Come prevenire con anticipo un attacco DDoS

Si può sapere in anticipo se un'azienda sarà vittima di un attacco DDoS. Akamai spiega tutte le possibilità e l'importanza dell'intelligence in questi casi.

Business Tecnologie/Scenari
Capita che alcune aziende allertino i dipendenti su un potenziale attacco DDoS che si verificherà in una data precisa. Come si fa a fare una previsione del genere? Lo abbiamo chiesto a Nicola Ferioli, Senior Solutions Engineer di Akamai.

Ci ha spiegato che dipende dal tipo di attacco, da chi lo organizza e con quale motivazione. In generale, i tipi di attacchi si differenziano se sono scatenati dagli hacktivist (hacker attivisti), da organizzazioni criminali (tipicamente gruppi ATP) o da gruppi sponsorizzati da stati-nazione. 

Nel primo caso sono finalizzati ad azioni di protesta e i tipici bersagli sono gli enti governativi, aziende del settore energetico e simili. Le organizzazioni criminali sono orientate a estorcere denaro, gli stati-nazione al blocco di infrastrutture critiche.
nicolaferioli akamai 1Nicola Ferioli, Senior Solutions Engineer di Akamai

Monitoraggio e intelligence

Essendo diversi gli intenti e le metodologie con cui operano i diversi gruppi, possono essere diversi i segnali legati a questi eventi. In generale, alcuni tipi di attacchi (soprattutto se provenienti dal mondo dell'hacktivismo e delle proteste organizzate), lasciano molte tracce in Rete

Ci sono chat e gruppi di discussione su canali relativamente pubblici, che sono frequentati da personaggi che bazzicano in questi ambienti. Oppure sono nascosti nel dark web, ma sempre relativamente accessibili. Chi è introdotto in questi ambienti può "ascoltare" i discorsi che vengono fatti. Spesso una campagna verso un determinato bersaglio viene annunciata con anticipo. In casi estremi si arriva anche a dichiarare su Twitter l'avvio di una campagna in una data e con un obiettivo precisi. 

L'attività di ascolto viene fatta da alcuni gruppi aziendali o enti che hanno l'obiettivo di generare un allarme preventivo. Bersagli più grossi, come le infrastrutture critiche nazionali (telco, fornitori di energia ed elettricità, trasporti, sanità e alcuni servizi finanziari), hanno di solito dei centri dedicati che raccolgono informazioni di intelligence sui possibili attacchi

A protezione di queste realtà in Italia c'è un'unità della Polizia Postale che si chiama CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) che fa sostanzialmente rilevazione di minacce informatiche che possono avere un'origine terroristica o criminale. Monitora i canali in rete alla ricerca di informazioni che possono rivelare se in un certo periodo temporale potrebbe partire una serie di attacchi verso determinate aziende. L'attività è focalizzata esclusivamente sulle infrastrutture critiche.
ddos
Esistono poi altri apparati che hanno un target diverso: i CSIRT (Computer Security Incident Response Team) e i CERT (Computer Emergency Response Team). Sono gruppi che possono essere sia pubblici sia privati, e che si occupano di raccogliere informazioni di intelligence in un determinato settore. Possono operare per determinati settori (ad esempio finance o trasporti) o per determinate aziende private. 

CSIRT.it è pubblico ed è gestito dal Dipartimento delle Informazioni per la Sicurezza, ma ci sono anche grosse aziende che hanno al loro interno un dipartimento CSIRT proprio. Molti di questi gruppi si tengono in contatto e si scambiano informazioni. 

Anche Akamai ha un gruppo di questo tipo al suo interno, che ha il compito di fare intelligence e prevenzione (raccoglie i segnali che arrivano dai canali nascosti in rete, relativi ad attacchi contro specifici enti e altri settori). Emette bollettini periodici che hanno vari livelli di distribuzione. Alcuni sono pubblici, altri sono distribuiti solo ai clienti, altre sono informazioni riservate che vengono mandate solo a gruppi specifici di clienti che possono essere oggetto di particolari minacce. Inoltre, svolgono tutta l'attività di analisi e raccolta dati durante gli attacchi veri e propri e le analisi post attacco per studiare le strategie di miglioramento della difesa dei clienti.

Ci sono anche aziende private che fanno raccolta di informazioni di intelligence per conto terzi, che gestiscono in outsourcing la gestione della sicurezza delle aziende. In genere sono società che fanno anche servizi di analisi della reputazione del brand, e simili.

Estorsioni

Un'altra possibilità per sapere in anticipo e in dettaglio che si verificherà un attacco DDoS è quella legata all'estorsione da parte della criminalità organizzata. Ormai da anni la minaccia di attacchi DDoS viene fatta a fine estorsivo. Consiste nel cercare di farsi pagare da un'azienda per evitare di ricevere un attacco DDoS che metta fuori uso i sistemi informativi, oppure per fermare un attacco che è in corso. 

In questi casi il gruppo criminale intenzionato a fare cassa sceglie delle aziende target da ricattare. Invia una mail a una serie di contatti (presi da LinkedIn o indirizzi standard dell'azienda) all'interno dell'azienda chiedendo una determinata cifra in Bitcoin o altra criptovaluta per non scatenare un attacco DDoS. È un caso abbastanza comune. I termini di pagamento di solito sono molto ravvicinati, le cifre possono andare da poche centinaia di euro a decine di migliaia di euro per le vittime più grandi. A volte viene fatto anche una sorta di attacco dimostrativo di media dimensione per spaventare la vittima. 
denaro sporcoÈ il caso tipico in cui le aziende vengono a sapere direttamente che stanno per essere attaccate e con precisione quando. Da qui si scatenano le allerte. Quello che accade spesso è che il gruppo criminale bluffa. Non è realmente attrezzato per scatenare un attacco DDoS. Nel mucchio, spedendo lettere a molte potenziali vittime, si trova comunque qualcuna che paga, ignorando che il ricattatore non è in grado di mettere in atto la minaccia. 

Qualcuno a questo punto potrebbe contattare il service provider perché lo supporti nella gestione dell'attacco. I provider forniscono un servizio di protezione anti DDoS, ma è a pagamento e non è incluso di default nei contratti di connettività. È necessario stipulare un contratto apposito. La protezione anti DDoS può essere fatta in vari modi anche affidandosi ad aziende private. Akamai ha tanti clienti per la protezione anti DDoS.

Un esempio pratico è la campagna con email di estorsione iniziata a fine agosto da parte del gruppo criminale Armada Collective. È un gruppo storico che ogni tanto ricompare, analogamente a Fancy Bear. Le lettere di estorsione erano indirizzate in particolare al settore finance (banche e assicurazioni) in tutto il mondo. Non era un bluff, perché poi hanno portato effettivamente ad attacchi di dimensioni molto rilevanti.

Akamai sconsiglia fortemente di pagare questo tipo di riscatti, perché il pagamento non dà alcuna garanzia sul fatto che poi l'attacco non avvenga. Come in tutti i casi di estorsione, chi non paga magari viene attaccato per spingerlo a cambiare idea. Chi paga può essere sottoposto a un secondo ricatto. Pagare quindi non è utile all'atto pratico, se non per finanziare la criminalità.

Quando si ricevono queste lettere la cosa migliore da fare è alzare il livello d'allerta interno. Non serve molto allertare i dipendenti – cosa che invece è utile in caso di ransomware o phishing. Nel caso del DDoS il singolo dipendente non può fare molto. Il centro di controllo o il SOC invece possono prepararsi comunicando l'avvenuta minaccia a chi gestisce il servizio di protezione anti DDoS.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori