mitigare ddos

DoS e DDoS rientrano tra le tecniche di attacco informatico più temute dalle aziende di tutto il mondo sin dalla loro prima diffusione.

Con il termine DoSDenial-of-Service – nell’ambito della sicurezza informatica si riferisce ad un attacco informatico che ha come obiettivo quello di  “esaurire” le risorse di un servizio web.

Il DoS così come DDoS hanno bisogno di architetture di attacco incredibilmente complesse che mettono in evidenza il talento e la creatività degli hacker che le creano, nonché quanto sia importante studiarle e valutarle correttamente.

Sommario degli argomenti

Differenza tra gli attacchi Dos e DDos

Per comprendere meglio queste tattiche di attacco, definiamo innanzitutto i due principali tipi di attacchi Denial of Service, l’una evoluzione dell’altra: DoS e DDoS.

Un attacco DoS viene effettuato da un singolo dispositivo contro un singolo bersaglio, mentre un attacco DDoSDistributed Denial-of-Service – viene generato da numerose macchine contemporaneamente.
Il vantaggio è evidente: combinando più macchine, è possibile realizzare un attacco con una potenza notevolmente più grande.

Un attacco DoS è significativamente più facile da mitigare rispetto a un attacco DDoS, principalmente perché il primo non può generare molta larghezza di banda e, poiché proviene da un singolo indirizzo IP, può essere rapidamente riconosciuto, consentendo alla vittima di bloccare l’IP offensivo. Quando l’attacco proviene da decine di migliaia d’indirizzi IP distinti, identificarli diventa più difficile.

Gli attacchi DoS non sono più comuni a causa dell’efficacia dei contrattacchi; al contrario, gli attacchi DDoS continuano a crescere sia per quantità che per dimensione.

Dinamica di un attacco DDos

Gli attacchi DDoS vengono effettuati tramite reti di macchine collegate a Internet.

Queste reti sono costituite da computer e altri dispositivi, come i dispositivi IoT, che precedentemente sono stati infettati da malware che consente a un utente malintenzionato di gestirli in remoto. I singoli dispositivi sono noti come bot o computer zombie, mentre una rete di bot è nota come botnet.

Una volta che una botnet è stata creata, l’attaccante può inviare comandi da remoto a ciascun dispositivo infetto.
Quando la botnet prende di mira la rete o il server di una vittima, ogni bot invia richieste all’indirizzo IP della vittima, sovraccaricando conseguentemente il server o la rete e generando un’interruzione del servizio rispetto al traffico regolare.

Dal momento che ogni bot è un dispositivo connesso a Internet, distinguere il traffico generato dall’attacco attacco dal traffico di routine può essere difficile.

Riconoscere un attacco DDos

Il segno più visibile di un attacco DDoS è quando un sito Web o un servizio diventa inaspettatamente lento o non disponibile. Tuttavia, poiché una varietà di fattori, come un reale aumento del traffico, può generare problemi di prestazioni identici, in genere sono necessarie ulteriori analisi. Alcuni di questi segnali rivelatori di un attacco DDoS possono essere rilevati utilizzando strumenti di analisi del traffico:

  • Volumi di traffico sospetti provenienti da un singolo indirizzo IP o da un intervallo di indirizzi IP
  • Un improvviso aumento delle richieste a una singola pagina o endpoint.
  • Modelli di traffico imprevisti, come picchi in orari insoliti della giornata

Altri segnali di attacco DDoS più particolari potrebbero differire in base alla tipologia d’attacco.

Gli attacchi DDos più frequenti

Gli attacchi DDoS possono essere suddivisi in quattro gruppi principali in base alle tecniche utilizzate e agli obiettivi prefissati.

Alcuni di questi attacchi si concentrano sulla connessione TCP e puntano la loro intera strategia si basa sulla velocità.
Poiché la botnet non smette mai d’inondare il server di richieste di connessione, la banda di comunicazione del sistema informatico viene presto riempita, rendendo impossibile per qualsiasi utente la visualizzazione delle informazioni. Gli attacchi DDoS volumetrici sono un altro tipo di DDoS in cui la quantità di traffico generata è massiccia e incontrollabile.

Inoltre, gli attacchi di frammentazione, che tentano di esaurire le risorse di calcolo del sistema informatico inviando richieste di accesso incomplete.
Di conseguenza, la vittima dell’attacco spende una parte significativa delle sue risorse nel tentativo di assemblare le informazioni digitali che ha ricevuto.

Gli attacchi alle applicazioni sono l’ultimo tipo e non prendono di mira l’intera infrastruttura. Tuttavia, prendono di mira un software essenziale, rendendolo instabile, dunque inadoperabile.

Un piano di difesa contro gli attacchi DDoS

Nell’eventualità di un attacco DDoS, non c’è tempo per prendere in considerazione le contromisure appropriate, devono essere delineate in anticipo per consentire risposte rapide e ridurre al minimo qualsiasi impatto negativo.

In caso di aggressione, il passo iniziale potrebbe determinare l’esito.
La creazione di un piano di risposta agli incidenti è un primo passo importante nello sviluppo di una strategia difensiva completa.

Un piano di risposta agli attacchi Dos per l’azienda deve contenere alcuni elementi cruciali, che sono:

  • Preparazione di una lista di controllo dei sistemi. Definire un elenco completo di “risorse” da proteggere in caso di attacco, come server Web, componenti di rete o programmi software che si collegano direttamente a Internet e hanno indirizzi IP pubblici associati.

  • Creare una squadra per l’intervento. Stabilire i ruoli dei membri del team per garantire una risposta ordinata all’attacco quando si verifica.

  • Chiarire i processi di notifica ed escalation. Assicurati che tutti i membri della squadra sappiano chi avvisare in caso di attacco. Si devono elenca tutti i contatti interni ed esterni che devono essere informati dell’aggressione. Non di minor importanza, stabilire strategie di comunicazione per clienti, fornitori di servizi cloud e sicurezza.

Solo adottando insieme numerose misure di protezione è possibile mitigare le minacce alla sicurezza della rete.
Ciò comprende potenti sistemi di prevenzione delle intrusioni e di risposta alle minacce che integrano firewall, VPN, antispam, filtro dei contenuti e sicurezza della rete con soluzioni di mitigazione DDoS. Queste funzionalità di sicurezza di nuova generazione, se combinate, forniscono una difesa di rete affidabile e consistente in caso di attacco DDoS.

Le capacità di mitigazione degli attacchi DDoS sono limitate nella maggior parte delle apparecchiature di rete standard.

Di conseguenza, le aziende dovrebbero prendere in considerazione l’esternalizzazione della protezione DDoS per offrire una sicurezza più completa.
Le soluzioni di outsourcing del cloud consentono alle aziende di accedere a servizi avanzati di mitigazione e sicurezza con un budget prestabilito.

Misure di sicurezza per un’architettura di rete solida

L’implementazione di solide procedure di sicurezza può aiutare a mantenere sicure le reti aziendali.
Password complesse che vengono modificate regolarmente, procedure anti-phishing e firewall protetti che consentono un traffico esterno limitato sono tutti esempi di pratiche sicure.

Queste soluzioni non impediranno gli attacchi DDoS, ma forniranno una base di sicurezza fondamentale per aiutare le organizzazioni a limitare il loro impatto dannoso.

È fondamentale adoperarsi per una progettazione di rete sicura.
Le aziende dovrebbero configurare risorse di rete ridondanti in modo che se un server viene attaccato, gli altri possano gestire un aumento del traffico di rete. I server dovrebbero essere ubicati in luoghi geograficamente distinti ove possibile. Gli aggressori trovano più difficile prendere di mira le risorse distribuite.

Selezionare un servizio di mitigazione DDos

Le tradizionali strategie di mitigazione degli attacchi DDoS prevedevano l’investimento in hardware che sarebbe stato posizionato localmente e utilizzato per filtrare il traffico in entrata.

Questa strategia prevedeva il mantenimento di tecnologie costose, oltre alla creazione di una rete in grado di resistere a un attacco.
Qualsiasi soluzione locale non funzionerà se un attacco DDoS è abbastanza grave da neutralizzare l’architettura di rete a monte. È fondamentale valutare determinate qualità prima di investire in una soluzione di mitigazione DDoS basata su cloud.

  • Affidabilità

    qualsiasi piano di protezione non può avere successo senza una soluzione anti DDoS affidabile. Per mantenere attiva la rete e individuare le minacce emergenti, è necessario assicurarsi che il servizio abbia tassi di disponibilità eccellenti e professionisti specializzati nell’affidabilità del sito che lavorano 24 ore su 24. L’approccio della piattaforma dovrebbe essere incentrato su ridondanza, failover e una rete di data center di grandi dimensioni.

  • Flessibilità

    la flessibilità di creare policy e modelli ad hoc consente a un sito online di rispondere in tempo reale ai pericoli della rete. La possibilità di utilizzare le regole di pagine per propagare tali aggiornamenti sull’intera rete è fondamentale per mantenere operativo un sito durante un’aggressione.

  • Scalabilità

    una soluzione di successo deve essere sufficientemente flessibile da soddisfare le esigenze di un’azienda in via di sviluppo, affrontando al contempo gli attacchi DDoS di dimensioni crescenti. Ci sono stati attacchi con un throughput superiore a 2 terabit al secondo (Tbps) e non vi è alcun segno che questa tendenza stia cambiando.

  • Dimensioni della rete

    gli attacchi DDoS utilizzano una varietà di vettori di attacco e protocolli specifici che seguono schemi che appaiono da un’estremità all’altra d’Internet nel tempo. Un’ampia rete con notevoli flussi di dati consente a un servizio di mitigazione DDoS di valutare gli attacchi e rispondere in modo rapido ed efficiente, prevenendo spesso il loro verificarsi.

Conclusione

La lentezza della rete, la connessione, scarsa efficienza su una intranet aziendale o disservizi frequenti di siti Web sono tutti indicatori della presenza di un attacco DDoS in corso.

Dunque, se una perdita di efficienza persiste o sembra essere più grave del solito, è altamente possibile che la rete sia soggetta a un attacco DDoS, che l’organizzazione deve affrontare. La strategia più affidabile per proteggersi dagli attacchi DDoS, tuttavia, è investire in un sistema che funzioni in tempo reale e sia costantemente disponibile.

In conclusione, gli attacchi DDoS rimarranno un elemento importante nell’ambiente delle minacce alla sicurezza informatica aziendale. Tuttavia, essere adeguatamente preparati e adottare procedure di mitigazione rigorose è fondamentale per ridurre e prevenire tutte le conseguenze disastrose degli attacchi DDos.

Chi è Onorato Informatica?

Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.