IL MAGAZINE DEDICATO ALLE
INVESTIGAZIONI & SCIENZE FORENSI

di:  

Gli attacchi DDoS e le possibili soluzioni

Un singolo attacco può colpire una sola applicazione all’interno di un ambiente, ma l’attacco può saturare la connettività Internet e ripercuotersi su tutti i servizi che condividono lo stesso accesso Internet.

Un attacco DoS (Denial-of-Service) è un attacco mirato ad arrestare un computer o una rete, per impedirne l’accesso da parte degli utenti autorizzati.
Un attacco DDoS (Distributed Denial-of-Service) è una variante di un attacco DoS che impiega un vastissimo numero di computer infetti per sovraccaricare il bersaglio con traffico fasullo. Per raggiungere le dimensioni necessarie, gli attacchi DDoS vengono spesso eseguiti da botnet in grado di cooptare milioni di computer infetti, affinché partecipino involontariamente all’attacco, anche nel caso in cui non siano il bersaglio dell’attacco stesso.
L’attacco DDoS viene utilizzato più di frequente per via delle sue caratteristiche più potenti rispetto agli attacchi DoS. Basti pensare all’attacco DDoS che fece il gruppo informatico hacktivist Anonymous nel 2012 per protestare contro una legge antipirateria in America: riuscì a disabilitare tutti i siti web del Dipartimento di Giustizia degli Stati Uniti d’America, dell’FBI, della Casa Bianca, della MPAA (Motion Picture Association of America), della RIAA (Recording Industry Association of America), della Universal Music Group e della BMI (Broadcast Music, Inc).

Attacchi di questo tipo risultano devastanti per l’intero sistema che li subisce e il fenomeno pare essere in crescita.
D’altra parte si sa che ormai internet è diventato indispensabile e per questo sono numerosissime le aziende che propongono la migrazione di dati in cloud, una facilitazione sia per la condivisone di dati, sia per la loro salvaguardia e per numerosi altri usi più specifici.

Il fenomeno degli attacchi DDoS è stato descritto all’interno del Worldwide Infrastructure Security Report (WISR) di Arbor Networks. Marco Gioanola, Cloud Services Architect di Arbor Networks, ne evidenzia quanto segue:

  • il 61% degli operatori di data center o cloud ha subito attacchi che hanno saturato completamente la loro banda nel 2016;
  • il 21% degli operatori di data center o cloud ha subito oltre 50 attacchi DDoS al mese. 

Si fa quindi più pressante per i provider di servizi cloud e per i loro clienti la necessità di implementare adeguate misure di protezione della disponibilità.

Come si difende la disponibilità?  Gioanola evidenzia due principali tecniche per proteggere i servizi cloud e gli utenti che ne usufruiscono dal rischio di attacchi DDoS:

  1. L’utente finale può acquistare un’infrastruttura di protezione DDoS virtualizzata dal proprio fornitore di fiducia e abbinarla a un servizio di protezione DDoS offerto da un provider di servizi di sicurezza gestiti (MSSP) specializzato. Questa è la trasposizione in ambiente cloud del modello utilizzato per anni da molte aziende per proteggere i dati e le applicazioni residenti nei loro data center. Il vantaggio, dal punto di vista dell’utente finale, è la possibilità di utilizzare la stessa soluzione, già familiare, per i servizi cloud e non cloud.
  2. L’alternativa è l’acquisto, separato o nel quadro di un’offerta completa, di un servizio di protezione DDoS fornito dall’operatore del cloud. Molti provider di servizi Internet hanno implementato un’infrastruttura di rilevamento e mitigazione DDoS a difesa delle proprie attività e hanno poi cercato di far fruttare questa capacità offrendola ai propri clienti in forma di servizio gestito. I provider di servizi cloud stanno iniziando a fare lo stesso: dovendo proteggere le proprie infrastrutture, hanno pensato di sfruttare le apparecchiature e competenze già in loro possesso per fornire ai clienti servizi di sicurezza aggiuntivi di alto valore di cui è difficile liberarsi.

Entrambi i modelli descritti assicurano la protezione necessaria e la scelta dipende dalle esigenze dell’utente finale in rapporto alle capacità del provider di servizi cloud. Per gli operatori cloud, tuttavia, la seconda soluzione è indubbiamente preferibile, come dimostra il crescente numero di operatori che cercano di fornire esplicitamente servizi di protezione DDoS.

Gioanola afferma inoltre che “Questa non è generalmente una soluzione realizzabile da un singolo operatore, a meno che non si tratti di uno dei maggiori. Gli odierni attacchi DDoS volumetrici possono infatti superare i 500 Gbps, una portata che la grande maggioranza degli operatori cloud non riesce a gestire senza appoggiarsi a monte ad un servizio di protezione DDoS esterno. I fornitori di questi servizi sono, in alcuni casi, le aziende che offrono apparecchiature da utilizzare all’interno dell’ambiente cloud per fornire una protezione locale. In questi casi, è possibile adottare servizi integrati o talvolta interamente gestiti”.

Il WISR di Arbor ha evidenziato la forte impennata della percentuale di operatori di data center o cloud che hanno subito perdite durante il 2016 a causa degli attacchi DDoS. Il problema può essere certamente evitato, le soluzioni come quelle illustrate da Gioanola, ci mostrano una via di fuga.

A cura di Katja Casagranda
©Riproduzione riservata

CONDIVI QUESTO ARTICOLO!

Iscriviti alla newsletter

    La tua email *

    Numero di cellulare

    Nome *

    Cognome *

    *

    *

    Inserisci sotto il seguente codice: captcha