Sistema di sicurezza Enterprise integrato nella nostra piattaforma di hosting

C’è un detto tra le aziende tecnologiche secondo cui se non puoi permetterti di pagare per la sicurezza, non puoi permetterti neanche di gestire una violazione della sicurezza. Le conseguenze di una violazione possono essere piuttosto costose in termini di perdita di dati, coinvolgimento umano, costi per il ripristino dell’attività, danni alla reputazione e molto altro. Ecco perché le grandi aziende spendono milioni di dollari per proteggere i propri dati e dedicano molto tempo all’implementazione e al mantenimento di procedure di protezione dei dati e strategie di sicurezza. Naturalmente, le piccole imprese non possono permettersi tutto questo e di solito hanno un budget limitato dedicato alla sicurezza. Ecco quando e dove l’utilizzo dei servizi di hosting diventa fondamentale.

Sebbene i provider di hosting non possano essere gli unici responsabili della sicurezza del tuo sito web, quelli buoni possono fare molto per aiutarti a rimanere al sicuro e prevenire il peggio. Qui in SiteGround, abbiamo sviluppato un sistema di sicurezza centralizzato di livello Enterprise, per proteggere i siti, le applicazioni e i dati dei nostri clienti. La sua complessità è cresciuta nel tempo e descriverlo per intero sarebbe un compito enorme, ma in questo post ti daremo un accenno su come analizziamo e filtriamo il traffico web che arriva ai tuoi siti e come preveniamo ogni giorno centinaia di milioni di attacchi ai siti che ospitiamo.

Elementi efficaci per la sicurezza

Tutti i nostri server hanno un software di sicurezza essenziale installato su di essi e sistemi impostati per funzionare localmente per ogni server: un firewall per il traffico di rete, WAF, IDS/IPS (sistemi di rilevamento/prevenzione delle intrusioni come la prevenzione degli attacchi brute-force), analisi HTTP approfondita di metadati, protezione DDOS e molto altro. Questi sono mezzi classici ed efficaci per filtrare il traffico dannoso e prevenire attacchi brute-force, iniezioni di malware, denial of service e altro. Sotto la gestione competente dei nostri ingegneri DevOps e sistemisti, questi sistemi vengono costantemente migliorati e nell’insieme filtrano circa 1 TB di traffico nocivo e oltre 300 milioni di richieste dannose sui nostri server ogni giorno!

Ma se tali sistemi funzionano in modo autonomo, solo a livello di server, si verificano i seguenti problemi: nel caso in cui un hacker minacci il server A, anche se i singoli sistemi di sicurezza del server possono proteggere la macchina, non possono impedire all’hacker di tentare lo stesso attacco ai server B, C, etc. Per garantire che tutti i nostri server siano sempre protetti, abbiamo creato il nostro sistema di sicurezza centralizzato che raccoglie e analizza costantemente i dati da tutti i singoli sistemi di sicurezza dei server e distribuisce regole di sicurezza intelligenti che vengono applicate a tutte le macchine per proteggerle.

Analisi centralizzata dei big data

Il nostro sistema di sicurezza centralizzato si basa sui big data che riceve da tutti gli altri sistemi a livello di server e analizza le varie fonti di attacco, rileva modelli di comportamento e blocca gli attacchi a livello globale sull’intera piattaforma.

Feed dei dati del Web Application Firewall

Come accennato in precedenza, ogni server ha un WAF, la cui responsabilità principale è proteggere le applicazioni web come WordPress, Magento, Joomla, Drupal e altri da una varietà di attacchi come il cross-site scripting (XSS), la SQL injection e altro. Nel momento in cui veniamo a conoscenza di una minaccia alla sicurezza (vulnerabilità del software), i nostri ingegneri scrivono una nuova regola per correggerla e la aggiungono ai nostri WAF locali.

Ogni richiesta che non viene eliminata a livello di rete viene filtrata dal server WAF. Se la richiesta rientra nei parametri di una regola WAF, il WAF invia informazioni a riguardo al sistema di sicurezza centralizzato. Il sistema centralizzato registra e analizza tutte le richieste che innescano le regole WAF su tutti i nostri server (ad esempio il loro IP e altri metadati). Se rileva uno schema, come richieste multiple su più server provenienti dallo stesso indirizzo IP, il sistema centralizzato bloccherà quell’IP e distribuirà una regola a tutte le macchine nella nostra infrastruttura. A seconda del caso specifico e della regola, il sistema potrebbe limitare le richieste da un IP sospetto, che verrebbero contestate dal captcha, oppure potrebbe limitare completamente il traffico da questo verso uno qualsiasi dei nostri server per un periodo specifico (ore, giorni, settimane o anche permanentemente).

Modelli di traffico per la prevenzione degli attacchi brute-force

Come parte della nostra strategia di prevenzione degli attacchi brute-force, abbiamo implementato sistemi di monitoraggio locali su tutti i nostri server. Monitorano i tentativi di accesso a tutte le applicazioni ospitate presso di noi e segnalano ogni tentativo fallito al sistema di sicurezza centralizzato. Il sistema riceve una notifica del tentativo insieme a tutte le informazioni di sicurezza rilevanti ad esso correlate, come indirizzo IP, numero di richieste, cronologia IP e altro. Ogni 60 secondi il sistema di sicurezza centralizzato esamina i dati aggregati e analizza il volume e la frequenza dei metadati ripetitivi alla ricerca di schemi di comportamento. Quando i modelli sono chiaramente identificati, il sistema crea regole di blocco che vengono distribuite a tutti i server.

Un esempio potrebbe essere un caso costituito da più tentativi di accesso non riusciti su uno o più server, provenienti dallo stesso indirizzo IP in un breve periodo di tempo (sono impostate soglie di tempo diverse per una maggiore precisione ed efficacia). In un caso come questo, il nostro sistema contrassegnerebbe l’IP e le future richieste provenienti da esso verso uno qualsiasi dei nostri server verrebbero contestate con un captcha.

Molti altri sistemi inviano dati al nostro sistema di sicurezza centralizzato

Ci sono molti altri modi in cui alimentiamo i dati del nostro sistema di sicurezza centralizzato, come monitorare i tentativi di accesso ai servizi a livello di server (come FTP, EXIM, Dovecot, etc), revisione del traffico XML-RPC dei siti WordPress, immissione di modelli di traffico diversi da sistemi di terze parti e altro ancora.

Più fonti di dati rilevanti inseriamo, più grande diventa il pool di dati, il che migliora significativamente la potenza analitica e l’accuratezza del sistema di sicurezza centrale. Nel tempo la capacità del sistema di prevenire efficacemente gli attacchi cresce sempre di più.

Protezione di livello Enterprise su scala globale 

Per concludere, ecco alcuni numeri che possono aiutarti a capire la portata e l’effetto di ciò che fa il sistema di sicurezza centralizzato. Ogni giorno oltre 260 milioni di richieste vengono contestate con captcha e meno di 40.000 superano effettivamente la sfida. Abbiamo più di 50.000 IP attualmente contrassegnati come dannosi o sospetti e quasi la metà di essi è completamente bloccata dal raggiungere i nostri server. Il numero cambia ogni giorno, in quanto nuovi IP vengono segnalati e contestati a causa di attività sospette, mentre quelli segnalati in precedenza vengono cancellati dopo che la verifica è riuscita o dopo la scadenza del blocco.

Tutti questi numeri e il lavoro nell’insieme necessario per mantenere un sistema di sicurezza centralizzato efficace portano al numero che conta di più: il 99,99% del traffico dannoso viene bloccato prima che raggiunga il tuo sito web.