Si chiama Long-tail Dos ed è una nuova minaccia che genera colli di bottiglia nelle applicazioni web, arrivando addirittura a bloccare diversi processi applicativi e a più livelli. Perché si chiama così? Perché questo nuovo tipo di vulnerabilità manipola le code di servizio all’interno di un’applicazione web. Come sottolineano gli esperti, il monitoraggio dettagliato delle applicazioni può aiutare a difendersi da una minaccia long-tail DoS.
DoS sotto il mirino degli esperti
Gli attacchi Denial-of-Service, o DoS, continuano a impattare sulle organizzazioni di ogni settore, pubblico e privato. Il più grande attacco registrato? 1,7 TB di traffico compromesso, da un DoS che ha colpito una compagnia aerea con sede negli Stati Uniti nel marzo 2018.
Gli attaccanti, spinti da una combinazione di motivazioni ideologiche e finanziarie, prendono di mira le imprese di qualsiasi settore. Mantenere un alto livello di consapevolezza delle tendenze e di evoluzione profili di attacco è fondamentale per garantire la sicurezza dell’organizzazione e del business.
Log-tail DoS: come funziona e quali danni genera
Tra le ultime scoperte salite alle cronache rientra il Long-tail DoS. A differenza degli attacchi di Denial-of-Service distribuiti, una minaccia long-tail DoS comporta una leggera violazione del volume che sfrutta le limitazioni delle risorse tra i sistemi che supportano le applicazioni a più livelli. Invece di sovraccaricare un singolo server con un flusso di traffico proveniente da più nodi, la minaccia Long-tail DoS manipola le code di servizio all’interno di un’applicazione Web per interrompere i processi e il servizio di instradamento.
In che modo gli attacchi DoS compromettono le applicazioni Web?
Le applicazioni Web multilivello sono composte da processi che avvengono su più strati; la richiesta dell’utente finale viene inizialmente ricevuta, in genere tramite un server Web che esegue una query sui servizi di back-end; questi servizi sono spesso microservizi che costruiscono il contenuto richiesto e inviano i dati all’utente attraverso l’interfaccia preposta.
Queste applicazioni multistrato si basano su più sistemi e sottosistemi, ognuno dei quali è potenzialmente vulnerabile a traffico dannoso che può sovraccaricare le risorse e interrompere il servizio. Nella maggior parte degli incidenti DoS oggi, la tendenza è quella di scatenare attacchi distribuiti in presenza di una larghezza di banda maggiore, quindi gli attacchi long-tail, essendo atipici, sono è molto difficili da rilevare.
Come difendersi da un Long-tail DoS
Gli esperti sottolineano come il monitoraggio delle applicazioni costituisca un’importante prima difesa contro questi e altri attacchi a livello applicativo. Il monitoraggio delle applicazioni cosiddetto fine-grained aiuta a individuare picchi anomali rispetto alle metriche utilizzate come, ad esempio, quelle relative alla CPU e al traffico di query, che possono essere degli indicatori in merito all’insorgenza di criticità.
Gli aggressori che cercano di sferrare un attacco Long-tail DoS si trovano di fronte a un ostacolo significativo a livello di programmazione e di rete. Per interrompere le operazioni, l’utente malintenzionato deve avere una buona conoscenza delle interrelazioni tra i sistemi su cui viene eseguito un sito di e-commerce o una qualsiasi altra applicazione web. Ciò significa sapere su quali sistemi puntare e quanto traffico sia necessario a generare colli di bottiglia che potrebbero bloccare i vari processi applicativi. Tuttavia, come gli hacker hanno dimostrato più e più volte, i cyberattaccanti motivati possono superare alcune delle sfide più difficili. Quindi, una minaccia Long-tail DoS al momento potrebbe non essere in cima alla lista della sicurezza, ma le aziende devono imparare a capire con largo anticipo il potenziale legato a questo tipo di attacco per essere preparate a ogni eventualità presente e futura.