logo-poc logo-upi logo-dipartimento-funzione-pubblica
Piattaforma Collaborativa Pi.Co.
Piattaforma Collaborativa Pi.Co.
Unione delle Province d'Italia
Cerca
Blog

Pubblicato da ACN - CSIRT il report DDoS - Preparazione e risposta agli attacchi Denial of Service

Andrea Susa
Data di Pubblicazione11 Mesi Fa

Didascalia

Introduzione

L'Agenzia per la cybersecurity (ACN), nell'ambito delle attività del CSIRT, ha pubblicato il report "DDoS Preparazione e risposta agli attacchi Denial of Service". Questo report segue il precedente sul Ransomware, di cui avevamo già parlato circa un mese fa proprio su questo blog

Gli attacchi Distributed Denial of Service (DDoS), rappresentano una delle minacce più insidiose nel panorama della cybersicurezza, in quanto sono finalizzati a compromettere la disponibilità di un servizio, esaurendo le risorse di rete, di elaborazione o di memoria necessarie per il suo funzionamento. Proprio in questi ultimi mesi (gennaio e febbraio 2025), l'Italia è stata bersaglio di numerosi attacchi di questo tipo, evidenziando la crescente minaccia cibernetica nel contesto geopolitico attuale. Questi attacchi, spesso orchestrati da gruppi con finalità politiche, hanno preso di mira diverse istituzioni e infrastrutture critiche del Paese, come ad esempio infrastrutture finanziarie come Banca d'Italia e Intesa Sanpaolo, infrastrutture di trasporto come gli aeroporti di Milano Malpensa e Linate, e i porti di Trieste e Taranto, siti web governativi come l'Autorità Garante della Concorrenza e del Mercato (Antitrust).

Questa ondata di attacchi ha evidenziato la capacità degli aggressori di coordinare operazioni su larga scala, mirando a destabilizzare servizi essenziali e a minare la fiducia nelle istituzioni. Lo scopo del documento prodotto dallo CSIRT di ACN è di presentare le principali modalità di svolgimento di un attacco di DDoS e di fornire alcune strategie di risposta.

 

1. Definizione e modello di riferimento per gli attacchi di tipo DoS e DDoS

Il termine Denial of Service (DoS) identifica gli eventi cyber in cui un attore malevolo effettua un attacco per compromettere la disponibilità di un bene informatico o di un servizio mediante l’esaurimento delle sue risorse di rete, di elaborazione o di memoria necessarie per accedervi. Una specifica tecnica di attacco, largamente utilizzata e conosciuta come Distributed Denial of Service (DDoS), prevede l’utilizzo di un elevato numero di sorgenti di traffico multiple e distribuite, tale da rendere più difficile la conseguente mitigazione manuale dell’evento.

Modello di attacco

Gli attacchi DDoS sono caratterizzati dall'impiego di molteplici sorgenti per generare traffico malevolo, rendendo difficile l'individuazione e la possibile mitigazione dell'attacco. Il Modello generale include i seguenti asset, riportati in figura.


Tali asset sono frequentemente presi di mira dagli attaccanti, con effetti che vanno dal degrado delle prestazioni alla totale interruzione dei servizi. Per ognuno degli asset identificati, esistono specifiche tecniche di attacco DDoS, alle quali si possono applicare alcune contromisure.

Rischi e Impatti

I rischi derivanti da un attacco DDoS includono:

  • Interruzione di servizi pubblici e privati (e-government, servizi finanziari, e-commerce)

  • Perdita economica dovuta alla mancata erogazione di servizi

  • Danni reputazionali con perdita di fiducia da parte degli utenti

  • Impatto sulla continuità operativa aziendale e sulla produttività

Per una Pubblica Amministrazione, i principali rischi sono quelli relativi all'interruzione di servizio pubblico, danni reputazionali e impatto sulla continuità operativa.

 

2. Strategie di Attacco

Gli attaccanti utilizzano diverse strategie per massimizzare l'efficacia di un attacco DDoS. Ne presentiamo alcune, suddivise per tipologia di attacco e tecniche di attacco.

Tipologie di Attacco

  • Attacchi volumetrici: puntano a saturare la banda di rete.

  • Attacchi di esaurimento di stato: mirano a esaurire le risorse dei dispositivi di rete.

  • Attacchi applicativi: colpiscono le risorse necessarie all'esecuzione dei software.

  • Attacchi malformed packet: sfruttano vulnerabilità nei protocolli per causare blocchi.

 


 

Tecniche e tattiche di Attacco

  • Dislocazione delle sorgenti di traffico: attacchi distribuiti su più IP per eludere il rilevamento.

  • Riflessione e amplificazione: sfruttano servizi esposti per aumentare l'impatto dell'attacco.

  • Utilizzo di botnet: sfruttano dispositivi compromessi per generare traffico malevolo.

3. Strategie di Mitigazione e Risposta

Raccomandazioni Generali

Le strategie di mitigazione si suddividono in:

  • Processi e strategie: piani di risposta, formazione del personale, collaborazione con ISP e test di resilienza.

  • Soluzioni di sicurezza: utilizzo di sistemi Anti-DDoS volumetrici, firewall avanzati, CDN e protezione applicativa.

  • Controlli di sicurezza: monitoraggio continuo, identificazione precoce degli attacchi e implementazione di filtri preventivi.

Analizziamo velocemente le tecnologie di protezione e le best practice relative.

Processi e strategie

  • Piani di risposta dettagliati: La preparazione è cruciale per minimizzare l’impatto di un attacco DDoS. Un piano di risposta agli incidenti dettagliato dovrebbe chiarire le responsabilità del personale e le interazioni con gli altri attori coinvolti (es.: gli Internet Service Provider), i passaggi per identificare l’attacco, la scelta tra le possibili azioni per mitigarlo e le azioni per ripristinare i servizi. Questo piano deve essere aggiornato regolarmente e testato attraverso simulazioni
    per garantirne l’efficacia. 

  • Formazione e consapevolezza del personale: Riconoscere i primi segnali di un attacco DDoS, sapere come reagire, configurare correttamente le proprie infrastrutture e considerare correttamente i requisiti da sottoporre ai fornitori, sono fattori imprescindibili nelle attività di risposta a tale minaccia. La preparazione del personale risulta dunque un fattore di cruciale importanza.

  • Test e simulazioni periodiche: Eseguire esercitazioni periodiche e simulazioni di attacchi DDoS sulla propria infrastruttura consente di valutare l’efficacia del piano di risposta agli incidenti, di identificare eventuali punti deboli e di familiarizzare con specifici strumenti. Queste simulazioni aiutano a migliorare la coordinazione della squadra e a rafforzare le difese dell’organizzazione.

  • Selezione e collaborazione con ISP, partner tecnologici e altri soggetti: Scegliere attentamente i fornitori di servizi Internet (ISP) e gli altri partner che forniscono apparati di rete e di sicurezza consente di selezionare gli opportuni prodotti e servizi (es.: supporto durante un attacco) da acquisire e contrattualizzare. Questi partner possono fornire assistenza immediata, risorse aggiuntive per la mitigazione e consigli strategici basati sulle loro esperienze e competenze.

Soluzioni di sicurezza

  • Sistemi Anti-DDoS volumetrici

  • Adozione di dispositivi di rete con funzionalità di protezione da attacchi DDoS

  • Dispositivi aggiuntivi di rete DPI in grado di analizzare e filtrare il traffico

  • Adozione di sistemi Anti-DDoS applicativi

  • Utilizzo di sistemi Content Delivery Network (CDN)

  • Spostamento in cloud di propri servizi con soluzioni SaaS, IaaS, PaaS

Controlli di sicurezza

  • Prevenire gli effetti di un attacco DDoS: La prevenzione richiede una attenta selezione di strumenti e servizi, una progettazione adeguata delle proprie infrastrutture, l’attivazione di tutte le funzionalità tecnologiche a disposizione e l’attivazione dei piani predisposti.
  • Riconoscere prontamente insorgenza di un attacco: Riconoscere l’insorgenza di un attacco richiede l’utilizzo di piattaforme e servizi, nonché la loro integrazione nei processi di monitoraggio ICT dell'organizzazione.
  • Reagire a fronte di attacchi DDoS: La reazione ad un attacco DDoS richiede l’attivazione di opportuni processi e il corretto coinvolgimento di attori esterni ed interni all’organizzazione, nonché l’utilizzo degli strumenti acquisiti.

Per chiudere

Gli attacchi DDoS rappresentano una minaccia sempre più sofisticata e in continua evoluzione. Per proteggere le infrastrutture critiche e garantire la continuità dei servizi, è essenziale adottare strategie di prevenzione e risposta basate su tecnologie avanzate e best practice consolidate. La preparazione, la collaborazione con partner tecnologici e l’adozione di soluzioni Anti-DDoS sono elementi chiave per la resilienza cibernetica. 

Come già detto in altri articoli, è fondamentale conoscere le minacce per poterle affrontare, e sicuramente la lettura attenta del Report può aiutare non solo i tecnici, ma soprattutto i responsabili dei sistemi informativi a comprendere la natura di questa specifica e altamente impattante minaccia.

Commento (0)

Altri Articoli Blog

thumbnail

Approvato il Programma di lavoro 2025 della Commissione europea: priorità tematiche e strumenti

Giovanni Bursi
19 feb
0
thumbnail

LAVORO AUTONOMO, LAVORO PARASUBORDINATO E DIVIETO DEL RICORSO ALLE PRESTAZIONI OCCASIONALI

Andrea Gandino
25 feb
2
Blog