Gli attacchi DDoS sono attacchi basati sul volume progettati per sovraccaricare la larghezza di banda della rete del bersaglio e saturarla. Sfruttano le debolezze dei protocolli di rete e interrompono i servizi aziendali. Utilizzano i protocolli TCP e UDP e possono anche lanciare attacchi a livello di applicazione, come quelli sui server web. Un attacco DDoS può inviare molte richieste e sovraccaricare le risorse fino all'esaurimento.
Questa guida ti mostrerà come prevenire gli attacchi DDoS e quali misure puoi adottare per proteggere la tua organizzazione.
Cosa sono gli attacchi DDoS?
Un attacco DDoS è un attacco Distributed Denial of Service che prende di mira l'intera infrastruttura. Le minacce DDoS prendono di mira i sistemi informatici e possono sfruttare macchine e altre risorse in rete come i dispositivi IoT. Un attacco DDoS può bloccare inaspettatamente il traffico, intasare le autostrade dei dati e impedire ai normali pacchetti di dati di raggiungere la loro destinazione in tempo.
Come funzionano gli attacchi DDoS?
Gli attacchi DDoS vengono lanciati su reti collegate a macchine IoT. Queste reti possono anche avere altri dispositivi che potrebbero essere infettati da malware. Gli autori degli attacchi DDoS possono connettersi a queste macchine da remoto e alcuni di questi singoli dispositivi possono essere chiamati bot o zombie. Una botnet è un insieme di bot e, una volta creata, l'autore dell'attacco può dirigere e scalare l'attacco DDoS inviando istruzioni remote a ogni bot.
Quando una botnet prende di mira la rete o il server della vittima, invia richieste all'indirizzo IP dell'host. Queste richieste possono potenzialmente sovraccaricare il server di rete, causando un denial of service al suo traffico normale.
Ogni bot può sembrare provenire da un dispositivo Internet legittimo, il che rende difficile distinguerlo dagli altri bot.
Come rilevare un attacco DDoS in arrivo?
Uno dei modi migliori per prevenire un attacco DDoS è sapere che l'attacco sta avvenendo da qualche parte. Per rilevare un attacco DDoS, è necessario raccogliere informazioni sufficienti sul traffico di rete ed eseguire un'analisi approfondita. È possibile farlo manualmente o utilizzando strumenti di sicurezza automatizzati. I metodi di rilevamento saranno fondamentali per creare una solida strategia di difesa DDoS.
È possibile eseguire un'analisi in linea di tutti i pacchetti e un rilevamento fuori banda attraverso l'analisi dei record di flusso del traffico. Entrambi gli approcci possono essere utilizzati sui servizi cloud o sulle reti locali. Il rilevamento DDoS in linea essenziale includerà funzionalità quali sistemi di prevenzione delle intrusioni, firewall e bilanciatori di carico. Il rilevamento DDoS fuori banda può ricevere flussi di dati da sFlow, jFlow, NetFlow e altre reti che supportano IPFIX, router abilitati e switch. Comprende l'analisi dei dati di flusso per rilevare gli attacchi e mitigare automaticamente le minacce. È possibile migliorare l'accuratezza del rilevamento DDoS utilizzando tecnologie big data. I singoli server non dispongono di potenza di calcolo, memoria o risorse di archiviazione sufficienti per tracciare volumi di traffico elevati a livello globale. È possibile utilizzare le tecnologie dei big data per archiviare gli eventi di rete in tempo reale e accedere ai repository di dati sul cloud. In questo modo, è possibile potenziare il rilevamento DDoS ed evitare di realizzare costosi progetti interni che richiedono investimenti continui.
Ottenere informazioni più approfondite sulle minacce
Scoprite come il servizio di caccia alle minacce WatchTower di SentinelOne può far emergere maggiori informazioni e aiutarvi a superare gli attacchi.
Per saperne di piùMigliori pratiche per prevenire gli attacchi DDoS
Scollegate il modem e attendete qualche istante. Il vostro ISP riassegnerà l'indirizzo IP che qualcuno sta imitando a qualcun altro. Lasciate che venga rilevato da un nuovo IP che gli aggressori non conoscono. Aggiornate il vostro DNS con un nuovo indirizzo IP dinamico.
Gli aggressori continueranno a inviare pacchetti di dati a un IP non associato a voi.
Può essere molto più difficile se siete un'azienda affermata che possiede un indirizzo IP statico.
Puoi utilizzare la protezione fornita da servizi come SentinelOne per combattere gli attacchi DDoS.
Non sottoscrivere un abbonamento eccessivo alla larghezza di banda di rete solo perché è economico; ciò apre più spazio agli attacchi DDoS. Utilizza tecnologie automatizzate di mitigazione degli attacchi DDoS e strumenti di monitoraggio del traffico web per rilevare e bloccare immediatamente le minacce. Inoltre, affidatevi a un fornitore di servizi di terze parti per proteggere le applicazioni web ed eseguire audit del cloud. L'installazione di firewall per applicazioni web può anche aiutare a filtrare il traffico web sospetto. Questi strumenti forniranno una protezione di base per le piccole e medie imprese.
Ecco alcune best practice che potete implementare per imparare a prevenire gli attacchi DDoS.
1. Informatevi sul traffico della vostra rete
È necessario comprendere i modelli di traffico normali e anomali, identificare le anomalie che potrebbero indicare potenziali segni di un attacco DDoS in arrivo, valutare le vostre reti, esaminare la superficie di attacco della vostra rete, inclusi software, hardware e topologia complessiva, farsi un'idea del livello di rischio e dare priorità alla correzione dei rischi. Dovrete essere in grado di identificare la probabilità di un attacco, valutarne il potenziale impatto e neutralizzarlo.
2. Lavorate alla pianificazione della resilienza DDoS
Fate un inventario di tutte le vostre risorse web e cloud che necessitano di protezione dagli attacchi DDoS.
Ciò includerà le configurazioni di rete e dovrete creare un piano di risposta agli attacchi DDoS. Progettate un piano per mitigare gli attacchi, inclusi i protocolli di comunicazione e le procedure di escalation. Pianificate le fasi di ripristino per garantire la continuità operativa.Sviluppate la governance e il controllo delle azioni e dell'implementazione DDoS per garantire la conformità della vostra rete. Potete anche controllare il funzionamento quotidiano e prevenire guasti durante incidenti significativi.
3. Applicare le migliori misure di sicurezza della rete e dell'infrastruttura.
È inoltre possibile adottare misure quali l'implementazione di una protezione multilivello contro la minaccia e l'applicazione di limitazioni di velocità, l'aggiunta di limiti di velocità per gli endpoint API, la prevenzione dell'abuso delle API e la mitigazione del rischio di attacchi DDoS. Dopo aver identificato il tipo di attacco per le minacce DDoS, filtrare il traffico specifico o bloccare gli indirizzi IP dannosi. Ciò contribuirà a migliorare la sicurezza e a prevenire ulteriori attacchi.
4. Assegnare livelli di priorità DDoS
Questo perché non tutte le risorse web sono uguali. Alcune risorse devono essere protette prima di altre. Una volta compresa la criticità delle risorse, è possibile migliorare la sicurezza DDoS. Per alcune risorse è necessaria una protezione DDoS 24 ore su 24, 7 giorni su 7, e non è possibile compromettere le transazioni commerciali o le comunicazioni per proteggere la propria reputazione.
5. Prova la segmentazione di rete
Utilizza la segmentazione di rete per separare e distribuire le tue risorse, rendendole più difficili da colpire. Puoi collocare i tuoi server web su sottoreti pubbliche e mantenere i server di database su quelle private. Limitate l'accesso non autorizzato ai server di database dai browser web, dai server web ed escludete altri host. Potete limitare il traffico proveniente da altre destinazioni e paesi in cui i vostri utenti non si trovano. Ciò riduce l'esposizione a potenziali aggressori provenienti da regioni da cui non vi aspettate che provengano i vostri utenti. Potete utilizzare tecnologie di protezione del bilanciamento del carico per proteggere i server web e le risorse computazionali.
Come mitigare un attacco DDoS in corso?
Comprendere i segnali di allarme degli attacchi DDoS e cercare i sintomi di una connettività di rete instabile, come intranet, interruzioni intermittenti dei siti web e disconnessioni improvvise da Internet.
Picchi insoliti nell'utilizzo delle risorse, elevati volumi di spam e-mail, voci di log irregolari, arresti o blocchi imprevisti del sistema e problemi di connettività di rete sono segni di minacce DDoS.
Esegui un'analisi del traffico specifica per gli attacchi DDoS e determina quanto improvvisamente il traffico del tuo sito web aumenta o diminuisce. È inoltre possibile implementare il black hole routing, una tecnica che blocca il traffico dannoso prima che raggiunga i server di destinazione. Consente di bloccare il traffico proveniente da indirizzi IP e sottoreti specifici identificabili come fonte dell'attacco.
È possibile bloccare il traffico legato a indirizzi IP sconosciuti, monitorare le risorse o i dispositivi interni e cercare di impedire che vengano controllati da remoto o trasformati in botnet.
È possibile farlo mantenendo aggiornati i dispositivi e il software, utilizzando una buona connessione VPN, soluzioni anti-malware affidabili e password forti e uniche per l'accesso.
Utilizza servizi di rilevamento e rimozione delle botnet per ridurre il rischio di dirottamento dei tuoi dispositivi. Inizia a implementare tecnologie di monitoraggio continuo e analisi dei dati di log. Queste possono consentire un approccio proattivo per rispondere rapidamente agli attacchi DDoS.
È possibile sviluppare la resilienza contro le minacce DDoS esaminando regolarmente i log e mantenendo una solida infrastruttura di registrazione. Come parte della strategia di difesa DDoS, implementa le sfide CAPTCHA.
È in grado di verificare le interazioni umane, controllare l'utilizzo delle risorse e migliorare la sicurezza olistica delle applicazioni. I bot non possono completare le richieste CAPTCHA e inondare i siti web con tentativi di accesso non autorizzati. Sebbene ciò rappresenti un ostacolo aggiuntivo per gli utenti, le moderne soluzioni CAPTCHA possono fare miracoli nel bilanciare la sicurezza con l'esperienza utente. È anche possibile aggiungere sfide crittografiche durante il processo di richiesta per controllare gli utenti e verificarli. Questi puzzle possono includere problemi come risolvere equazioni matematiche, hashing o porre domande a cui le botnet non possono rispondere all'improvviso. Questo metodo può filtrare le richieste automatizzate dannose e garantire che le risorse del server siano assegnate agli utenti giusti e non siano sopraffatte dal traffico generato dai bot. Assegnate dei professionisti della sicurezza che possano essere ritenuti responsabili della gestione dei processi di ripristino DDoS. Dovreste anche specificare la posizione dei vostri backup dei dati e assicurarvi che siano archiviati e controllati regolarmente. Una buona pianificazione del ripristino DDoS delineerà anche i passaggi specifici per ripristinare le normali operazioni di sicurezza durante gli attacchi DDoS.
Esempi reali di attacchi DDoS
Blizzard è stata recentemente colpita da un attacco DDoS. I suoi giocatori non potranno connettersi a Overwatch, World of Warcraft e molti altri giochi. L'attacco influirà sui login e sulla latenza, e il team del servizio clienti di Blizzard ne ha preso atto e sta attualmente lavorando per risolverlo.
Blizzard ha affermato che l'attacco causerà un'elevata latenza e disconnessioni per alcuni giocatori.
Stanno lavorando attivamente per mitigare il problema. Elon Musk ha anche affermato che massicci attacchi informatici hanno interrotto X e ha indicato indirizzi IP che sembravano provenire dall'area dell'Ucraina. Gli attacchi DDoS sono stati lanciati più volte contro l'infrastruttura di X, causando interruzioni. Il nuovo Eleven11bot ha infettato 86.000 dispositivi con attacchi DDoS.
Ha preso di mira telecamere di sicurezza e videoregistratori di rete, e gli attacchi erano vagamente collegati all'Iran. Eleven11bot è stato scoperto dai ricercatori Nokia che hanno condiviso i dettagli dell'incidente.
La sua campagna di attacchi è stata eccezionale e molti dispositivi sono stati infettati anche in paesi come Messico, Regno Unito, Australia e Canada.
Mitigare gli attacchi DDoS con SentinelOne
SentinelOne fornisce una solida protezione DDoS attraverso la sua soluzione di sicurezza endpoint. Le sue funzionalità di sicurezza sono in grado di rilevare modelli di traffico anomali che indicano attacchi DDoS e contrastare la velocità delle macchine per interrompere la capacità degli aggressori di inondare le risorse di rete. L'agente endpoint cloud-agnostico di SentinelOne non richiede connettività cloud per funzionare e protegge i sistemi quando la connettività a Internet viene interrotta durante un attacco.
Quando SentinelOne rileva indicatori di minacce DDoS, raggruppa automaticamente gli avvisi correlati in intere trame narrative, evitando l'affaticamento da avvisi e fornendo al team di sicurezza un contesto utilizzabile. Questo approccio semplifica l'interpretazione del significato dei vettori di attacco e consente una risposta rapida e automatizzata alle minacce emergenti. La piattaforma eccelle nella correzione rapida e automatizzata, terminando i processi dannosi, spegnendo e mettendo in quarantena i dispositivi infetti che potrebbero far parte di una botnet e persino ripristinando gli eventi per riportare i sistemi allo stato precedente all'attacco.
L'architettura di SentinelOne semplifica notevolmente la gestione della sicurezza e riduce la complessità dell'infrastruttura. Poiché la piattaforma consolida più funzioni di sicurezza in un'unica potente console, non sono più necessarie diverse soluzioni per mitigare i diversi tipi di minacce DDoS. L'integrazione impedisce agli aggressori di sfruttare le lacune tra soluzioni di sicurezza isolate.
Il personale SOC di SentinelOne, attivo 24 ore su 24, 7 giorni su 7, offre un monitoraggio e una gestione eccellenti, riducendo le lacune di competenza in materia di sicurezza informatica della vostra organizzazione. I suoi esperti di sicurezza monitorano costantemente le minacce DDoS in arrivo prima della loro attivazione, migliorando la vostra posizione di sicurezza contro tali attacchi debilitanti. SentinelOne consente di modificare la strategia di protezione DDoS da reattiva a proattiva, garantendo la continuità operativa indipendentemente dalle sofisticate campagne di attacco.
Prenotate una demo live gratuita.
Conclusione
Proteggere la vostra azienda dagli attacchi DDoS richiede vigilanza, pianificazione e l'utilizzo degli strumenti di sicurezza adeguati. Con le best practice descritte in questo manuale, potrete ridurre notevolmente la vostra esposizione a questi attacchi dannosi. La protezione DDoS non è un'attività isolata, ma un processo ricorrente di monitoraggio, analisi e miglioramento della vostra posizione difensiva. Rimanete informati sui canali di attacco emergenti e sulle strategie di difesa per salvaguardare al meglio le vostre risorse online.
Non aspettate di essere attaccati per rafforzare la vostra difesa. Soluzioni end-to-end come SentinelOne possono trasformare il tuo piano di protezione DDoS da reattivo a proattivo. Fallo ora, verifica i tuoi attuali controlli di sicurezza, identifica i potenziali punti deboli e implementa un approccio di difesa multilivello che garantirà il funzionamento della tua azienda anche in presenza di minacce in continua evoluzione.
FAQs
Un attacco DDoS (Distributed Denial of Service) è un tentativo illegale di interrompere il traffico regolare di un server, servizio o rete di destinazione inondandolo con un'improvvisa quantità di traffico Internet. A differenza dei comuni attacchi DoS, gli attacchi DDoS utilizzano numerosi sistemi informatici dirottati come vettori di attacco, solitamente botnet costituite da migliaia di dispositivi dirottati. Gli attacchi utilizzano i protocolli TCP e UDP e conducono attacchi a livello di applicazione sui server web, occupando risorse in modo che gli utenti legittimi non possano accedere ai servizi.
Gli attacchi DDoS sono una minaccia grave perché possono mettere completamente fuori uso la tua attività online, causando enormi tempi di inattività e perdite di guadagni. In genere fungono da copertura per attacchi più distruttivi come violazioni dei dati o infezioni da malware. Le perdite finanziarie includono i costi diretti di mitigazione, le perdite indirette dovute alla perdita di reputazione e la perdita di fiducia dei clienti. I nuovi attacchi DDoS stanno diventando sempre più sofisticati, con alcuni in grado di attaccare più vulnerabilità contemporaneamente, rendendoli difficili da contrastare senza le giuste misure di protezione e gli strumenti adeguati.
Gli attacchi DDoS assumono molte forme. Gli attacchi di volume sovraccaricano le reti con traffico elevato utilizzando UDP, ICMP o pacchetti spoofati per esaurire la larghezza di banda. Gli attacchi di protocollo attaccano le risorse del server sfruttando le vulnerabilità dei protocolli di rete come TCP utilizzando SYN flood. Gli attacchi a livello di applicazione attaccano le vulnerabilità delle applicazioni web, presentandosi come richieste valide mentre esauriscono le risorse del server. È anche possibile incontrare attacchi di amplificazione che amplificano il volume di traffico e attacchi multivettoriali che utilizzano diverse tecniche per sovraccaricare le difese e rendere più difficile la mitigazione.
Sì, le reti di distribuzione dei contenuti (CDN) possono offrire una protezione estesa contro gli attacchi DDoS distribuendo il traffico su più server a livello globale. Le CDN intercettano il traffico degli attacchi ai margini della rete, impedendo che raggiunga il server di origine. Le CDN includono funzionalità integrate di filtraggio del traffico, che rilevano e bloccano automaticamente le richieste dannose prima che possano influire sull'infrastruttura. Le CDN includono anche la limitazione della velocità del traffico e possono scalare istantaneamente per far fronte a picchi di traffico improvvisi. Tuttavia, sono più efficaci se utilizzate come parte di una strategia di difesa completa e multilivello e non come soluzione indipendente.
A seguito di un attacco DDoS, eseguire un'analisi post-incidente completa per determinare i vettori di attacco e le vulnerabilità sfruttate. Rivedere il piano di risposta agli incidenti sulla base di ciò e installare sistemi di monitoraggio del traffico più avanzati per riconoscere i primi segnali di allarme. Verificare e rafforzare la progettazione della rete con una migliore segmentazione e valutare la possibilità di aumentare la capacità di banda. Potenziare la strategia di mitigazione degli attacchi DDoS con servizi di sicurezza specializzati, introdurre sfide CAPTCHA e puzzle crittografici e testare regolarmente le difese. Assumere esperti di sicurezza responsabili della gestione dei processi di ripristino DDoS ed eseguire regolarmente il backup dei dati.
La mitigazione dei bot previene gli attacchi DDoS distinguendo tra utenti autentici e traffico automatizzato dannoso. Applica tecniche come sfide CAPTCHA, analisi comportamentale e fingerprinting dei dispositivi per identificare e bloccare il traffico dei bot. Attraverso questi processi di autenticazione, è possibile impedire al traffico automatizzato di raggiungere le proprie risorse e consentire agli utenti reali di utilizzare i servizi senza ostacoli. Questi processi evitano il dirottamento dei dispositivi in botnet e possono prevenire efficacemente l'impatto della maggior parte degli attacchi DDoS. Le tecnologie di mitigazione dei bot sono ormai una componente fondamentale delle soluzioni complete di protezione DDoS.