I famigerati attacchi DDoS, tecniche di aggressione cyber piuttosto semplici da eseguire quanto efficaci, sono sempre più numerosi. Complice la pandemia, i tentativi ostili di bloccare l’operatività di server, reti e servizi crescono in numero e in volume. Ma cosa sono gli attacchi DDoS e come è possibile proteggersi da queste minacce?
L’interruzione di servizio distribuita consiste nel sommergere di richieste un sito web o un servizio online, in modo da bloccarlo e renderlo irraggiungibile agli utenti e anche ai suoi stessi gestori.
I DDoS causano agli obiettivi danni ingenti, mettendo in crisi la continuità operativa di molte attività.
Ecco perché la protezione da queste minacce rappresenta un obiettivo primario per i CISO.
Negli attacchi DDoS i malintenzionati puntano a compromettere infrastrutture critiche come aeroporti, ospedali, aziende e organizzazioni pubbliche bloccando le risorse di un sistema composto da una rete di server e computer connessi. Per farlo, solitamente viene utilizzato lo stratagemma di saturare la banda di comunicazione, inondando il network di un fiume di richieste d’accesso fasulle o incomplete provenienti simultaneamente da diverse macchine. Le macchine in questione generalmente fanno parte di una botnet, ovvero una rete di dispositivi e macchine infettate da malware e, dunque, controllabili remotamente dall’aggressore o dagli aggressori. Si tratta di una modalità di attacco piuttosto economica da mettere in pratica e soprattutto piuttosto efficace.
In linea generale, gli attacchi DDoS possono essere suddivisi in tre tipologie:
Fino a qualche anno fa, gli attacchi volumetrici erano i più comuni. Oggi, invece, numerosi attacchi DDoS combinano due o tre delle tipologie individuate, tanto che si parla di frequente di APT, ovvero minacce avanzate e persistenti.
L’aumento della complessità si associa a un allungamento dei tempi di rilevamento e a un incremento di diversi ordini di grandezza dei danni cagionati agli obiettivi.
L’aumento progressivo degli endpoint connessi in rete sfruttabili come botnet - pc desktop, server, laptop, smartphone, modem, router, ma anche sensori e oggetti IoT - ha ampliato a dismisura la superficie esposta al pericolo di attacchi DDoS.
A facilitare la vita degli attacker ci sono anche le nuove abitudini lavorative, che per molti mesi hanno privilegiato lo smart working come modalità di lavoro prevalente.
I remote worker spesso operano all’interno di reti domestiche mal protette, facilitando il lavoro degli attaccanti che utilizzano diverse tecniche di attacco. Ecco alcune di quelle più diffuse:
La prevenzione dagli attacchi DDoS che prendono di mira le vulnerabilità delle applicazioni non può prescindere dalla capacità di creare infrastrutture web resilienti e scalabili. Infrastrutture in grado di garantire la continuità operativa anche in condizioni particolarmente critiche, come durante i picchi di traffico. La miglior protezione dagli attacchi volumetrici, invece, è rappresentata da servizi ad hoc erogati da Internet Service Provider e operatori specializzati, che in pratica “ripuliscono” tutto il traffico in ingresso inviando ai sistemi informatici aziendali solo quello lecito. Gli attacchi più complessi, infine, richiedono spesso uno sforzo congiunto tra l’azienda e un Managed Security Service Provider, in grado di comprendere la natura dell’attacco e capire, per esempio, se l’attaccante agisce mosso da motivazioni etiche o puramente economiche o, ancora, se l’attacco è fine a se stesso oppure rappresenta una tattica diversiva che nasconde un’attività di esfiltrazione di dati più o meno sensibili.
La mitigazione degli attacchi DDoS permette di mantenere servizi online e siti web in funzione anche durante un attacco proteggendo in modo efficace reti e server. Questo tipo di attività tradizionalmente prevedeva l’acquisto di attrezzature installate on premise con cui filtrare il traffico in ingresso. Oggi, invece, il cloud offre gli ISP e ai MSSP la capacità di erogare servizi efficaci di prevenzione, che si adattano dinamicamente all’evoluzione dei vettori d’attacco. La mitigazione di un attacco DDoS operata attraverso un provider di servizi cloud contempla un percorso in 4 fasi:
I professionisti della DDoS mitigation offrono al cliente la garanzia dell’aggiornamento continuo sull’evoluzione delle minacce. I SOC, Security Operation Center, e i NOC, Network Operation Center, dei professionisti della sicurezza analizzano quotidianamente centinaia o migliaia di eventi (oltre 36 milioni quelli registrati sulla rete italiana di Fastweb nel corso del 2020) e sono quindi in grado di operare un’ottimizzazione adattiva dei servizi che si rivela efficace anche contro le minacce più complesse.