Ecco come le imprese possono difendersi dagli attacchi DDoS
Negli attacchi Distributed Denial of Service (DDoS), il sistema o la rete vengono inondati di traffico online da più sorgenti affinché non siano più disponibili. I criminali informatici approfittano delle vulnerabilità del protocollo o del server DNS per colpire. Inoltre, negli attacchi su larga scala, capita che utilizzino malware per infettare migliaia di host, tutti con diversi indirizzi IP, e bloccare così la vittima, creando una cosiddetta botnet. In questo modo, una volta avviato l'attacco, diventa impossibile fermarlo bloccando una singola sorgente.
Alcuni attacchi DDoS sono solo forme di attivismo informatico temporaneo contro organizzazioni ritenute colpevoli di atti illeciti; esistono però anche casi più gravi classificabili come vere e proprie guerre informatiche o reati comuni, ad esempio i tentativi di ricattare le vittime. In questi casi, come negli attacchi ransomware, gli hacker propongono di sbloccare il servizio online in cambio di un corrispettivo in criptovalute. Sul mercato nero si trovano campagne DDoS a soli 150 dollari con cui è possibile mettere fuori uso un servizio online per una settimana.
Più terabit al secondo
A causa della loro facilità di implementazione, gli attacchi DDoS stanno diventando sempre più comuni: secondo uno studio condotto da Meril Research, pare rappresentino già un terzo di tutti gli episodi di interruzione.
Finora abbiamo assistito a grandi attacchi informatici; prendiamo ad esempio quello subito da Google nel 2017. L'attacco che ha colpito i suoi server è durato ben sei mesi, con un picco di 2,5 Tbps di traffico, e si sospetta sia stato opera di criminali informatici finanziati dallo Stato.
Neanche Amazon Web Services (AWS), principale concorrente di Google sul fronte cloud, è stata risparmiata. AWS è riuscita ancora una volta a contenere l'attacco in modo che non venissero compromesse le prestazioni dei suoi server, che forniscono hosting a migliaia di organizzazioni e rappresentano un terzo dei servizi cloud in commercio. Tuttavia, non tutti i grandi attacchi DDoS sono stati mitigati con successo.
Anche le infrastrutture fondamentali
Qualche settimana fa, le reti di diverse società di telecomunicazioni britanniche sono state vittime di una campagna DDoS coordinata. Le autorità del Regno Unito lo hanno definito un attacco contro le infrastrutture fondamentali, poiché queste forniscono servizi a importanti enti del Paese, come il sistema sanitario nazionale (NHS).
L'attacco sferrato a maggio in Belgio ha avuto conseguenze ancora più gravi. La vittima era un fornitore di servizi Internet (ISP) pubblico che gestisce le comunicazioni tra gli istituti di istruzione, le università e i centri di ricerca presenti nel Paese. In totale, sono stati bloccati i siti web di oltre 200 organizzazioni.
Inoltre, alcuni analisti di attacchi informatici hanno ipotizzato che il crash subito il mese scorso da Facebook e da altri servizi aziendali come WhatsApp sia stato causato da un attacco DDoS sferrato dagli hacker in risposta alle pessime pratiche commerciali di cui il colosso statunitense è stato accusato di recente.
Firewall installati localmente, sistemi specifici e mitigazione di terzi
Tutti questi eventi testimoniano la potenza e la pericolosità degli attacchi DDoS anche contro i servizi essenziali per il Paese, come la sanità e l'istruzione. È fondamentale quindi che le aziende adottino le misure necessarie per affrontarli e che gli MSP dispongano di un portafoglio di soluzioni capaci di ridurre la probabilità che gli attacchi DDoS blocchino o compromettano la connettività dei loro clienti:
- Utilizzo di firewall locali: grazie ai firewall presenti nelle appliance Firebox per la sicurezza di rete, è possibile bloccare indirizzi e porte IP e impostare soglie di traffico prestabilite per i server e il client.
- Sistemi di bilanciamento del carico: per le connessioni ISP è possibile implementare una soluzione di bilanciamento che consente di distribuire il traffico su diverse destinazioni ed evitare così il sovraccarico del server.
- Riduzione dei rischi associati a ISP e terze parti: negli attacchi su larga scala, è indispensabile che ISP e fornitori di servizi cloud per le aziende dispongano di soluzioni di mitigazione e lavorino in coordinazione per affrontare tali episodi.