Nessun risultato trovato

    Come prevenire gli attacchi DDoS

    Attacchi DDoS

     

     Come prevenire gli attacchi DDoS: 5 passaggi per la prevenzione DDoS.

    Gli attacchi Distributed Denial of Service (DDoS) possono essere prevenuti attraverso l'implementazione di best practice di sicurezza e una preparazione avanzata:
     

    1 Rafforzamento contro gli attacchi: applica patch, aggiorna e modifica le impostazioni per rafforzare le risorse contro gli attacchi.
       

     2 Distribuisci l'architettura anti-DDoS: progetta le risorse in modo che siano difficili da trovare o attaccare in modo efficace, o se un attacco ha successo non distruggerà l'intera organizzazione.

    3 Distribuisci strumenti anti-DDoS: attiva funzionalità e aggiungi strumenti per proteggere o mitigare gli effetti degli attacchi DDoS.

     4 Progetta un playbook di risposta DDoS: preparati a come un team di sicurezza o operativo risponderà a un attacco DDoS e adotterà misure aggiuntive per la difesa.    

    5 Implementa il monitoraggio DDoS: osserva i segnali di un attacco e documenta gli attacchi per futuri miglioramenti.

    Gli attacchi DDoS sono minacce alla sicurezza che cercano di paralizzare una risorsa aziendale come applicazioni, siti Web, server e router, il che può portare rapidamente a gravi perdite per le vittime. Tuttavia, gli aggressori DDoS a volte prendono di mira anche i computer (o router) specifici di persone incaute, spesso per molestare i videogiocatori, ad esempio.

    Alcune organizzazioni potrebbero non essere in grado di preparare le difese contro gli attacchi DDoS utilizzando team interni a causa dell'urgenza o dei limiti delle risorse. Per assistenza in outsourcing con monitoraggio e difesa DDoS, vedere anche: Top 8 DDoS Vendors.
    1. Rafforzamento contro gli attacchi DDoS.

    Le migliori pratiche di sicurezza standard per la difesa della sicurezza informatica generica e stratificata possono fornire una protezione ragionevole contro gli attacchi DDoS. Tuttavia, alcune misure specifiche, come patch di vulnerabilità e rafforzamento IT, possono fornire una protezione ancora migliore.
    Patch e aggiorna tutte le risorse.

    Tutte le risorse dovrebbero essere patchate e completamente aggiornate. Per una difesa DDoS efficace, la priorità per l'applicazione di patch e gli aggiornamenti dovrebbe essere data ai dispositivi tra le risorse più preziose e Internet come firewall, gateway, siti Web e applicazioni.

    I team IT devono anche eseguire scansioni delle vulnerabilità e risolvere eventuali problemi rilevati come aggiornamenti mancanti, patch o mitigazioni. Alcune vulnerabilità deriveranno da patch trascurate o patch ripristinate a causa di conflitti con altri sistemi. Altre vulnerabilità possono essere scoperte in dispositivi completamente aggiornati che sono semplicemente configurati in modo errato.

    Un altro problema comune è la scoperta di schemi di autenticazione deboli come Transport Layer Security (TLS) versioni 1.0 e 1.1 che potrebbero rimanere abilitati. Le scansioni delle vulnerabilità assicurano che l'organizzazione possa individuare tempestivamente i punti deboli e, si spera, correggerli prima che un utente malintenzionato si accorga dell'opportunità.

    Scopri i migliori software e strumenti per la gestione delle patch
    Indurisci le applicazioni.

    Le applicazioni e i siti Web possono essere rafforzati utilizzando strumenti di sicurezza delle applicazioni o test di penetrazione per rilevare vulnerabilità o sviste di codifica. Occorre prestare particolare attenzione agli attacchi che potrebbero consentire vari tipi di attacchi DDoS.

    Ad esempio, un sito Web potrebbe incorporare file PDF che i client possono scaricare, ma una botnet potrebbe eseguire un attacco HTTP GET per inviare un numero elevato di richieste di download del file e sovraccaricare il server. Il codice del sito Web potrebbe essere modificato per sfidare gli utenti con captcha o altre funzionalità che impongono interazioni più sofisticate o per verificare l'accesso da parte di persone.
    Rafforza l'infrastruttura IT.

    Server, gateway, firewall, router e altre infrastrutture IT possono essere protette dagli attacchi modificando le impostazioni, regolando le configurazioni, eliminando le funzionalità non necessarie e installando funzionalità opzionali che forniscono ulteriore sicurezza di rete.

    L'indurimento include, ma non è limitato a:

         Blocca le porte inutilizzate su server e firewall
         Limita alcuni protocolli ai dispositivi sulla rete interna
         Imposta o riduci le soglie del limite di velocità per eliminare i pacchetti quando l'altro computer non risponde o effettua richieste ripetitive come:
             Pacchetti TCP (Transmission Control Protocol): sincronizzazione (SYN), riconoscimento della sincronizzazione (SYN-ACK) o riconoscimento (ACK)
             ICMP (Internet Control Message Protocol) o richieste ping
             Protocollo datagramma utente (UDP)
         Abilita i timeout per le connessioni semiaperte
         Rileva ed elimina pacchetti contraffatti, formattati in modo errato o malformati.

    Ad esempio, molte aziende non hanno bisogno di utilizzare applicazioni peer-to-peer (P2P), quindi dovrebbero bloccare tutto il traffico sulle porte 4662 e 4672 per tutti i dispositivi aziendali. Per le organizzazioni più grandi che utilizzano P2P per distribuire gli aggiornamenti del sistema operativo (SO), è necessario utilizzare le whitelist in modo che il traffico P2P possa provenire solo da posizioni autorizzate.

    Come altro esempio, i server DNS possono essere specificamente presi di mira dagli aggressori e sono vulnerabili a vari tipi di attacchi. Se l'organizzazione non lo utilizza, l'accesso UDP alla porta 53 (DNS) dovrebbe essere bloccato. Per ulteriori informazioni, vedere Come prevenire gli attacchi DNS.
    2. Distribuire l'architettura anti-DDoS.

    Oltre alla protezione avanzata, l'architettura IT può anche essere progettata per una maggiore resilienza e sicurezza contro gli attacchi DDoS. I team IT che effettuano l'overprovisioning dell'infrastruttura, oscurano potenziali obiettivi DDoS e isolano i dispositivi vulnerabili possono limitare l'efficacia degli attacchi DDoS e rafforzare la resilienza complessiva.
    Infrastruttura di overprovisioning.

    Durante la progettazione e la creazione di sistemi, stimare la larghezza di banda e altre esigenze, quindi progettare per il 200-500% delle esigenze di base. Sebbene ciò possa diventare costoso e non fermi direttamente gli attacchi DDoS, le risorse aggiuntive fanno guadagnare tempo per reagire a un attacco.

    I dispositivi ridondanti o i dispositivi di backup saranno generalmente necessari per un'architettura resiliente e possono essere utilizzati per ripristinare rapidamente i sistemi dopo un attacco DDoS. Tuttavia, queste risorse non dovrebbero essere semplicemente lanciate automaticamente perché ciò potrebbe esporle all'attacco DDoS in corso.

    Le piccole imprese dovrebbero prendere in considerazione la possibilità di separare i firewall dai router in modo che un dispositivo non porti l'intero carico. I team IT più sofisticati possono prendere in considerazione lo spostamento delle risorse nel cloud o l'utilizzo del bilanciamento del carico per distribuire il traffico su più data center perché dispongono delle competenze e delle risorse per gestire le maggiori esigenze di configurazione e sicurezza.

    Se i data center ridondanti risiedono in paesi diversi, o almeno in regioni diverse dello stesso paese. i data center si connettono a reti diverse ed eviteranno colli di bottiglia o singoli punti di errore vulnerabili agli attacchi DDoS. Naturalmente, allora il punto debole potrebbe diventare il bilanciamento del carico, quindi quel sistema dovrà essere rafforzato contro gli attacchi DDoS.
    Oscura il bersaglio.

    L'oscurità da sola non può proteggere alcun sistema, ma può aiutare a rendere gli attacchi più difficili per gli aggressori. I team di sicurezza devono controllare che nessuno pubblichi indirizzi IP o mappe dell'architettura di rete interna che potrebbero fornire agli hacker un obiettivo.

    Gli aggressori utilizzano spesso il protocollo ICMP o ping per individuare i bersagli. I server configurati per eliminare i pacchetti ICMP non invieranno una risposta e sembreranno non disponibili o non in linea.

    Un altro modo per oscurare le risorse è metterle dietro altra sicurezza. Ad esempio: le aziende possono utilizzare fornitori di reti private virtuali (VPN) o gateway Web sicuri (SWG) per collocare i propri sistemi interni dietro l'architettura di sicurezza di un provider più grande.
    Isola obiettivi.

    Un'organizzazione che anticipa o ha già subito attacchi DDoS potrebbe prendere in considerazione una rete di distribuzione dei contenuti (CDN) o una rete Anycast che distribuisce le risorse in posizioni e indirizzi IP diversi. Con una rete distribuita, gli attacchi DDoS saranno meno efficaci e in genere non possono adattarsi alla distribuzione delle risorse.

    Mentre il PC di un singolo utente può essere tecnicamente preso di mira da un attacco DDoS, la maggior parte degli aggressori vorrà causare più danni e selezionare obiettivi di maggiore impatto come server Web, applicazioni chiave o server DNS. L'IT può proteggere questi probabili obiettivi attraverso l'isolamento utilizzando una tecnologia fondamentale come la segmentazione della rete, gli elenchi di controllo degli accessi (ovvero: whitelisting) o l'hosting segregato.

    Qualsiasi separazione impedisce che un DDoS riuscito abbia un impatto su altre risorse chiave. Ad esempio, spostando un server Web su hosting di terze parti, gli attacchi DDoS riusciti sul server Web non paralizzeranno la posta elettronica, il VoIP (Voice over Internet Protocol) e altri servizi come DNS e Active Directory necessari all'azienda per funzionare o per rispondere all'attacco DDoS.
    3. Distribuire gli strumenti anti-DDoS

    Oltre alla protezione avanzata e alla progettazione, le organizzazioni possono ottenere strumenti o abilitare funzionalità che proteggono in modo specifico dagli attacchi DDoS. In questa sezione discuteremo l'abilitazione delle funzionalità e l'implementazione di strumenti aggiuntivi.

    Tuttavia, i team di sicurezza hanno diverse opzioni quando si tratta di implementare strumenti anti-DDoS nel contesto dell'architettura IT. Vedi anche Tre strategie di difesa DDoS fondamentali: vantaggi e svantaggi di seguito per una panoramica più completa.

    Abilita le funzionalità anti-DDoS

    Le funzionalità specifiche per DDoS sull'infrastruttura installata, come i server, possono essere abilitate per difendersi dagli attacchi DDoS. Ad esempio, il modulo mod_reqtimeout all'interno di Apache 2.2.15 può essere abilitato per proteggere da attacchi a livello di applicazione come l'attacco Slowloris.

    Router e gateway possono anche avere funzionalità avanzate che possono essere abilitate per difendersi da attacchi DDoS o DoS. Spesso questi saranno disattivati per impostazione predefinita, ma gli amministratori possono accedere alle funzionalità e abilitarle secondo necessità.

    Un Response Rate Limiter (RRL) può essere aggiunto o regolato su server, router e firewall per fornire un controllo granulare per difendersi da vari attacchi DDoS. Per esempio:

         Dopo un certo numero di richieste identiche dallo stesso IP di fila senza risposta, il sito Web può bloccare quell'indirizzo IP per evitare attacchi come attacchi HTTP GET o HTTP Post.
         Dopo un certo numero di richieste TCP senza alcuna risposta, ulteriori richieste verranno eliminate per evitare attacchi come gli attacchi SYN Flood che inviano molti pacchetti SYN (sincronizzazione del protocollo TCP) e ignorano le risposte del server.

    Come precauzione, l'indurimento per la sicurezza non dovrebbe arrivare al punto di distruggere la funzionalità dei protocolli utili. Come notato sopra, i pacchetti ICMP in entrata dall'esterno della rete possono essere bloccati per prevenire diversi tipi di attacchi DDoS e per oscurare la disponibilità del server.

    Tuttavia, l'ICMP svolge un ruolo fondamentale nella risoluzione dei problemi relativi alla rete e alla connettività. Invece di bloccare o eliminare i pacchetti da tutte le fonti, l'ICMP può essere limitato agli indirizzi IP consentiti interni all'organizzazione per abilitare la funzionalità bloccando anche gli attacchi DDoS esterni.
    Protezione DDoS aggiuntiva: firewall, dispositivi e servizi.

    I firewall possono fermare gli attacchi DDoS? Alcuni possono, ma per altri hanno bisogno di aiuto.

    I firewall costituivano tradizionalmente la difesa iniziale contro gli attacchi esterni e i firewall moderni possono bloccare molti dei vecchi e semplici attacchi DDoS come gli attacchi IP Null o ACK Fragmentation Flood. Tuttavia, i firewall non possono fermare gli attacchi che sembrano essere traffico normale (HTTP GET, HTTP POST, ecc.) e possono anche essere semplicemente sopraffatti da attacchi volumetrici.

    Ulteriori informazioni su: i tipi di attacchi DDoS.

    È necessario applicare una protezione aggiuntiva per proteggere le risorse esposte o critiche come i server delle applicazioni esposti a Internet o server e servizi DNS. Vari fornitori offrono software che aggiungono funzionalità anti-DDoS ai firewall o all'hardware per proteggersi specificamente dagli attacchi DDoS.

    Molte di queste soluzioni sono disponibili presso fornitori di dispositivi firewall affermati e affidabili, tra cui Check Point, Cisco, Fortinet, NetScout e Radware. Queste appliance anti-DDoS vengono installate davanti ai firewall e bloccano gli attacchi DDoS prima che abbiano effetto e possono utilizzare la baseline comportamentale del traffico per bloccare il traffico anomalo o il traffico con firme di attacco note.

    Tuttavia, le appliance locali difendono solo le reti locali e poiché le appliance di dimensioni fisse possono anche essere limitate nella loro capacità. Molte organizzazioni si rivolgono invece a fornitori di soluzioni DDoS basate su cloud come Akamai, Cloudflare e Amazon Web Services per fornire soluzioni aziendali complete.

    Ulteriori informazioni sulle soluzioni DDoS.
    4. Progettare un playbook di risposta DDoS.

    Dopo aver stabilito un'infrastruttura IT rafforzata e aggiornata protetta con architettura e strumenti anti-DDoS, i team IT e di sicurezza devono creare un playbook DDoS. Un documento formale può aiutare i team che rispondono in caso di attacco DDoS.

    Il piano di risposta può includere:

         Informazioni sui contatti
             Membri del team di risposta DDoS
             Informazioni di contatto del fornitore applicabile:
                 Fornitori di servizi Internet (ISP)
                 Servizio di accoglienza
                 Risposta agli incidenti
                 Fornitori DDoS
             Dirigenti aziendali
             Consulente legale
         Informazioni IT, come indirizzi IP, dispositivi di failover, mappe di rete, ecc.
         Passi da seguire in caso di attacco DDoS
         Alberi decisionali per l'escalation.

    Il piano dovrebbe essere praticato almeno una volta l'anno e verificato per garantire che tutte le informazioni di contatto, gli indirizzi IP e i processi rimangano aggiornati nel playbook. Alcuni elementi del playbook potrebbero persino essere automatizzati da alcuni strumenti anti-DDoS, quindi potrebbero essere implementate misure di sicurezza di base per attenuare il pericolo dell'attacco DDoS più velocemente di quanto le persone possano reagire.

    5. Distribuire il monitoraggio DDoS.

    Con un'infrastruttura rafforzata e un playbook efficace in mano, i team IT e i team di sicurezza possono quindi utilizzare il monitoraggio della rete o il monitoraggio della sicurezza o i fornitori per osservare i segni di un attacco DDoS in corso. Questo monitoraggio stabilirà linee di base del traffico "normale" in modo che i modelli di traffico anomali generino avvisi. Quanto prima un team riesce a rilevare un evento in corso, tanto più velocemente l'attacco può essere risolto.

    Risorse diverse saranno monitorate da strumenti diversi. Ad esempio, strumenti di monitoraggio della rete come DataDog, Munin, Zabbix possono monitorare le risorse di rete, ma possono essere meno efficaci nel monitorare le applicazioni.

    I team dovrebbero selezionare uno strumento appropriato per la risorsa e impostare avvisi per gli indicatori tipici di attacchi DDoS come improvvisi aumenti della domanda di larghezza di banda, aumenti anomali del traffico o sorgenti di traffico insolite. Gli avvisi possono essere indirizzati a strumenti SEIM (Security Incident and Event Monitoring), SOC (Security Operations Center), servizi Managed Detection and Response (MDR) o persino specialisti della sicurezza DDoS.

    Sebbene le risposte automatiche possano creare tempi di reazione rapidi e bloccare automaticamente gli attacchi DDoS, dovrebbero essere utilizzate con attenzione. I falsi positivi potrebbero portare a interruzioni delle operazioni, quindi alcuni avvisi dovranno comunque essere valutati dal team di sicurezza.

    Il monitoraggio fornisce anche una documentazione completa degli eventi per analisi future. Anche se le misure preventive non riescono a fermare un attacco specifico, un monitoraggio efficace fornirà le registrazioni per sviluppare una difesa efficace contro quel tipo di attacco in futuro.
    Tre strategie di difesa DDoS fondamentali: pro e contro.

    Quando si implementa la difesa DDoS, le strategie possono essere eseguite manualmente dai team IT, acquistate tramite hardware o software on-premise o implementate da strumenti e servizi basati su cloud o off-premise. Sebbene alcune di queste tecnologie possano sovrapporsi o rafforzarsi a vicenda, molte organizzazioni non dispongono delle risorse per applicare più soluzioni e devono scegliere un'unica soluzione che soddisfi le proprie esigenze. Ognuna di queste opzioni ha pro e contro significativi.
    Pro e contro della difesa fai da te.

    La difesa fai-da-te può certamente essere implementata con successo contro gli attacchi DDoS. Queste difese consistono spesso in impostazioni distribuite manualmente su software open source, firewall e server.

         Professionisti:
             Economico dal punto di vista del flusso di cassa e delle spese in conto capitale
             Solitamente compatibile con molte tecnologie
         Contro:
             Tempo di esecuzione e distribuzione
             Richiede potenzialmente competenze che vanno oltre le capacità di un piccolo team IT.
             Complesso da eseguire, integrare e proteggere.
             Difficile da scalare
             Capacità di filtraggio limitate
             Tende ad essere reattivo. Gli umani si muovono un po' lentamente
             In genere difende dall'ultimo attacco DDoS, non da quello successivo
             Spesso rimangono vincolati dalle larghezze di banda dell'infrastruttura locale
             Molto vulnerabile ai moderni attacchi su larga scala che raggiungono i 10 Gbps.

    Ad esempio: IP Blacklisting. Le soluzioni fai-da-te aggiungono manualmente gli indirizzi IP alla lista nera o alle liste negate. Veloce, facile, ma spesso in ritardo rispetto agli attacchi in costante movimento ed evoluzione. Quando si affrontano botnet di migliaia di endpoint, la blacklist degli IP può essere travolgente.
    Pro e contro degli strumenti/servizi di difesa on-premise.

    Le organizzazioni possono acquistare appliance e software specifici per difendersi dagli attacchi DDoS. Questi strumenti possono essere implementati davanti alle risorse da proteggere (firewall, server, ecc.) o installati sulle risorse stesse.

         Vantaggi degli strumenti locali:
             Può eseguire un filtraggio significativo. Spesso hanno la scansione del malware e l'ispezione approfondita dei pacchetti per migliorare il rilevamento, il filtraggio e la sicurezza.
             L'IT ha il pieno controllo sulle installazioni locali
             Offre più supporto e facilità d'uso rispetto alle soluzioni fai-da-te
         Contro:
             Tipicamente distribuito dietro tra l'ISP e l'organizzazione e soggetto a larghezze di banda limitate
             Anche le implementazioni cloud di dispositivi virtuali o software di protezione DDoS possono consumare quote di larghezza di banda o forzare l'implementazione di risorse aggiuntive, e forse piuttosto costose
             Più costoso per le spese in conto capitale e il flusso di cassa; spesso ingenti spese iniziali e manodopera significativa per l'implementazione e la configurazione
             Scalabilità limitata a causa di problemi relativi all'hardware e alla larghezza di banda della rete locale.
             Le firme malware e le blacklist IP dovranno essere aggiornate regolarmente
             Il ritardo può essere introdotto da team IT sovraccarichi che hanno priorità più elevate rispetto all'aggiornamento degli elenchi di sicurezza anti-DDoS
             Moderatamente difficile da usare e da integrare. Deve essere distribuito manualmente. Le appliance richiedono anche tempi di spedizione e tempi di implementazione fisica che possono ulteriormente ritardare l'implementazione.
             Spesso può proteggere solo la rete locale o risorse specifiche (sito Web, applicazione).

    Un esempio è l'IP Blacklisting: un'appliance o un'applicazione firewall locale può essere precaricata con indirizzi IP inseriti nella blacklist per note botnet dannose in base all'esperienza del fornitore. Questa lista nera sarà molto più completa di una lista fai-da-te, ma farà parte di una soluzione più costosa e richiederà aggiornamenti regolari.
    Pro e contro degli strumenti/servizi di difesa basati su cloud

    Gli strumenti di protezione DDoS basati su cloud forniscono una sicurezza più completa per l'intera organizzazione.

         Vantaggi della protezione DDoS basata su cloud:
             Gli strumenti DDoS basati su cloud proteggono più di una singola rete o risorsa locale.
             Alcuni provider ISP offrono una protezione DDoS poco costosa come servizio e in genere offrono una copertura più limitata rispetto agli specialisti DDoS, ma bloccheranno comunque il traffico prima di poter limitare la larghezza di banda della rete locale
             Spesso meno costosi di dispositivi o software locali a breve termine perché offerti come soluzioni on-demand o SaaS
             Rapidamente implementato e integrato
             La protezione DDoS SaaS gestita non richiede tempi tecnici interni per la manutenzione.
             Distribuisci spesso la scansione del malware e l'ispezione approfondita dei pacchetti per prevenire una varietà di attacchi
             Ridimensionamento praticamente illimitato con filtraggio significativo, molto facile da usare e configurare
             In genere offre una migliore protezione contro gli attacchi basati su Internet.

    Contro:
             Offre poca protezione contro gli attacchi dall'interno di una rete
             I costi di abbonamento per i prodotti SaaS possono ancora essere costosi
             Offre meno controllo e personalizzazione rispetto agli elettrodomestici locali o alla personalizzazione fai-da-te.

    Utilizzando l'esempio di blacklisting IP, gli strumenti SaaS DDoS vengono generalmente offerti precaricati con indirizzi IP inseriti nella blacklist per botnet dannose ben note in base all'esperienza del fornitore. Questa lista nera sarà molto più completa di una lista fai da te e sarà continuamente aggiornata dal provider SaaS.

    Conclusione: prevenzione DDoS.

    Gli aggressori DDoS cercano di impedire l'accesso a una risorsa per gli utenti legittimi. A seconda della risorsa interessata, l'accesso negato potrebbe essere semplicemente fastidioso o potrebbe causare la disabilitazione di un'intera azienda.

    Il gruppo Rand ha intervistato le aziende e ha riferito che una singola ora di inattività costa più di $ 100.000 per il 98% degli intervistati. Oltre un terzo delle aziende intervistate ha stimato costi di inattività superiori a 1 milione di dollari.

    Un'efficace prevenzione degli attacchi DDoS può evitare gli scenari peggiori possibili e mantenere l'attività operativa anche se i componenti potrebbero essere interrotti. Quando un attacco DDoS ha successo, una pianificazione efficace consente un ripristino rapido e danni limitati. Le organizzazioni grandi e piccole trarranno vantaggio dall'investire tempo e risorse nella protezione dagli attacchi DDoS e nella resilienza dell'infrastruttura IT.

    Utilizzare una risorsa aziendale come applicazioni, siti Web, server e router, che può portare rapidamente a gravi perdite per le vittime. Tuttavia, gli aggressori DDoS a volte prendono di mira anche i computer (o router) specifici di persone incaute, spesso per molestare i videogiocatori, ad esempio.

    Fortunatamente, molti attacchi DDoS possono essere prevenuti attraverso una preparazione avanzata. Entreremo nei dettagli di seguito, ma ecco cinque passaggi per prevenire gli attacchi ransomware, insieme ai collegamenti per andare avanti:

         Rafforzamento contro gli attacchi: applica patch, aggiorna e modifica le impostazioni per rafforzare le risorse contro gli attacchi
         Distribuisci l'architettura anti-DDoS: progetta le risorse in modo che siano difficili da trovare o attaccare in modo efficace o, se un attacco ha successo, non distruggerà l'intera organizzazione.
         Distribuisci strumenti anti-DDoS: attiva funzionalità e aggiungi strumenti per proteggere o mitigare gli effetti degli attacchi DDoS
         Progettare un playbook di risposta DDoS: prepararsi a come un team operativo o di sicurezza risponderà a un attacco DDoS e adottare misure aggiuntive per la difesa.
         Implementa il monitoraggio DDoS: osserva i segnali di un attacco e documenta gli attacchi per futuri miglioramenti.

    Le pratiche standard per la difesa generica della sicurezza informatica possono fornire una protezione ragionevole contro gli attacchi DDoS. Tuttavia, alcune misure specifiche possono fornire una protezione ancora migliore.
    Vulnerabilità Patch e aggiornamenti.

    Tutte le risorse dovrebbero essere patchate e completamente aggiornate. Per una difesa DDoS efficace, la priorità per l'applicazione di patch e gli aggiornamenti dovrebbe essere data ai dispositivi tra le risorse più preziose e Internet come firewall, gateway, siti Web e applicazioni.

    I team IT devono anche eseguire scansioni delle vulnerabilità e risolvere eventuali problemi rilevati come aggiornamenti mancanti, patch o mitigazioni. A volte le patch possono essere trascurate o forzate a eseguire il rollback a causa di conflitti con altri sistemi e altre volte un dispositivo può essere completamente aggiornato e semplicemente configurato in modo errato.

    Un altro problema comune è la scoperta di schemi di autenticazione deboli come Transport Layer Security (TLS) versioni 1.0 e 1.1 che potrebbero rimanere abilitati. Le scansioni delle vulnerabilità assicurano che l'organizzazione possa individuare tempestivamente i punti deboli e, si spera, correggerli prima che un utente malintenzionato si accorga dell'opportunità.

    Scopri i migliori software e strumenti per la gestione delle patch.

    Le applicazioni e i siti Web possono essere rafforzati utilizzando strumenti di sicurezza delle applicazioni o test di penetrazione per rilevare vulnerabilità o sviste di codifica. Occorre prestare particolare attenzione agli attacchi che potrebbero consentire vari tipi di attacchi DDoS.

    Ad esempio, un sito Web potrebbe incorporare file PDF che i client possono scaricare, ma una botnet potrebbe eseguire un attacco HTTP GET per inviare un numero elevato di richieste di download del file e sovraccaricare il server. Il codice del sito Web potrebbe essere modificato per sfidare gli utenti con captcha o altre funzionalità che impongono interazioni più sofisticate o per verificare l'accesso da parte di persone.
    Rafforza l'infrastruttura IT

    Server, gateway, firewall, router e altre infrastrutture IT possono essere protette dagli attacchi modificando le impostazioni, regolando le configurazioni, eliminando le funzionalità non necessarie e installando funzionalità opzionali che forniscono ulteriore sicurezza.

    L'indurimento include, ma non è limitato a:

         Blocca le porte inutilizzate su server e firewall
         Limita alcuni protocolli ai dispositivi sulla rete interna
         Imposta o riduci le soglie del limite di velocità per eliminare i pacchetti quando l'altro computer non risponde o effettua richieste ripetitive come:
             Pacchetti TCP (Transmission Control Protocol): sincronizzazione (SYN), riconoscimento della sincronizzazione (SYN-ACK) o riconoscimento (ACK)
             ICMP (Internet Control Message Protocol) o richieste ping
             Protocollo datagramma utente (UDP)
         Abilita i timeout per le connessioni semiaperte
         Rileva ed elimina pacchetti contraffatti, formattati in modo errato o malformati

    Ad esempio, la maggior parte delle aziende non ha bisogno di utilizzare applicazioni peer-to-peer (P2P), quindi dovrebbe bloccare tutto il traffico sulle porte 4662 e 4672 per tutti i dispositivi aziendali.

    I server DNS possono essere specificamente presi di mira dagli aggressori e vulnerabili a vari tipi di attacchi. Se l'organizzazione non lo utilizza, l'accesso UDP alla porta 53 (DNS) dovrebbe essere bloccato. Per ulteriori informazioni, vedere Come prevenire gli attacchi DNS.
    Architettura anti-DDoS.

    Oltre alla protezione avanzata, l'architettura IT può anche essere progettata per una maggiore resilienza e sicurezza contro gli attacchi DDoS.
    Infrastruttura di overprovisioning.

    Durante la progettazione e la creazione di sistemi, stimare la larghezza di banda e altre esigenze, quindi progettare per il 200-500% delle esigenze di base. Sebbene ciò possa diventare costoso e non fermi direttamente gli attacchi DDoS, le risorse aggiuntive fanno guadagnare tempo per reagire a un attacco.

    I dispositivi ridondanti o i dispositivi di backup saranno generalmente necessari per un'architettura resiliente e possono essere utilizzati per ripristinare rapidamente i sistemi dopo un attacco DDoS. Tuttavia, queste risorse non dovrebbero essere semplicemente lanciate automaticamente perché ciò potrebbe esporle all'attacco DDoS in corso.

    Le piccole imprese dovrebbero prendere in considerazione la possibilità di separare i firewall dai router in modo che un dispositivo non porti l'intero carico. I team IT più sofisticati possono prendere in considerazione lo spostamento delle risorse nel cloud o l'utilizzo del bilanciamento del carico per distribuire il traffico su più data center perché dispongono delle competenze e delle risorse per gestire le maggiori esigenze di configurazione e sicurezza.

    Se i data center ridondanti risiedono in paesi diversi, o almeno in regioni diverse dello stesso paese. i data center si connettono a reti diverse ed eviteranno colli di bottiglia o singoli punti di errore vulnerabili agli attacchi DDoS. Naturalmente, allora il punto debole potrebbe diventare il bilanciamento del carico, quindi quel sistema dovrà essere rafforzato contro gli attacchi DDoS.
     

    Oscura il bersaglio

    L'oscurità da sola non può proteggere alcun sistema, ma può aiutare a rendere gli attacchi più difficili per gli aggressori. I team di sicurezza devono controllare che nessuno pubblichi indirizzi IP o mappe dell'architettura di rete interna che potrebbero fornire agli hacker un obiettivo.

    Gli aggressori utilizzano spesso il protocollo ICMP o ping per individuare i bersagli. I server configurati per eliminare i pacchetti ICMP non invieranno una risposta e sembreranno non disponibili o non in linea.

    Un altro modo per oscurare le risorse è metterle dietro altra sicurezza. Ad esempio: le aziende possono utilizzare fornitori di reti private virtuali (VPN) o gateway Web sicuri (SWG) per collocare i propri sistemi interni dietro l'architettura di sicurezza di un provider più grande.
     

    Isolare i bersagli.

    Un'organizzazione che anticipa o ha già subito attacchi DDoS potrebbe prendere in considerazione una rete di distribuzione dei contenuti (CDN) o una rete Anycast che distribuisce le risorse in posizioni e indirizzi IP diversi. Con una rete distribuita, gli attacchi DDoS saranno meno efficaci e in genere non possono adattarsi alla distribuzione delle risorse.

    Mentre il PC di un singolo utente può essere tecnicamente preso di mira da un attacco DDoS, la maggior parte degli aggressori vorrà causare più danni e selezionare obiettivi di maggiore impatto come server Web, applicazioni chiave o server DNS. L'IT può proteggere questi probabili obiettivi attraverso l'isolamento utilizzando la segmentazione della rete o l'hosting segregato.

    Qualsiasi separazione impedisce che un DDoS riuscito abbia un impatto su altre risorse chiave. Ad esempio, spostando un server Web su hosting di terze parti, gli attacchi DDoS riusciti sul server Web non paralizzeranno la posta elettronica, il VoIP (Voice over Internet Protocol) e altri servizi come DNS e Active Directory necessari all'azienda per funzionare o per rispondere all'attacco DDoS.
    Strumenti anti-DDoS

    Oltre alla protezione avanzata e alla progettazione, le organizzazioni possono ottenere strumenti o abilitare funzionalità che proteggono in modo specifico dagli attacchi DDoS.
    Abilita le funzionalità anti-DDoS hardware

    Le funzionalità specifiche per DDoS sull'infrastruttura installata, come i server, possono essere abilitate per difendersi dagli attacchi DDoS. Ad esempio, il modulo mod_reqtimeout all'interno di Apache 2.2.15 può essere abilitato per proteggere da attacchi a livello di applicazione come l'attacco Slowloris.

    Router e gateway possono anche avere funzionalità avanzate che possono essere abilitate per difendersi da attacchi DDoS o DoS. Spesso questi saranno disattivati per impostazione predefinita, ma gli amministratori possono accedere alle funzionalità e abilitarle secondo necessità.

    Un Response Rate Limiter (RRL) può essere aggiunto o regolato su server, router e firewall per fornire un controllo granulare per difendersi da vari attacchi DDoS. Per esempio:

         Dopo un certo numero di richieste identiche dallo stesso IP di fila senza risposta, il sito Web può bloccare quell'indirizzo IP per evitare attacchi come attacchi HTTP GET o HTTP Post.
         Dopo un certo numero di richieste TCP senza alcuna risposta, ulteriori richieste verranno eliminate per evitare attacchi come gli attacchi SYN Flood che inviano molti pacchetti SYN (sincronizzazione del protocollo TCP) e ignorano le risposte del server.

    Come precauzione, l'indurimento per la sicurezza non dovrebbe arrivare al punto di distruggere la funzionalità dei protocolli utili. Come notato sopra, i pacchetti ICMP in entrata dall'esterno della rete possono essere bloccati per prevenire diversi tipi di attacchi DDoS e per oscurare la disponibilità del server.

    Tuttavia, l'ICMP svolge un ruolo fondamentale nella risoluzione dei problemi relativi alla rete e alla connettività. Invece di bloccare o eliminare i pacchetti da tutte le fonti, l'ICMP può essere limitato agli indirizzi IP consentiti interni all'organizzazione per abilitare la funzionalità bloccando anche gli attacchi DDoS esterni.
     

    Protezione DDoS aggiuntiva: firewall, dispositivi e servizi.

    I firewall possono fermare gli attacchi DDoS? Alcuni possono, ma per altri hanno bisogno di aiuto.

    I firewall costituivano tradizionalmente la difesa iniziale contro gli attacchi esterni e i firewall moderni possono bloccare molti dei vecchi e semplici attacchi DDoS come gli attacchi IP Null o ACK Fragmentation Flood. Tuttavia, i firewall non possono fermare gli attacchi che sembrano essere traffico normale (HTTP GET, HTTP POST, ecc.) e possono anche essere semplicemente sopraffatti da attacchi volumetrici.

    Ulteriori informazioni su: i tipi di attacchi DDoS.

    È necessario applicare una protezione aggiuntiva per proteggere le risorse esposte o critiche come i server delle applicazioni esposti a Internet o server e servizi DNS. Vari fornitori offrono software che aggiungono funzionalità anti-DDoS ai firewall o all'hardware per proteggersi specificamente dagli attacchi DDoS.

    Molte di queste soluzioni sono disponibili presso fornitori di dispositivi firewall affermati e affidabili, tra cui Check Point, Cisco, Fortinet, NetScout e Radware. Queste appliance anti-DDoS vengono installate davanti ai firewall e bloccano gli attacchi DDoS prima che abbiano effetto e possono utilizzare la baseline comportamentale del traffico per bloccare il traffico anomalo o il traffico con firme di attacco note.

    Tuttavia, le appliance locali difendono solo le reti locali e poiché le appliance di dimensioni fisse possono anche essere limitate nella loro capacità. Molte organizzazioni si rivolgono invece a fornitori di soluzioni DDoS basate su cloud come Akamai, Cloudflare e Amazon Web Services per fornire soluzioni aziendali complete.
    Dopo aver stabilito un'infrastruttura IT rafforzata e aggiornata protetta con architettura e strumenti anti-DDoS, i team IT e di sicurezza devono creare un playbook DDoS. Un documento formale può aiutare i team che rispondono in caso di attacco DDoS.

    Posta un commento

    Nuova Vecchia

    Certificato Ethical Hacker

    Corsi Gratuiti Online Con Certificati & Diplomi

    Alison | Free Online Courses & Online Learning. Scopri e ottieni certificati. Costruisci la tua carriera Guadagnare Su Alison Corsi Gratuiti Online Con Certificati & Diplomi. Alison offre migliaia di corsi online gratuiti con certificati e diplomi. Sviluppa nuove competenze professionali, migliora il tuo CV o semplicemente espandi i tuoi orizzonti. Puoi imparare ovunque, in qualsiasi momento e al tuo ritmo.

    Impara dai maggiori esperti mondiali

    Google University Of Cambridge Stanford Saylor.org Openstax Mit Microsoft Informati

    Certificato Ethical Hacker

    Corsi Gratuiti Online Con Certificati & Diplomi

    Alison | Free Online Courses & Online Learning. Scopri e ottieni certificati. Costruisci la tua carriera Guadagnare Su Alison Corsi Gratuiti Online Con Certificati & Diplomi. Alison offre migliaia di corsi online gratuiti con certificati e diplomi. Sviluppa nuove competenze professionali, migliora il tuo CV o semplicemente espandi i tuoi orizzonti. Puoi imparare ovunque, in qualsiasi momento e al tuo ritmo.

    Impara dai maggiori esperti mondiali

    Google University Of Cambridge Stanford Saylor.org Openstax Mit Microsoft Informati

    نموذج الاتصال