giovedì, Ottobre 6, 2022
HomeTechIn che modo l'IA aiuta ad affrontare la recrudescenza degli attacchi DDoS

In che modo l’IA aiuta ad affrontare la recrudescenza degli attacchi DDoS

La prima metà del 2021 ha visto un aumento del 33% su base annua degli attacchi DDoS. La larghezza di banda dell’attacco corrispondente è aumentata notevolmente insieme al numero di attacchi ad alto volume. Il ransomware è l’attacco informatico più diffuso negli ultimi mesi, ma gli attacchi DDoS rimangono significativi e le organizzazioni devono prepararsi.

L’uso dell’intelligenza artificiale e dell’apprendimento automatico per respingere DDoS e attacchi informatici non è un concetto nuovo. Molte aziende di sicurezza lo hanno provato in passato con diversi livelli di successo. Tuttavia, l’IA è ancora una volta al centro della scena, con Google che annuncia un nuovo strumento contro gli DDoS lanciato dalle botnet.

Un rappresentante di Google afferma di aver “costruito e maturato questa tecnologia con partner di progettazione e tester interni ed esterni negli ultimi anni”. La tecnologia esiste da anni, ma ci è voluto del tempo per raggiungere la maturità.

Aiutare il rilevamento e la mitigazione

L’apprendimento automatico o l’intelligenza artificiale sono necessari per combattere gli attacchi DDoS? La risposta è un sonoro sì. Gli attacchi denial of service distribuiti sono aumentati in termini di volume e sofisticatezza. “A causa delle tecniche di attacco sempre più sofisticate utilizzate dagli hacker, molti strumenti di sicurezza stanno raggiungendo i propri limiti”, afferma il leader del business ICT Marc Wilczek.

Le regole e il monitoraggio umano non riescono a tenere il passo con la natura dinamica degli attacchi DDoS, in particolare con il numero crescente di dispositivi abilitati a Internet. Gli autori di attacchi DDoS hanno modi creativi e discreti per introdurre malware in dispositivi mobili, IoT e altri dispositivi connessi a Internet per trasformarli in agenti di attacco DDoS. Questi dispositivi vengono utilizzati per inondare i server web di traffico anomalo senza essere facilmente individuati e bloccati.

Convenzionalmente, i responsabili della sicurezza umana prenderebbero un’osservazione e una valutazione noiosamente meticolose per determinare se il traffico è legittimo o dannoso. Non possono fare affidamento sul filtraggio degli indirizzi IP, poiché determinare e raggruppare uno per uno gli indirizzi IP offensivi sarebbe impossibile data l’ampia varietà di indirizzi IP presentati da dispositivi reali infetti da malware che sono stati trasformati in agenti DDoS.

Anche il filtraggio delle richieste di accesso in base all’ora o alla sola regione non è fattibile. Viene con il rischio di filtrare le richieste del server legittime, creando problemi per i clienti esistenti e potenziali o per i visitatori del sito.

L’intelligenza artificiale o l’apprendimento automatico aiutano a stabilire modelli di attività degli utenti legittimi e a rilevare il traffico che sembra deviante. Può sembrare semplice, ma non lo è. Diversi siti Web o server di app gestiscono diversi tipi di utenti con attività uniche. Sarebbe impossibile per gli esseri umani stabilire regole basate su queste attività, soprattutto quando sono coinvolti centinaia di migliaia o milioni di utenti.

Una volta rilevato l’attacco DDoS, quello che segue è il passaggio cruciale per ridurre al minimo l’impatto negativo dell’attacco e ripristinare i servizi che potrebbero essere stati interrotti. Per questo, anche l’IA gioca un ruolo importante.

I servizi di mitigazione DDoS che utilizzano l’intelligenza artificiale o l’apprendimento automatico deviano, filtrano e analizzano l’attacco per stabilire difese per attacchi simili in futuro. L’intelligenza artificiale è necessaria per automatizzare tutti questi passaggi per garantire una risposta tempestiva e prevenire esiti aggravati o la temuta interruzione completa nei siti Web e nei servizi Web.

Stabilire modelli e comportamenti incrociati

I dati sull’attività dell’utente che consentono la protezione DDoS basata sull’intelligenza artificiale includono vari dettagli che non vengono presi singolarmente ma abbinati per generare schemi che possono essere considerati regolari. Questi includono l’estensione dei servizi di back-end utilizzati, come la larghezza di banda della rete, l’elaborazione della CPU e la memoria.

Gli attacchi DDoS cercano di forzare un sistema a tempi di inattività, quindi tentano di monopolizzare quante più risorse possibile. Tuttavia, ci sono anche quelli che si avvicinano al normale utilizzo delle risorse e rendono difficile la distinzione. Invece di concentrarsi su prelievi elevati di risorse, sfruttano il volume degli attacchi per raggiungere il loro obiettivo finale di negare il servizio a un sito Web o agli utenti di un’app Web.

Questo trucco rende difficile distinguere le richieste legittime da quelle anomale. Tuttavia, quando le attività vengono confrontate con altri dati sull’utilizzo normale, emergono le distinzioni.

Ad esempio, è insolito quando grandi volumi di richieste vengono effettuati da indirizzi IP associati a una regione specifica che di solito ha poca attività in un determinato momento in uno specifico negozio o app Web. Questo aiuta a restringere la determinazione della legittimità o meno di specifici picchi di traffico.

Questo è un esempio estremamente semplificato, ma riassume come l’apprendimento automatico svolga un ruolo fondamentale. Ci vorrebbe un’eternità se la determinazione del modello e la corrispondenza incrociata delle attività fossero eseguite manualmente.

Macchina contro macchina

Sfortunatamente, l’apprendimento automatico e l’IA non sono esclusivi dei difensori informatici. Anche i cattivi attori possono sfruttare l’apprendimento automatico per i loro scopi. Uno studio della fine del 2020 ha rivelato la crescente incidenza del denial of service as a service (DDoSaaS) distribuito.

Il sottosettore della criminalità informatica DDoS ha ampliato la sua “attività” con il modello DDoS as a service (DDoSaaS) per i malintenzionati che non hanno il know-how tecnico per costruire le loro botnet. Sviluppano potenti botnet che possono quindi essere affittate a coloro che desiderano utilizzare DDoS per attaccare un concorrente aziendale, estorcere un’azienda o perseguire attacchi sponsorizzati dallo stato.

Affrontare DDoS è già abbastanza difficile. Le cose possono complicarsi quando gli attacchi sono resi più convenienti attraverso un’infrastruttura DDoS noleggiabile. Diventa logico impiegare l’apprendimento automatico per affrontare un avversario comparabile.

Le botnet stanno diventando straordinariamente efficaci nell’emulazione del traffico regolare e rendono estremamente difficile distinguere tra utenti legittimi e agenti DDoS. Questi costituiscono i cosiddetti attacchi di Livello 7 che si avvalgono di richieste “ben formate”. Senza l’IA, catturarli sarebbe un compito arduo.

Insomma

DDoS è diverso da altri attacchi informatici che di solito vengono intrapresi discretamente per superare le difese informatiche. Si tratta di un attacco in gran parte diretto il cui obiettivo è eliminare i siti Web o interrompere i servizi Web sovraccaricando i loro server con richieste dannose o indesiderate. Tuttavia, fermarli non è un processo semplice. Non è facile determinare quali richieste specifiche siano legittime e quali strane.

Stabilire modelli di attività legittime è fondamentale per distinguere le attività anomale una volta che appaiono in grandi volumi. Ciò richiede l’analisi di enormi quantità di dati, che sarebbero impossibili da gestire per gli esseri umani ma relativamente facili per le macchine.

Alla fine, l’annuncio di Google del suo strumento di difesa DDoS basato sull’apprendimento automatico non significa che sia l’unica opzione praticabile. Dimostra che l’IA funziona nella lotta contro gli attacchi denial of service distribuiti, con altre società di sicurezza che offrono soluzioni simili e forniscono buoni risultati.

RELATED ARTICLES
- Advertisment -
Google search engine

Most Popular

Recent Comments