Un attacco DDoS (Distributed Denial of Service) non è una cosa da ridere; inonda la tua rete con traffico dannoso, portando le tue applicazioni giù e impedendo agli utenti legittimi di accedere al tuo servizio. Gli attacchi DDoS si traducono spesso in vendite perse, carrelli abbandonati, danni alla reputazione e utenti insoddisfatti.
La prima parte di questa serie di blog ha discusso alcuni dei passi da fare per prepararsi a un attacco Distributed Denial of Service (DDoS) prima che accada. Questo post discuterà cosa fare ora che sei sotto attacco.
Anche se non puoi controllare quando potresti subire un attacco, seguire i passi delineati di seguito può aiutarti a minimizzare l’impatto dell’attacco, a portarti sulla strada del recupero e a prevenire che questo accada di nuovo.
Avvisa i principali stakeholder
Si dice spesso che il primo passo per risolvere un problema è riconoscere di averne uno. A tal fine, è necessario avvertire gli stakeholder chiave all’interno dell’organizzazione spiegando che si è sotto attacco, e quali passi si stanno facendo per mitigarlo.
Esempi di stakeholder chiave includono il CISO dell’organizzazione, il centro operativo di sicurezza (SOC), il direttore IT della rete, i manager delle operazioni, i business manager dei servizi interessati, e così via.
Siccome probabilmente avrete le mani occupate nel combattere l’attacco, è probabilmente meglio tenere questo avviso breve e al punto.
Le informazioni chiave – nella misura in cui le hai – dovrebbero includere:
- Cosa sta succedendo
- Quando è iniziato l’attacco
- Quali risorse (applicazioni, servizi, server, ecc.) sono stati colpiti
- Impatto per gli utenti e i clienti
- Quali misure sono state prese per mitigare l’attacco
Tenere informati gli stakeholder man mano che l’evento si sviluppa e/o nuove informazioni sono disponibili. Tenere informate le parti interessate su base continuativa aiuterà a prevenire la confusione, l’incertezza e il panico, e a coordinare gli sforzi per fermare l’attacco.
Avvisa il tuo fornitore di sicurezza
In parallelo alla notifica delle parti interessate all’interno della tua organizzazione, dovrai anche avvisare il tuo fornitore di sicurezza, e iniziare qualsiasi azione da parte sua per aiutarti a gestire l’attacco.
Il vostro fornitore di sicurezza può essere il vostro fornitore di servizi internet (ISP), un fornitore di hosting web o un servizio di sicurezza dedicato.
Ogni tipo di fornitore ha diverse capacità e portata di servizio. Il vostro ISP potrebbe aiutarvi a minimizzare la quantità di traffico di rete dannoso che raggiunge la vostra rete, mentre il vostro fornitore di hosting web potrebbe aiutarvi a minimizzare l’impatto delle applicazioni e a scalare il servizio. Allo stesso modo, i servizi di sicurezza di solito hanno strumenti dedicati specificamente per affrontare gli attacchi DDoS.
Anche se non avete già un accordo predefinito per il servizio, o non siete abbonati alla loro offerta di protezione DDoS, dovreste comunque contattarli per vedere come possono aiutarvi.
Attiva le contromisure
Se hai delle contromisure in atto, ora è il momento di attivarle.
Un approccio è quello di implementare le Access Control List (ACL) basate su IP per bloccare tutto il traffico proveniente da fonti di attacco. Questo viene fatto a livello di router di rete, e di solito può essere gestito dal vostro team di rete o dal vostro ISP. È un approccio utile se l’attacco proviene da una singola fonte o da un piccolo numero di fonti di attacco. Tuttavia, se l’attacco proviene da un grande gruppo di indirizzi IP, allora questo approccio potrebbe non essere d’aiuto.
Se l’obiettivo dell’attacco è un’applicazione o un servizio basato sul web, allora si potrebbe anche provare a limitare il numero di connessioni concorrenti dell’applicazione. Questo approccio è noto come rate-limiting, ed è spesso l’approccio preferito dai fornitori di web hosting e CDN. Si noti, tuttavia, che questo approccio è incline a un alto grado di falsi positivi, in quanto non è in grado di distinguere tra traffico utente dannoso e legittimo.
Gli strumenti di protezione DDoS dedicati vi daranno la più ampia copertura contro gli attacchi DDoS. Le misure di protezione DDoS possono essere distribuite come un apparecchio nel vostro data center, come un servizio di scrubbing basato sul cloud, o come una soluzione ibrida che combina un dispositivo hardware e un servizio cloud.
In teoria, queste contromisure entrano in azione immediatamente una volta rilevato un attacco. Tuttavia, in alcuni casi, tali strumenti – come i dispositivi hardware fuori dal percorso o i servizi di mitigazione on-demand attivati manualmente – potrebbero richiedere che il cliente li avvii attivamente.
Come accennato in precedenza, anche se non si dispone di una soluzione di sicurezza dedicata, la maggior parte dei servizi di sicurezza consente un on-boarding di emergenza durante un attacco. Questo on-boarding spesso comporta una tassa pesante insieme ad esso, o l’obbligo di sottoscrivere il servizio in seguito. Tuttavia, questo potrebbe essere necessario se non hai altre opzioni.
Monitorare la progressione dell’attacco
Durante l’attacco, dovresti monitorare la sua progressione per vedere come si sviluppa nel tempo.
Alcune delle domande chiave da provare a valutare durante questo periodo:
- Che tipo di attacco DDoS è? Si tratta di un flood a livello di rete o di un attacco a livello di applicazione?
- Quali sono le caratteristiche dell’attacco? Quanto è grande l’attacco (sia in termini di bit al secondo che di pacchetti al secondo)?
- L’attacco proviene da una singola fonte IP o da fonti multiple? Puoi identificarle?
- Come appare il modello di attacco? Si tratta di un singolo flusso sostenuto o di un attacco a raffica? Coinvolge un singolo protocollo o più vettori di attacco?
- Gli obiettivi dell’attacco rimangono gli stessi o gli aggressori cambiano i loro obiettivi nel tempo?
Tracciare la progressione dell’attacco ti aiuterà anche a sintonizzare le tue difese.
Valutate le prestazioni della difesa
Infine, mentre l’attacco si sta sviluppando e le vostre contromisure vengono dispiegate, dovete misurare la loro efficacia continua.
La domanda qui è semplice: Le difese funzionano o il traffico dell’attacco passa?
Il vostro fornitore di sicurezza dovrebbe fornirvi un documento Service LevelAgreement (SLA) che impegna i loro obblighi di servizio. Due delle metriche più importanti in questo documento sono Time-to-Mitigate (TTM) e Consistency-of-Mitigation.
- Time-to-Mitigate misura quanto velocemente il vostro fornitore si impegna a fermare l’attacco.
- La metrica Consistency-of-Mitigation, invece, misura quanto bene sta fermando l’attacco. Questa metrica è di solito definita come il rapporto di traffico dannoso che è permesso di arrivare alla vostra rete.
Se scoprite che la vostra sicurezza non sta rispettando il loro obbligo SLA – o peggio – non è in grado di fermare l’attacco a tutti, ora è anche il momento di valutare se è necessario fare un cambiamento.
Scaricate il Radware’s “Hackers Almanac” per saperne di più.
Scaricate ora