DDoS Distributed Denial of Service.

DDoS è l'attacco che inondata un servizio da molteplici sorgenti per esaurirne la capacità. Può operare a livello volumetrico, di protocollo o applicativo. La mitigazione è ormai una commodity (Cloudflare, Akamai, AWS Shield). La domanda di rischio non è più «riusciamo a bloccarlo» ma «i servizi critici sono instradati attraverso la protezione, incluse le API che non compaiono mai nei dashboard».

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

Il punto di vista di Cyber Academy

DDoS è l'attacco che inondata un servizio da molteplici sorgenti per esaurirne la capacità. Può operare a livello volumetrico, di protocollo o applicativo. La mitigazione è ormai una commodity (Cloudflare, Akamai, AWS Shield). La domanda di rischio non è più «riusciamo a bloccarlo» ma «i servizi critici sono instradati attraverso la protezione, incluse le API che non compaiono mai nei dashboard».

Cosa fa davvero un attacco di tipo distributed denial of service

Un attacco di tipo denial of service ha un unico obiettivo: rendere un servizio indisponibile per chi ne dipende. La versione distribuita, il DDoS, lo ottiene generando il traffico da molte macchine contemporaneamente, spesso una botnet di dispositivi compromessi, server dirottati o infrastrutture di attacco noleggiate. Poiché il carico arriva da migliaia di indirizzi distinti, non si può semplicemente bloccare un singolo responsabile, ed è l'enorme numero di sorgenti a permettere all'attaccante di sopraffare una capacità che una singola macchina non potrebbe mai raggiungere. Il bersaglio non deve essere violato né subire un furto di dati. Deve solo essere messo offline, il che fa del DDoS un attacco alla disponibilità anziché alla riservatezza o all'integrità.

I professionisti di solito classificano il DDoS in tre livelli, perché il livello determina la difesa. Gli attacchi volumetrici cercano di saturare la banda del collegamento stesso, ricorrendo spesso all'amplificazione, in cui una piccola richiesta contraffatta innesca una risposta di grandi dimensioni diretta alla vittima. Gli attacchi di protocollo esauriscono lo stato negli apparati di rete e nei server, ad esempio lasciando connessioni semiaperte che non si completano mai. Gli attacchi al livello applicativo sono i più silenziosi: inviano richieste che sembrano legittime, come chiamate ripetute a un endpoint di ricerca o a una pagina di accesso, ed esauriscono l'applicazione anziché il canale. Quest'ultima categoria è la più difficile da separare dagli utenti reali.

Perché la mitigazione non è più la parte difficile

Fermare il traffico DDoS è diventato un servizio di base. Grandi fornitori come Cloudflare, Akamai e AWS Shield assorbono gli attacchi ai margini di reti enormi, incassando le ondate volumetriche molto a monte del cliente e filtrando gli abusi di protocollo e applicativi con scrubbing e limitazione della frequenza. Per la maggior parte delle organizzazioni, la domanda tecnica se un attacco possa essere bloccato ha un sì sicuro, a condizione che il traffico sia instradato attraverso quella protezione. La domanda più difficile, e quella che una funzione di gestione del rischio dovrebbe porsi, è di copertura più che di capacità.

Il divario che fa male è l'asset che nessuno ha instradato attraverso lo scudo. Un sito di marketing pubblico si trova dietro la CDN, ma l'API chiamata dall'app mobile, l'indirizzo IP di origine ereditato che non è mai stato dismesso, l'endpoint di integrazione con un partner o il servizio regionale avviato da un altro team possono risolvere direttamente all'origine, aggirando del tutto la protezione. Gli attaccanti trovano questi percorsi diretti e li prendono di mira. Una difesa DDoS efficace è quindi anzitutto un problema di inventario e instradamento: conoscere ogni servizio esposto su internet, confermare che ciascuno sia effettivamente dietro la mitigazione e dimostrare che l'origine non può essere raggiunta aggirandola.

Dove si colloca il DDoS nella continuità e negli standard

Poiché il DDoS attacca la disponibilità, rientra nella stessa conversazione della gestione della continuità operativa. Un sistema di gestione della sicurezza delle informazioni allineato a ISO/IEC 27001 tratta la disponibilità come una delle tre proprietà che protegge, e uno scenario di denial of service è un input da manuale per un'analisi di impatto sul business: per quanto tempo ogni servizio può restare inattivo, cosa dipende da esso e qual è il ripiego. La risposta è raramente un singolo controllo. Combina la mitigazione a monte, un runbook di risposta agli incidenti con contatti nominativi presso il fornitore di mitigazione e accordi di continuità per il periodo in cui un attacco viene assorbito.

Ciò che i professionisti fanno davvero, oltre ad acquistare la mitigazione, è provare e verificare. Mantengono un inventario accurato dei servizi esposti su internet, confermano che ciascuno sia dietro la protezione e verificano che l'origine sia irraggiungibile direttamente. Tarano i limiti di frequenza e le pagine di sfida per gli abusi del livello applicativo, poiché quegli attacchi imitano il traffico reale e non possono essere risolti con la sola banda. Scrivono il percorso di escalation prima di un incidente, così che durante un'ondata nessuno vada a caccia del numero di telefono giusto. E trattano un evento DDoS come un esercizio di continuità, con soglie chiare per attivare il piano, comunicare ai clienti e rimettere in funzione i servizi una volta che il traffico si attenua.

Frequently asked questions

01Qual è la differenza tra DoS e DDoS?

Un attacco di tipo denial of service proviene da un'unica sorgente, mentre un distributed denial of service usa molte sorgenti contemporaneamente, in genere una botnet. È la distribuzione a rendere efficace il DDoS: non si può bloccare un singolo responsabile, e il traffico combinato può esaurire una capacità che nessuna singola macchina potrebbe raggiungere.

02Quali sono i tre tipi di attacco DDoS?

Gli attacchi volumetrici saturano la banda del collegamento, spesso tramite amplificazione. Gli attacchi di protocollo esauriscono lo stato nei dispositivi di rete e nei server, come le connessioni semiaperte. Gli attacchi al livello applicativo inviano richieste che sembrano legittime per esaurire l'applicazione stessa, il che li rende i più difficili da filtrare.

03Gli attacchi DDoS si possono ancora fermare?

Per il traffico instradato attraverso una mitigazione moderna, quasi sempre. Fornitori come Cloudflare, Akamai e AWS Shield assorbono le ondate a monte. Il rischio reale è la copertura: un asset come un indirizzo IP di origine diretto o un'API non protetta che risolve aggirando lo scudo e non riceve mai la protezione.

04Perché il DDoS è una questione di continuità operativa?

Il DDoS attacca la disponibilità, quindi alimenta direttamente la gestione della continuità operativa e l'analisi di impatto sul business. La domanda è per quanto tempo ogni servizio può restare inattivo e quale sia il ripiego, motivo per cui la mitigazione deve essere abbinata a un runbook di risposta agli incidenti e ad accordi di continuità.

05Un DDoS significa che i miei dati sono stati violati?

Non di per sé. Il DDoS è un attacco alla disponibilità il cui scopo è mettere offline un servizio, non rubare o alterare dati. A volte viene usato come diversivo durante un'altra intrusione, perciò un'ondata dovrebbe comunque attivare un monitoraggio rafforzato degli altri sistemi.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.