Trace Id is missing

Difesa DDoS durante le festività: La tua guida per proteggerti

Un portatile su cui sono visualizzati punti esclamativi rossi.
Anche se gli attacchi DDoS si verificano durante tutto l'anno, il periodo delle festività è quello che ne registra una maggiore incidenza. 

Gli attacchi DDoS vengono eseguiti da singoli dispositivi (bot) o da una rete di dispositivi (botnet) che sono stati infettati con malware e sono soliti inondare i siti web o i servizi con volumi elevati di traffico. Gli attacchi DDoS possono durare alcune giorni o perfino giorni.

  • Cosa: un attacco DDoS inonda un sito o un server con una quantità enorme di traffico per interrompere il servizio o metterlo offline.
  • Perché: i criminali usano gli attacchi DDoS per estorcere ai proprietari dei siti vantaggi finanziari o competitivi oppure per motivi politici.
  • Come: grazie al modello aziendale cybercrime-as-a-service, un attacco DDoS può essere ordinato da un servizio di sottoscrizione DDoS a soli 5 USD.1

I booter IP, noti anche come stressor DDoS e stressor IP, sono essenzialmente software-as-a-service per gli autori degli attacchi informatici. Questi servizi consentono a chiunque di sfruttare un botnet per lanciare campagne di attacco DDoS massive, senza dover possedere competenze di programmazione.

  • Uno: le organizzazioni generalmente hanno risorse ridotte dedicate al monitoraggio delle reti e applicazioni, in questo modo gli attori di minacce hanno maggiori possibilità di eseguire un attacco.
  • Due: il volume del traffico è ai massimi (quest'anno, ci si aspettano vendite per 1,33 trilioni USD), specialmente per i siti web di e-commerce e provider di giochi, rendendo difficile per lo staff IT distinguere tra traffico legittimo e non legittimo.
  • Tre: per gli utenti malintenzionati che cercano un guadagno finanziario, l'opportunità di proventi più redditizi può essere maggiore durante le festività poiché i ricavi sono al livello massimo e il tempo di attività è critico.

L'anno scorso abbiamo evidenziato come la stagione delle festività abbia registrato un aumento di questi attacchi, sottolineando la necessità di misure di difesa solide.

Grafico che mostra l'aumento di attacchi informatici durante la stagione delle festività per il 2022 e il 2023

Il tempo di inattività dei siti web o server durante la stagione delle festività di picco può causare una perdita di vendite e clienti, alti costi di ripristino o danni alla reputazione. L'impatto è ancora più significativo per le organizzazioni più piccole poiché per loro può essere più difficile ripristinare l'attività dopo un attacco.

In generale, un attacco DDoS rientra in tre categorie principali, con diversi attacchi informatici diversi in ogni categoria. Nuovi vettori di attacco DDoS emergono ogni giorno poiché i criminali informatici sfruttano tecniche più avanzate, come gli attacchi basati su intelligenza artificiale. Gli utenti malintenzionati possono usare più tipi di attacco, anche di diverse categorie, contro una rete.

Attacchi volumetrici: colpiscono la larghezza di banda. Sono progettati per sovraccaricare la rete con il traffico.

 

Esempio: un attacco di amplificazione DNS (Domain Name Server), che utilizza server DNS aperti per inviare una quantità elevata di traffico di risposta DNS al target

Attacchi al protocollo: colpiscono le risorse. Sfruttano la debolezza dello stack di protocollo di layer 3 e 4.

 

Esempio: Un attacco SYN, che consuma tutte le risorse del server disponibili, rendendo così non disponibile.

Attacchi al livello delle risorse: colpiscono i pacchetti di applicazioni. Interrompono la trasmissione dei dati tra gli host

 

Esempio: Un attacco HTTP/2 Rapid Reset, che invia un determinato numero di richieste HTTP usando INTESTAZIONI seguite da RST_STREAM e ripetendo questo schema per generare un elevato volume di traffico sui server HTTP/2 mirati.

Anche se non puoi completamente evitare di essere preso di mira da un attacco DDoS, una pianificazione proattiva e la preparazione possono aiutarti a creare una difesa più efficace.

Detto questo, è importante ricordarsi in che modo i livelli più alti di traffico nei periodi di festività possono rendere le anomalie difficili da rilevare.

  • Valuta rischi e vulnerabilità: inizia a identificare le applicazioni nella tua organizzazione che sono esposte a Internet pubblico. Inoltre, assicurati di prendere nota del comportamento normale della tua applicazione affinché tu possa rispondere rapidamente qualora si verificasse un comportamento anomalo.
  • Assicurati di essere protetto: con gli attacchi DDoS a livelli continuamente alti durante le festività, devi avere un servizio di protezione DDoS con funzionalità di mitigazione avanzate in grado di gestire gli attacchi su qualsiasi scala. Cerca funzionalità di servizio come il monitoraggio del traffico; protezione personalizzata in base alle specifiche della tua applicazione; telemetria di protezione DDoS, monitoraggio e avvisi e accesso a un team di risposta rapida.
  • Crea una strategia di risposta DDoS: disporre di una strategia di risposta è fondamentale per aiutarti a identificare, mitigare e riprendersi rapidamente dopo un attacco DDoS. Una parte chiave della strategia prevede la creazione di un team di risposta DDoS con  responsabilità e ruoli definiti in modo chiaro. Questo team di risposta DDoS deve comprendere in che modo identificare, mitigare e monitorare un attacco ed essere in grado di coordinarsi con gli stakeholder interni e i clienti.
  • Chiedi assistenza durante un attacco: se pensi di essere vittima di un attacco, contatta i professionisti tecnici giusti, come un team di risposta DDoS stabilito, per ottenere aiuto nelle indagini dell'attacco durante un attacco e anche per un'analisi successiva una volta concluso l'attacco.
  • Impara e adattati dopo un attacco: anche se vorrai muoverti il più rapidamente possibile dopo essere stato vittima di un attacco, è importante continuare a monitorare le risorse e condurre un'analisi retrospettiva dopo un attacco. Assicurati che l'analisi successiva all'attacco consideri quanto segue:
  • Si è verificata un interruzione del servizio oppure l'utente ha rilevato una mancanza di architettura scalabile?
  • Quali applicazioni o servizi hanno sofferto maggiormente?
  • Quanto è stata efficace la strategia di risposta DDoS e come può essere migliorata?

Articoli correlati

Aumenta la portata e l'efficacia delle minacce digitali dell'Asia orientale

Approfondisci ed esplora le tendenze emergenti nel panorama di minacce in continua evoluzione dell'Asia orientale, in cui la Cina conduce operazioni IO e informatiche di vasta portata, mentre gli attori di minacce informatiche della Corea del Nord dimostrano una sempre maggiore complessità

L'Iran si sta rivolgendo a operazioni informatiche di influenza per un maggiore effetto

Microsoft Threat Intelligence ha svelato maggiori operazioni informatiche di influenza in uscita dall'Iran. Ottieni dettagli sulle minacce delle nuove tecniche e dove esiste la possibilità di future minacce.

Le operazioni informatiche e di influenza della guerra nel campo di battaglia digitale dell'Ucraina

Microsoft Threat Intelligence esamina un anno di operazioni informatiche e di influenza in Ucraina, svela nuove tendenze nelle minacce informatiche e cosa aspettarsi mentre la guerra entra nel suo secondo anno

Segui Microsoft Security