Un attacco DDoS (Distributed Denial of Service) è un attacco che mira a inondare un sito web o un server con un volume schiacciante di richieste, provocando un sovraccarico che lo rende inaccessibile.
Questo articolo spiega il funzionamento degli attacchi DDoS e le misure da adottare per proteggersi.
Che cos’è un attacco DDoS?
Un attacco DDoS (Distributed Denial of Service) consiste nell’utilizzare più computer contemporaneamente per sovraccaricare un sito web o un server con una massa enorme di richieste, rendendo il servizio inaccessibile agli utenti legittimi. I criminali sfruttano spesso una botnet, ovvero una rete di dispositivi compromessi, per coordinare l’attacco. L’obiettivo è interrompere il servizio, impedirne l’accesso o sabotarne il funzionamento.
Le motivazioni dietro questi attacchi possono variare: attivismo politico, estorsione o intenzione di danneggiare un concorrente. Le conseguenze per le aziende colpite possono essere gravi. Qualsiasi azienda, indipendentemente dalle dimensioni o dal settore, può essere un potenziale bersaglio.
Misure di protezione contro gli attacchi DDoS
Prevenite questa minaccia e implementate misure adeguate:
- Consultate il vostro fornitore di accesso a Internet per valutare le soluzioni di protezione contro gli attacchi DDoS.
- Identificate le applicazioni critiche che generano una parte importante del fatturato (ad es. e-commerce) e proteggetele da attacchi DDoS.
- Conoscete lo “stato normale” della vostra rete e dei vostri sistemi per rilevare rapidamente eventuali anomalie.
- Verificate che i vostri sistemi siano “rinforzati” (disattivazione dei servizi non necessari, assegnazione rigorosa dei diritti di accesso, autenticazione rafforzata, ecc.) e che dispongano degli ultimi aggiornamenti di sicurezza.
- Assicuratevi che il vostro firewall abbia risorse sufficienti per continuare a funzionare anche in caso di attacco DDoS.
- Prendete in considerazione il blocco GeoIP, che consente di filtrare o limitare l’accesso agli indirizzi IP in base alla provenienza geografica. Questa misura può essere attivata rapidamente in caso di attacco per limitarne l’impatto.
- Un Web Application Firewall (WAF) riduce la superficie d’attacco dei servizi web.
- Prevedete soluzioni di emergenza, come un sito web semplificato ospitato presso un altro fornitore, da attivare rapidamente in caso di attacco.
- Mettete in atto una strategia di risposta agli attacchi DDoS. Le persone responsabili devono sapere cosa fare e disporre dei contatti necessari (ad es. fornitore di accesso, polizia). Idealmente, dovrebbe già essere stato testato un attacco simulato internamente.
Cosa fare in caso di attacco DDoS?
Di fronte a un attacco DDoS, l’obiettivo è resistere fino a quando i criminali interrompono l’azione. Ecco le fasi da seguire:
- Contattate il vostro fornitore di accesso a internet, che è l’interlocutore più adatto per intervenire.
- Registrate i dettagli dell’attacco. Queste informazioni saranno utili per un’analisi successiva e per l’eventuale denuncia.
- Assicuratevi di mantenere aperti dei canali di comunicazione minimi per informare i clienti (es. sito web alternativo, telefono, e-mail).
- Analizzate l’attacco e definite una strategia di difesa. È importante identificare:
- se l’attacco proviene da un numero limitato di indirizzi IP,
- se gli indirizzi IP sono falsificati,
- se è il sito web o un’applicazione ad essere colpiti.
- Non cedete a richieste di riscatto. L’UFCS sconsiglia formalmente il pagamento di un riscatto. È inoltre raccomandato di non contattare gli aggressori, ma di rivolgersi alla polizia per definire i passi successivi.
- Segnalate sistematicamente l’incidente all’UFCS e sporgete denuncia alle autorità competenti.
L’aggressore potrebbe tentare un nuovo attacco DDoS con tattiche diverse. In tal caso, analizzate nuovamente l’attacco e applicate le contromisure appropriate.
Per maggiori informazioni
Ufficio federale della cibersicurezza UFCS: DDoS
Ufficio federale della cibersicurezza UFCS: Attacco DDoS – E adesso?
