclusa in ciascuno dei nostri piani di servizio. I clienti possono accedere al nostro team di supporto per l’assistenza DDoS tramite telefono o e-mail 24 ore su 24, 7 giorni su 7, 365 giorni all’anno. Il supporto avanzato e le escalation per gli attacchi DDoS non richiedono livelli o tassi di servizio di sicurezza specializzati, tra cui mitigazione proattiva e assistenza clienti in caso di riscatto DDoS. Edgio non addebita di più se sei sotto attacco, offrendo ai nostri clienti prezzi prevedibili (e nessuna spesa a sorpresa).

Stonefish previene un massiccio attacco DDoS

Il 14 giugno 2022, Edgio ha impedito un attacco DDoS di grandi dimensioni che misurava circa 176 milioni di pacchetti al secondo (Mpps), destinato a un client di e-commerce multinazionale con sede in Asia. L’attacco è durato circa 30 minuti e ha avuto origine dall’UE; la nostra rete Anycast ha rapidamente diffuso il carico e mitigato l’attacco all’interno della regione dell’UE nonostante le infrastrutture dei clienti siano situate in Asia.

Qualche settimana dopo, Stonefish ha rilevato e fermato un attacco di dimensioni raddoppiate, circa 355 Mpps; il cliente, un’organizzazione francese leader, non ne è stato influenzato. L’attacco era circa la metà del più grande attacco DDoS mai registrato, misurato in Mpps.

Nonostante le enormi dimensioni di questo attacco, è stato un evento non-evento per il nostro cliente che non ha visto alcun impatto sulla sua origine, poiché la rete di Edgio ha assorbito il 100% del traffico di attacco. Il nostro SOC 24 ore su 24, 7 giorni su 7 ha notificato al cliente di renderlo consapevole anche se non era necessaria alcuna azione da parte loro. Edgio ha una capacità di larghezza di banda di 250 Tbps ed è una delle uniche piattaforme edge sul mercato a fornire una sicurezza completa delle applicazioni e una protezione DDoS L3/4/7, supportata dal nostro team di sicurezza gestita e dal SOC 24 ore su 24, 7 giorni su 7.

Conclusione

Essendo una delle più grandi piattaforme di sicurezza edge-enabled globali in grado di elaborare oltre il 4% di tutto il traffico Internet, difendiamo e mitighiamo gli attacchi DDoS contro migliaia di siti Web dei clienti ogni giorno.

La mitigazione degli attacchi DDoS è solo un livello in una difesa efficace della sicurezza, ma rimane un elemento essenziale. Abbiamo creato Stonefish per difendere automaticamente le applicazioni web dei nostri clienti dagli attacchi di livello 3 e 4, integrando uno stack software intelligente sulla nostra enorme rete edge in grado di rilevare e mitigare queste minacce. Lavorando in collaborazione con i nostri team di assistenza, i clienti dispongono di un supporto DDoS proattivo che può collaborare con loro per bloccare gli attacchi DDoS da tutti i livelli.

Se sei interessato a saperne di più su come Edgio può aiutare la tua organizzazione a rafforzare la sua posizione in materia di sicurezza informatica, contattaci oggi stesso per programmare una valutazione completa con uno dei nostri esperti.