Cos'è la protezione DDoS (Distributed Denial-of-Service)?

Mentre l'IBM® X-Force Threat Intelligence Index riporta che gli attacchi DDoS rappresentano il 2% degli attacchi a cui X-Force risponde, le interruzioni da essi causate possono essere costose. Infatti, secondo il report Cost of a Data Breach di IBM, il costo della perdita di vendite a causa di un attacco informatico ammonta in media a 1,47 milioni di dollari.

L'attivazione di solide misure di protezione DDoS aiuta a garantire il tempo di attività, a prevenire il tempo di inattività e le interruzioni aziendali e a proteggere la reputazione organizzativa.

La prevenzione degli attacchi DDoS (Distributed Denial-of-Service) inizia con la comprensione dei loro obiettivi tipici. Il traffico degli attacchi DDoS (Distributed Denial-of-Service) tende a concentrarsi su uno dei tre livelli del modello di rete Open Systems Interconnection (OSI):

• Il livello di applicazione (livello 7), che è il livello più alto, dove le applicazioni rivolte all'utente interagiscono con una rete.
• Il livello di trasporto (livello 4), che è il livello in cui i dati vengono trasmessi da e verso le singole applicazioni.
• Il livello di rete (livello 3), che gestisce i processi di indirizzamento, routing e inoltro dei dati per i dispositivi che interagiscono su reti diverse. 

Gli attacchi a livello di applicazione prendono di mira il livello applicativo di una rete. Un esempio è l'attacco HTTP Flood, in cui un utente malintenzionato invia un numero eccessivo di richieste HTTP da più dispositivi allo stesso sito web allo scopo di mandarlo in crash. Le query DNS attaccano i server del Domain Name System (DNS), sovraccaricandoli di richieste di siti web falsi.

Gli attacchi ai protocolli prendono di mira la rete e i livelli di trasporto. Esempi includono gli attacchi SYN flood, che sfruttano l'handshake TCP (un processo con cui due dispositivi stabiliscono una connessione l'uno con l'altro) per sovraccaricare i server con pacchetti fraudolenti. Gli attacchi Smurf sfruttano l'Internet Control Message Protocol (ICMP), inondando il dispositivo della vittima con centinaia o migliaia di risposte echo ICMP.

Gli attacchi volumetrici consumano tutta la larghezza di banda disponibile all'interno di una rete di destinazione o tra un servizio di destinazione e il resto della rete, impedendo così agli utenti legittimi di connettersi alle risorse di rete. 

Tra gli esempi rientrano i flood UDP, che inviano falsi pacchetti UDP (User Datagram Protocol) alle porte di un host di destinazione. Le risorse dell'host sono impegnate nel vano tentativo di trovare un'applicazione per ricevere questi pacchetti falsi. Gli attacchi ICMP flood, noti anche come "ping flood", bombardano i bersagli con richieste di echo ICMP da più indirizzi IP falsificati.

Gli attacchi multivettoriali sfruttano più vettori di attacco o nodi, anziché una singola fonte, per aumentare al massimo i danni e vanificare gli sforzi di mitigazione DDoS.

Gli autori dell'attacco potrebbero utilizzare più vettori contemporaneamente o passare da un vettore all'altro durante l'attacco, quando un vettore viene contrastato. Ad esempio, gli hacker potrebbero iniziare con un attacco smurf ma, quando il traffico dai dispositivi di rete viene interrotto, lanciare un UDP flood dalla loro botnet.

Certo. Secondo il Federal Bureau of Investigation (FBI)degli Stati Uniti: "Partecipare ad attacchi DDoS (Distributed Denial-of-Service) e ai servizi DDoS-for-hire è illegale. L'FBI e altre forze dell'ordine indagano sugli attacchi DDoS come crimini informatici". Le sanzioni possono includere:

• Sequestro di computer e altri dispositivi elettronici
• Arresto e procedimento penale
• Condanne detentive significative
• Sanzioni pecuniarie

Le soluzioni e i servizi di sicurezza DDoS (Distributed Denial-of-Service) sono spesso basate su funzionalità di rilevamento e risposta automatiche per aiutare le organizzazioni a identificare e agire su modelli anomali o picchi sospetti nel traffico di rete in tempo reale. Quando viene rilevata un'attività insolita, molte soluzioni di protezione DDoS (Distributed Denial-of-Service) bloccano istantaneamente il traffico dannoso o rimediano alle vulnerabilità che gli aggressori potrebbero tentare di utilizzare.

Gli strumenti e le tecniche comuni di prevenzione e mitigazione dei DDoS includono:

Un "black hole" (noto anche come "null route) è una parte di rete in cui il traffico in entrata viene eliminato senza essere elaborato o memorizzato. Il blackhole routing consiste nel deviare il traffico in entrata verso un black hole quando si sospetta un attacco DDoS (Distributed Denial-of-Service).

Lo svantaggio del blackhole routing è che questa tecnica può scartare sia il buono che il cattivo. Anche il traffico valido e forse prezioso potrebbe essere scartato, il che rende il blackhole routing uno strumento semplice ma eccessivamente diretto di fronte a un attacco.

Gli strumenti di identificazione e gestione dei bot contribuiscono a contrastare le minacce DDoS identificando il traffico dannoso proveniente dai bot.

Alcuni bot, come quelli utilizzati da Google per indicizzare le pagine nei risultati, sono benigni. Ma altri vengono utilizzati per fini malevoli. Ad esempio, molti attacchi DDoS vengono effettuati utilizzando botnet. Le botnet sono reti di bot create da criminali informatici attraverso il controllo di laptop e desktop, telefoni cellulari, dispositivi Internet of Things (IoT) e altri endpoint consumer o commerciali.

Il software di gestione dei bot viene spesso utilizzato per bloccare il traffico indesiderato o dannoso dei bot internet, consentendo al contempo ai bot utili di accedere alle risorse web. Molti di questi strumenti utilizzano l'intelligenza artificiale (AI) e il machine learning (ML) per distinguere i bot dai visitatori umani. Il software di gestione dei bot può bloccare i bot potenzialmente dannosi con test CAPTCHA o altre prove e limitare o respingere automaticamente i bot che potrebbero sovraccaricare il sistema. 

Una CDN è una rete di server distribuiti che può aiutare gli utenti ad accedere ai servizi online in modo più rapido e affidabile. Con una CDN attiva, le richieste degli utenti non tornano al server di origine del servizio, bensì vengono indirizzate a un server CDN geograficamente più vicino che fornisce il contenuto.

Le CDN possono contribuire a supportare gli sforzi di mitigazione del DDoS aumentando la capacità complessiva di traffico di un servizio. Quando un server CDN viene disconnesso da un attacco DDoS, il traffico degli utenti può essere indirizzato ad altre risorse server disponibili sulla rete.

Rilevamento e risposta degli endpoint (EDR), Rilevamento e risposta della rete (NDR), analisi del comportamento degli utenti e delle entità (UEBA) e strumenti simili possono monitorare l'infrastruttura di rete e i modelli di traffico alla ricerca di indicatori di compromissione. Spesso funzionano costruendo modelli di base del normale comportamento della rete e identificando le deviazioni dal modello che potrebbero indicare traffico dannoso.

Quando questi sistemi rilevano possibili segni di un DDoS, come i modelli di traffico anomali, possono attivare risposte agli incidenti in tempo reale, come la chiusura di connessioni di rete sospette.

Le impronte digitali dei dispositivi utilizzano le informazioni raccolte su software e hardware per determinare l'identità di dispositivi informatici specifici. Alcuni strumenti di protezione da attacchi DDoS (Distributed Denial-of-Service), come i sistemi di gestione dei bot, utilizzano database di impronte digitali per identificare bot noti o escludere i dispositivi associati a intenzioni dannose comprovate o sospette.

Il bilanciamento del carico è il processo di distribuzione del traffico di rete tra più server per ottimizzare la disponibilità delle applicazioni. Il bilanciamento del carico può aiutare a difendersi dagli attacchi DDoS indirizzando automaticamente il traffico lontano dai server sovraccarichi.

Le organizzazioni possono installare sistemi di bilanciamento del carico basati su hardware o software per elaborare il traffico. Possono anche utilizzare la rete anycast, che consente di assegnare un singolo indirizzo IP a più server o nodi in più località affinché il traffico possa essere condiviso tra quei server. Normalmente viene inviata una richiesta al server ottimale. Con l'aumentare del traffico, il carico si distribuisce, il che significa che i server sono meno inclini a essere sopraffatti.

Questi dispositivi possono essere dispositivi fisici o macchine virtuali installate sulla rete di un'azienda. Monitorano il traffico in entrata, rilevano schemi sospetti e bloccano o limitano il traffico potenzialmente pericoloso.

Poiché questi dispositivi sono installati localmente, non devono inviare traffico a un servizio basato su cloud per l'ispezione o lo scrubbing. I dispositivi di protezione dagli attacchi DDoS locali possono essere utili per le organizzazioni che richiedono bassi livelli di latenza, come le piattaforme per conferenze e giochi. 

Il filtraggio dei protocolli analizza il traffico di rete rispetto al normale comportamento dei protocolli di comunicazione comuni, come TCP, DNS e HTTPS. Se il traffico utilizzato da un particolare protocollo si discosta dalla sua norma, gli strumenti di filtro del protocollo possono segnalarlo o bloccarlo.

Ad esempio, gli attacchi di amplificazione DNS utilizzano indirizzi IP falsificati e richieste DNS dannose per inondare i dispositivi delle vittime con grandi quantità di dati. Il filtro del protocollo può aiutare a individuare ed eliminare queste richieste DNS insolite prima che possano causare danni. 

Il rate limiting pone dei limiti al numero di richieste in entrata che un server è autorizzato ad accettare durante un determinato periodo di tempo. Il servizio potrebbe rallentare anche per gli utenti legittimi, tuttavia il server non è sovraccarico. 

Gli scrubbing center sono reti o servizi di sicurezza specializzati in grado di filtrare il traffico dannoso dal traffico legittimo, utilizzando tecniche come l'autenticazione del traffico e il rilevamento delle anomalie. Gli scrubbing center bloccano il traffico dannoso consentendo al traffico legittimo di raggiungere la destinazione.

Mentre i firewall standard proteggono le reti a livello di porta, i WAF contribuiscono a garantire che le richieste siano sicure prima di inoltrarle ai server web. Un WAF può determinare quali tipi di richieste sono legittime e quali no, consentendogli di eliminare il traffico dannoso e prevenire attacchi a livello di applicazione.

Gli strumenti di AI e ML possono consentire mitigazioni DDoS (Distributed Denial-of-Service) adattive, che aiutano le organizzazioni a combattere gli attacchi DDoS riducendo al minimo le interruzioni per gli utenti legittimi. Analizzando e imparando dal traffico, gli strumenti di AI e ML possono perfezionare i loro sistemi di rilevamento per ridurre i falsi positivi che bloccherebbero erroneamente il traffico legittimo danneggiando le opportunità di business.

Probabilmente no. Gli attacchi DDoS vengono spesso lanciati da botnet costruite con centinaia o migliaia di dispositivi dirottati che appartengono a utenti innocenti. L'hacker che comanda la botnet di solito falsifica gli indirizzi IP dei dispositivi, quindi rintracciarli tutti può richiedere molto tempo e molto probabilmente non indicherà il vero colpevole.

Detto questo, in determinate circostanze e con risorse sufficienti, è possibile rintracciare alcuni attacchi DDoS. Utilizzando un'analisi forense avanzata in collaborazione con i fornitori di servizi Internet (ISP) e le forze dell'ordine, le organizzazioni potrebbero essere in grado di identificare i propri aggressori. Questo è più probabile nel caso di malintenzionati che eseguono più attacchi e potrebbero lasciare indizi sul loro modus operandi. 

Nella maggior parte dei casi, no. Se l'attacco è di piccole dimensioni o poco sofisticato, un firewall di rete tradizionale potrebbe offrire una certa protezione, ma un attacco complesso o su larga scala potrebbe passare inosservato.

Il problema è che la maggior parte dei firewall non riesce a riconoscere né a bloccare il traffico dannoso mascherato da traffico normale. Ad esempio, gli attacchi HTTP GET inviano più richieste di file da un server preso di mira, che potrebbero apparire normali agli strumenti di sicurezza di rete standard. 

Tuttavia, i firewall di applicazioni web (WAF) operano a un livello di rete diverso rispetto ai firewall tradizionali e hanno casi d'uso per mitigare gli attacchi DDoS, come menzionato in precedenza. 

Gli attacchi DDoS possono mettere offline le applicazioni, i siti web, i server e altre risorse di un'organizzazione, interrompendo il servizio per gli utenti e costando ingenti somme di denaro in termini di perdita di affari e danneggiamento della reputazione.

Gli attacchi DDoS (Distributed Denial-of-Service) possono anche impedire alle organizzazioni di rispettare i loro accordi sul livello di servizio (SLA), il che può allontanare i clienti. Se i sistemi di un'organizzazione non sono disponibili su richiesta, gli utenti potrebbero decidere di portare la propria attività altrove.

Queste minacce informatiche prendono sempre più di mira le infrastrutture critiche, come i servizi finanziari e i servizi pubblici. Un recente studio ha riferito che gli attacchi DDoS che prendono di mira le infrastrutture critiche sono aumentati del 55% negli ultimi quattro anni.

Inoltre, gli attacchi DDoS (Distributed Denial-of-Service) sono spesso utilizzati come copertura per attacchi informatici ancora più dannosi. Ad esempio, gli hacker a volte lanciano un attacco DDoS per distrarre la vittima in modo da poter diffondere ransomware in una rete mentre il team di cybersecurity è impegnato con l'attacco DDoS.

Le soluzioni di mitigazione degli attacchi DDoS (Distributed Denial-of-Service) e i servizi di protezione possono aiutare le organizzazioni a fermare del tutto molti di questi attacchi, prevenendo interruzioni in settori e servizi chiave. Se non riescono a fermare un attacco, possono ridurre significativamente i tempi di inattività per garantire una migliore continuità aziendale.

Le moderne soluzioni di protezione da DDoS possono aiutare a difendere sia gli asset on-premise che quelli basati su cloud, consentendo alle organizzazioni di proteggere le risorse indipendentemente da dove si trovano.