Gli strumenti di DDoS mitigation per la business continuity

Il fenomeno del Distributed Denial of Service (DDoS) rappresenta una minaccia sempre più diffusa e insidiosa nel panorama della sicurezza informatica. Secondo il più recente rapporto Clusit (2023), gli attacchi DDoS rappresentano il 4% del totale delle minacce informatiche, ma soprattutto hanno registrato una significativa variazione percentuale annua del +258%: un incremento attribuibile, almeno in parte, al clima di tensione geopolitica scatenato dalla guerra in Ucraina e alle conseguenti attività di cyber warfare. In ogni caso, i dati confermano la necessità di adottare misure di DDoS Mitigation per preservare la continuità delle attività aziendali e proteggere le infrastrutture informatiche.

Attacchi DDoS: pericolosi e accessibili a chiunque

Indipendentemente dal target selezionato, che può essere un e-commerce, un sito web, un portale B2B o un provider DNS, gli attacchi DDoS hanno dimostrato il loro potenziale distruttivo. Un esempio significativo è stato l'attacco del 2016 al provider DNS Dyn, che ha reso irraggiungibili siti di alto profilo come Twitter, Netflix e GitHub causando milioni di dollari di danni. Visto che attacchi di questo tipo possono essere indirizzati a infrastrutture critiche, sistemi di pagamento, healthcare o di energy management, le conseguenze possono essere catastrofiche. 

Nonostante esistano diverse tecniche (la più comune è l’impiego di botnet), la dinamica di un attacco DDoS si basa sempre sul sovraccarico di un sistema o di una rete target tramite un elevatissimo volume di traffico, che di fatto satura le risorse disponibili. Il traffico è solitamente generato da un insieme di dispositivi infetti che, coordinati da un attaccante, inviano contemporaneamente una grande quantità di richieste ai server di destinazione, determinando interruzioni del servizio, rallentamenti delle prestazioni, perdite finanziarie e danni alla reputazione dell'azienda. 

Oltre che pericolosissima, la tecnica è inoltre accessibile a chiunque, poiché esiste un vero e proprio mercato di servizi DDoS as-a-service: bastano pochi dollari al mese per “noleggiare” intere botnet e sferrare attacchi micidiali, da centinaia di gigabit al secondo, con la pressione di un tasto.

Quali sono le fasi di un attacco DDOS

Le fasi di un attacco DDoS possono essere suddivise come segue:

1. Reclutamento della botnet: L'attaccante crea una rete di "bot" - computer compromessi attraverso malware o vulnerabilità - che possono essere utilizzati per generare traffico verso il bersaglio.  

2. Identificazione del bersaglio: L'aggressore seleziona il sito web, il servizio o l'infrastruttura che intende attaccare. Questo può essere fatto per vari motivi, come estorsione, attivismo, vendetta o per disturbare la concorrenza.  

3. Test iniziali: Prima di un attacco su larga scala, l'aggressore può condurre piccoli attacchi di prova per capire come risponde il bersaglio e per valutare le difese esistenti.  

4. Amplificazione: L'aggressore può utilizzare tecniche di amplificazione del traffico come la riflessione DNS o NTP per aumentare il volume del traffico inviato. Ciò comporta l'invio di piccole richieste a server mal configurati che rispondono con risposte molto più grandi al bersaglio.  

5. Esecuzione dell'attacco: L'attacco DDoS viene lanciato in piena forza. I bot inviano una quantità massiccia di richieste al server bersaglio, che può includere richieste di connessione TCP, pacchetti UDP, richieste HTTP, ecc.  

6. Mantenimento: L'attacco può essere mantenuto per un periodo di tempo prolungato per massimizzare l'impatto. L'aggressore può anche variare i vettori di attacco e le tecniche per aggirare le difese messe in atto dalla vittima.  

7. Terminazione: L'attacco DDoS può terminare quando l'aggressore decide di cessare l'attacco, quando la botnet viene disattivata, o quando le misure di mitigazione messe in atto dalla vittima o dai loro fornitori di servizi di sicurezza hanno successo.  

8. Post-attacco: Dopo un attacco DDoS, l'organizzazione colpita spesso conduce un'analisi forense per capire come è avvenuto l'attacco, valutare il danno e migliorare le difese per prevenire futuri attacchi.

La necessità di una DDoS Mitigation

Quanto appena descritto rende la DDoS Mitigation un pilastro della strategia di cybersecurity moderna, quanto meno per le aziende (praticamente tutte) che hanno servizi esposti sul web. La DDoS Mitigation implica l'utilizzo di una serie di tecniche e soluzioni in grado di rilevare, bloccare e ridurre l'impatto di un attacco DDoS, e va erogato da operatori con asset dedicati e competenze specialistiche per miscelare i benefici dell’automazione con le capacità di personalizzazione e di continuo miglioramento prestazionale offerte da operatori esperti. Lo scopo della DDoS Mitigation è l’identificazione proattiva degli attacchi con contestuale abbattimento dei falsi positivi che potrebbero bloccare l’accesso ai sistemi da parte di utenti legittimi, con conseguenze sulla produttività (nel caso di un utente interno) o sulla customer experience.

DDoSmash, il servizio di DDoS Mitigation di CDLAN

CDLAN offre ai propri clienti un servizio efficace di DDoS Mitigation, DDoSmash, il cui fine è rilevare e bloccare immediatamente gli attacchi DDoS riconoscendo il traffico anomalo in modo rapido, accurato e senza impatti sulle prestazioni (latenza) dei sistemi. Il servizio si basa sull’esperienza e su tecnologie allo stato dell’arte, nonché sulle competenze interne e un approccio strutturato: 

1. Il primo livello è il monitoraggio e l’analisi del traffico. Attraverso l’impiego di algoritmi intelligenti, la soluzione rileva in tempo reale traffici anomali e le relative sorgenti;
   
   
2. Il traffico in ingresso identificato come anomalo viene instradato sui centri di scrubbing per una successiva analisi e “pulizia”. Identificato il traffico dannoso, i centri di scrubbing lavorano per rimuoverlo dal flusso di traffico in arrivo, attraverso tecniche di isolamento;
   
   
3. Il traffico legittimo viene instradato verso il sistema o l'applicazione di destinazione, rigorosamente in tempo reale e in modo trasparente all’utilizzatore del sistema.
   
   

Con DDoSmash, il riconoscimento dell'attacco e la risposta avvengono in forma automatica, poiché in casi come questi la tempestività è un valore fondamentale e l’early detection una necessità assoluta. Il servizio fa uso di tecnologie all’avanguardia, non impatta sulla user experience e consta di un’attività di continuo adattamento alle dinamiche di attacco più recenti, innovative e insidiose. In caso di attacco accertato, CDLAN dispone di un team di risposta d'emergenza con supporto 24/7.

Le performance del servizio sono monitorate costantemente e le soglie di rilevamento e mitigazione sono personalizzate per massimizzarne l’efficienza, eliminare gli errori (falsi positivi e falsi negativi) e rendere il servizio in linea con le necessità aziendali di continuità del business. Infine, ma non per importanza, DDoSmash è flessibile e scalabile, con opzioni always-on e on-demand.