89
settembre 2012
la cosiddetta botnet, rende estremamente insidioso
questo attacco, oltre che di difficile prevenzione.
Oltre a tecniche basate su botnet esistono poi quelle
‘peer-to-peer’, tipicamente utilizzate in presenza di
hub per la condivisone di file. L’attaccante in questo
caso forza i client a sconnettersi dal loro interlocu-
tore e a connettersi con l’unica vittima designata.
Un attacco DDoS non modifica, copia o cancella
dati o programmi, ma rende satura e quindi non
più utilizzabile per tutto il periodo dell’attacco la
risorsa obiettivo. Non porta danni al patrimonio
informativo, ma alla disponibilità dei servizi ICT
forniti dalle risorse attaccate.
Per approfondire questa tipologia di attacchi si veda
l’articolo in questa rubrica pubblicato sul numero 5
di Office Automation di maggio 2011 (l’archivio di
tutti gli articoli della Rubrica OAI sono disponibili
alla pagina web
).
Esempio di uno schema
di difesa predefinito
Ma come difendersi da tali attacchi? È difficile ma
si può con una difesa pre-definita e ben preparata,
articolata su più misure. Come esempio di una buo-
na difesa da DoS/DDoS si illustra quella di Seeweb,
un fornitore italiano di cloud (
), ar-
ticolata in tre fasi principali.
1) Individuazione proattiva dell’attacco: viene con-
trollato, in tempo reale, il traffico IP su tutta la loro
rete; quando rilevano scostamenti statistici rilevan-
ti rispetto alle medie è un segnale d’allarme che
comporta un’analisi approfondita per individuare
se si tratta di un attacco, e se sì quali sono le fonti
principali e quale è il target del medesimo.
2) Mitigazione di primo livello del flusso malevolo
senza degrado del servizio sul bersaglio, di solito
i sistemi in cloud di un cliente. L’azione si basa su
un insieme di misure adottate a seconda del tipo di
attacco e dei requisiti di servizio previsti per il clien-
te. Tra le misure il filtraggio del traffico con ACL sui
border router o in modi più avanzati sui firewall, se
necessario dedicandone uno o più al cliente sotto
attacco in maniera rapida ed automatica. In caso
di attacchi a livello Http attivazione di ‘transparent
proxy’ che lasciano passare verso i server o l’infra-
struttura cloud del cliente solo il traffico legittimo.
3) Mitigazione di secondo livello del flusso male-
volo con degrado della raggiungibilità del servizio
bersaglio, utilizzando prevalentemente tecniche di
‘blackholing’ e accordi con carrier e ISP di transito
della rete. Un black hole, o buco nero, è un insieme
di indirizzi IP cui vengono destinati i pacchetti dei
flussi informativi malevoli di un DDoS. Un blackho-
le deve essere attivato e disattivato a fine attacco
in tempo reale e può essere messo in campo con
gestori fortemente ‘multihomed’ dal punto di vista
dei transiti IP, così da sacrificare solo piccole regioni
della rete Internet.
Per poter attivare e gestire questo tipo di misure,
sono necessari alcuni prerequisiti anche organiz-
zativi, che includono:
• l’attivazione di un piano di interventi e di un team
anti DDoS con procedure e strumenti predefiniti
per riconoscere l’attacco, individuarne le fonti,
mitigarne gli impatti e riprendere poi la situazio-
ne normale; importanti gli accordi con i vari pro-
vider di rete e l’uso di procedure ‘post attacco’,
per analisi delle vulnerabilità e dei gap tecnici e
organizzative, oltre che per eventuali forensic;
• definizione di un’architettura ICT a elevata affi-
dabilità e sicurezza, che preveda logiche di black
holing e di filtraggi, con utilizzo di router e fire-
wall a elevate prestazioni;
• aggiornamento e documentazione sistematica
e tempestiva di tutte le risorse ICT;
• monitoraggio sistematico dei sistemi e delle loro
prestazioni, con gestione e correlazione degli
eventi per essere proattivi;
• conoscenza e controllo continuo dei trend e delle
tecniche di attacco.
Marco Bozzetti
Compilare! Compilare! Compilare!
È in corso la raccolta dei dati sugli attacchi subiti da
imprese e altre organizzazioni in Italia. Vi invitiamo a
compilare e far compilare online il Questionario OAI
2012, anonimo, disponibile sui siti web di Soiel (www.
soiel.it), dell’autore
) e di
tutte le Associazioni patrocinanti.
