TECHTARGET

Come difendersi dagli attacchi DDOS: 4 regole per predisporre il piano di difesa

Per difendersi dagli attacchi DDoS è necessario avere consapevolezza dei modelli evolutivi del cybercrime. Dietro a motivazioni diverse, esiste una pluralità di vulnerabilità che possono essere presidiate con più attenzione. Ad esempio scegliendo un servizio di mitigazione in cloud

Pubblicato il 14 Giu 2019

DDOS attack cosa sono e come difendersi

È notizia di queste ore il potente attacco DDOS – Distributed denial of service attack che ha colpito Telegram, il noto servizio di messaggistica istantanea. Il fondatore e Ceo di Telegram Pavel Durov (che imputa l’attacco al governo cinese che, alle prese con le proteste di Hong Kong, vorrebbe limitare le comunicazioni tra i cittadini) si è però premurato di dichiarare che i dati sono al sicuro. L’attacco DDOS per sua natura infatti va a sovraccaricare i server che ne sono stati colpiti con tantissime richieste da elaborare (pare che Telegram sia stato colpito da traffico dati tra i 200 e 400 Gbps) comportando lavoro extra e quindi difficoltà di erogazione del servizio, ma non sottraggono informazioni né, in questo caso, inficiano la sicurezza dell’invio e ricezione dei messaggi. Analizziamo quindi nel dettaglio questa tipologia di minacce offrendo poi le indicazioni principali per difendersi.

Attacchi DDOS, cosa sono e come funzionano

“Il ritardo è la forma più letale dell’indecisione” scriveva un centinaio di anni fa lo storico inglese C. Northcote Parkinson. Applicato alla sicurezza informatica mai aforisma fu più calzante. Soprattutto nel caso in cui si debbano affrontare attacchi DDOS distribuiti che, per altro, continuano a crescere per numero e per tasso di distruzione. La buona notizia, dicono gli esperti, è che si può passare al contrattacco, preparando un programma più strategico che aiuta a stabilire delle contromisure.

Gli attacchi DDOS sono un pericolo costante per le aziende, in quanto forzano all’interruzione di un servizio. Un attacco DDOS (Distributed Denial of Service), in italiano Interruzione distribuita del servizio, consiste nel tempestare di richieste un sito, fino a metterlo ko e renderlo irraggiungibile. Questo permetterebbe agli hacker di causare problemi, in quanto il sito non sarebbe più raggiungibile nemmeno dagli stessi proprietari, interrompendo così di fatto qualsiasi servizio offerto, e ad esempio far perdere vantaggio competitivo ai competitor di un’azienda. Sono infatti spesso competitor a sferrare attacchi di questo tipo, per bloccare i propri avversari e prendere tempo.

Come difendersi da un attacco DDOS

Esistono alcune azioni da compiere per proteggere i sistemi informativi che permettono strategie di risposta e di difesa efficaci anche nel medio e nel lungo termine. Sono solo gli amministratori di sistema a essere chiamati in causa nel caso una volta sferrati attacchi di questo tipo, in quanto qualsiasi altro utente del sistema non può fare nulla. È però importante che vi sia consapevolezza in merito a questo tema e capacità di prevenire situazioni di pericolo. Ecco 4 regole necessarie per predisporre il piano di difesa e alcuni consigli utili.

Regola n. 1. Approccio anti DDOS attack: non sentirti immortale

Il primo punto di partenza è sapere che la migliore contromossa contro il cybercrime è una buona difesa, basata su un programma anti DDOS ben progettato e ben testato. Chi si occupa di sicurezza, infatti, deve essere molto lucido e concreto: prima o poi un attacco DDOS arriverà. L’importante è non farlo diventare una macchia nella propria carriera, ma un’occasione di dimostrare che si è saputo agire nel modo migliore, contingentando il più possibile i danni.

Regola n.2. Programmi DDOS: impara le differenze

Gli attacchi DDOS stanno diventando sempre più sofisticati e sperare che alla propria azienda non capitino mai è utopia. La pirateria informatica lavora assiduamente per indebolire le aziende; questo è il motivo per cui è necessario sviluppare dei piani di difesa e verificarli in maniera opportuna. Una buona strategia di prevenzione parte dalla conoscenza. Esistono, infatti, diversi tipi di attacchi DDOS ma, per razionalizzare metodi e approcci, è possibile farli rientrate in tre macro categorie:

  • Attacchi volumetrici: si tratta di attacchi che mirano a superare l’infrastruttura di rete, consumando larghezza di banda o esaurendo le risorse.
  • Attacchi di saturazione dello stato nativo del TCP – Gli attaccanti utilizzano questo metodo per abusare del TCP e saturare non soltanto le risorse dei server e dei firewall ma anche, il bilanciamento dei carichi di lavoro.
  • Attacchi a livello applicativo – L’obiettivo di questi attacchi si focalizzano su una singola applicazione o su di un servizio a livello 7.

Se gli attacchi volumetrici fino a qualche tempo fa rientravano tra i DDOS più comuni, oggi è sempre più frequente il caso di attacchi DDOS che combinano tutti e tre le tipologie appena descritte; il che non solo aumenta l’ampiezza ma anche la durata dell’attacco.

Regola n. 3. Conosci il tuo nemico

I driver che stanno dietro agli attacchi DDOS restano gli stessi: motivi politici e ideologici, vandalismo e una sorta di gamification perversa. Ebbene sì: gli esperti sottolineano come certe forme di cybercrime nascondano solo motivazioni perverse che spingono gli hacker a compromettere un’infrastruttura aziendale semplicemente per guadagnare dei bonus per i giochi on line.

Così gli attacchi DDOS sono scelti da hacktivisti e terroristi ma anche da chi vuole ricavare un utile utilizzando forme di ricatto o distruzione delle attività di un competitor. Utilizzare attacchi DDOS come tattica diversiva, ad esempio, è un fenomeno in costante crescita: sempre più spesso si ha notizia di campagne finalizzate a sferrare attacchi DDOS contro una rete durante un’esfiltrazione dei dati (che vengono così rubati senza che i responsabili ne abbiano cognizione).

In sintesi, oggi chiunque può sferrare un attacco DDOS: l’evoluzione delle comunità degli hacker sta portando a diversificare sia gli strumenti di attacco sia i programmi che li supportano nelle loro azioni cybercriminose (sempre più facili da utilizzare ma anche da scaricare dalla rete) e anche chi non ha competenze particolari può lanciare un attacco DDOS.

Le notizie più recenti confermano addirittura un listino prezzi orario per ricevere consulenza da un hacker esperto.

Regola n. 4. Non sottostimare alcun endpoint

Quel che è peggio è che questi attacchi possono essere sferrati usando qualsiasi dispositivo: da una semplice console di gioco a un router oppure un modem. Basta che l’apparato sia connesso a un sistema di rete, con un’impostazione predefinita e account e password predefiniti, per farli diventare un facile bersaglio del cybercriminale che può innestare il proprio attacco DDOS. La maggior parte di questi dispositivi, infatti, sono Universal Plug and Play (UPnP) e per questo caratterizzati da protocolli che possono essere facilmente compromessi.

Akamai Technologies ha scoperto che 4,1 milioni di dispositivi UPnP sono potenzialmente vulnerabili agli attacchi DDOS. Certo è che il numero di periferiche collegate a Internet in modo poco sicuro sta aumentando, il che accresce in maniera proporzionale la capacità degli attaccanti di generare attacchi sempre più potenti.

Allargando l’analisi, il “Q2 Global Threat Landscape”, redatto da Fortinet è un bollettino di guerra: pare che gli attacchi Botnet, utilizzati come DDOS o come elemento di nuovi ransomworm basati su botnet, come Hajime e Ivy’s Devil, stiano raggiungendo livelli senza precedenti. Questo è in gran parte dovuto alla proliferazione di dispositivi IoT, altamente vulnerabili. Il Q2/2017 ha registrato 2,9 miliardi di botnet con una media di 993 rilevamenti giornalieri per ogni organizzazione. Gli analisti hanno anche individuato 243 botnet uniche nel corso del trimestre. Il 45% delle aziende ha rilevato almeno una botnet attiva nel proprio ambiente durante il trimestre e circa il 3% ha riferito di essere stata infettata da 10 o più botnet.

DDOS Mitigation Services: prevenire un attacco utilizzando i servizi in cloud

Una soluzione caldeggiata dagli esperti è scegliere un servizio di prevenzione degli attacchi DDOS basato sul cloud. Ecco alcuni consigli.

  • È importante conoscere l’origine degli indirizzi dei servizi di mitigazione in cloud sia in fase di valutazione sia in fase di implementazione, anche per un fatto dimensionale: a seconda della grandezza di un’organizzazione, infatti, esistono diverse opzioni che possono comportare un reindirizzamento del traffico tramite un BGP (Border Gateway Protocol) oppure tramite DNS (Domain Name System).
  • Bisogna stabilire un processo di verifica dell’analisi su base periodica. Ci sono tutta una serie di modalità per cui l’IP di origine può essere violato: uno strumento come CloudPiercer, per esempio, è in grado di verificare alcuni di questi modi, ma bisogna considerare come non sempre si possa trattare di una violazione malevola (è il caso di uno sviluppatore web accidentalmente incluso in una serie di attività e che può alterare con i suoi record MX i pingback alle informazioni sui certificati X.509).
  • Ecco perché è fondamentale includere strumenti di scansione delle vulnerabilità, strumenti di test delle applicazioni, strumenti DLP o qualsiasi altro tool che possa sintonizzarsi sulle anomalie di rete o scrivere regole che aiutino a trovare e contrassegnare la violazione alla fonte. L’analisi automatica periodica risulta importante anche perché ogni valutazione diventa un esercizio puntuale rispetto a configurazioni e aggiornamenti che possono cambiare. L’importante, avvertono gli esperti, è vedere i DDOS Mitigation Services (DDOSMS) un po’ come una forma di assicurazione che si fa sempre e comunque, ma di cui si vede l’evidenza quando serve davvero.
  • L’azione migliore da fare è quella di verificare il servizio di mitigazione analogamente a come vengono eseguiti i test di disaster recovery e similari. Un provider di qualità non si esimerà dalla richiesta e non si limiterà ad effettuare la verifica, cogliendo l’occasione per mostrare tutte le sue capacità, ad esempio assicurando, in caso di saturazione della banda, che il servizio funzioni come previsto.
  • Un altro consiglio importante è quello di valutare l’uso di filtri e di regole di rilevamento rispetto all’andamento del traffico di rete che non provengono dallo scrubbing center. Alcuni fornitori di servizi, infatti, possono suggerire di filtrare tutto il traffico: può essere un buon approccio quando è possibile ma, sottolineano i consulenti della sicurezza, potrebbero sussistere situazioni che lo impediscono. È il caso di un’ampia base di applicazioni legacy, basate su sistemi di codifica IP molto rigidi o, in generale, difficili da modificare e che possono rendere difficile l’attività di filtering.
  • In altre situazioni in cui non è possibile filtrare tutto il traffico ad eccezione di quello dello scrubbing center, è possibile scegliere altre opzioni come, ad esempio, utilizzare un IDS o un altro sistema di rilevamento che avvisa il team di protezione di connessioni anomale che non provengono dal fornitore di servizi. Anche se questo non impedirà un attacco DDOS, almeno avvertirà l’organizzazione dell’anomalia generata, ad esempio, da una sonda investigativa di un hacker che sta pianificando un’azione malevola.

In conclusione, affrontare una mitigazione DDOS basata su DNS è decisamente una sfida, da un punto di vista realizzativo ci sono alcuni passi che le imprese devono compiere per ottenere la protezione che vogliono e che si aspettano. Certamente risalendo all’origine dell’anomalia ed effettuando opportuni test sul servizio di mitigazione DDOS e sui meccanismi di filtraggio e /o di rilevazione, le organizzazioni possono elevare i livelli di sicurezza ed essere estremamente più proattive.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4