Zscaler Announces Intent to Acquire Airgap Networks to extend Zero Trust SASE

Learn More

Che cos'è un attacco DoS (Denial-of-Service)?

Un attacco di tipo Denial of Service (DoS) è un attacco in cui i criminali informatici interrompono il servizio che un host connesso a Internet offre ai suoi utenti. Questo avviene inondando la rete o il server target con flussi costanti di traffico, come ad esempio richieste fraudolente, che sovraccaricano il sistema e impediscono di elaborare il traffico legittimo.

Esplora le soluzioni per la protezione dalle minacce informatiche di Zscaler
Guarda

Come funziona un attacco DoS?

In un attacco di tipo Denial of Service, un hacker utilizza un programma per inondare un server di traffico dannoso. Le richieste di questo traffico sembrano provenire da utenti legittimi, quindi il server convalida ogni singola richiesta. In realtà però il "servizio" viene "negato" agli utenti legittimi, a causa della conseguente perdita di larghezza di banda e di risorse di rete.

Il sistema o i dati colpiti non risultano disponibili per gli utenti che ne hanno bisogno. Gli attacchi DoS sono spesso utilizzati a scopo di estorsione, in quanto un'azienda che non è in grado di fornire il proprio servizio ai suoi clienti può perdere entrate e subire danni alla reputazione.In questo senso, il DoS è simile al ransomware, ma a essere colpito è il servizio offerto dalla vittima, non i suoi dati.

Qual è la differenza tra un attacco DoS e un attacco DDoS?

Mentre un attacco DoS proviene da un'unica fonte, un attacco DDoS (Distributed Denial-of-Service) trasmette richieste fraudolente da più fonti contemporaneamente. In genere, un criminale usa un gruppo di dispositivi connessi a Internet, a volte su scala globale, per inondare il server bersaglio, che può essere quindi sovraccaricato molto più facilmente rispetto a ciò che avverrebbe con un attacco DoS.

Un gruppo di computer infetti di questo tipo viene chiamato botnet. Le botnet operano in modo sincronizzato, in attesa di istruzioni da parte di un aggressore da un singolo indirizzo IP per lanciare un attacco di tipo flood. Questi attacchi sono solitamente programmati per iniziare a un'ora specifica e possono durare ore o addirittura giorni.

Se in un attacco DoS un server può semplicemente chiudere la singola connessione da cui è stato avviato l'attacco, gli attacchi DDoS sono molto più pericolosi e difficili da mitigare, perché l'afflusso di traffico proviene da più fonti contemporaneamente.

Inoltre, gli utenti malintenzionati ora utilizzano i dispositivi IoT per rendere le loro botnet ancora più pericolose, riducendo i processi manuali. In particolare, sono in grado di utilizzare questi dispositivi per facilitare la sincronizzazione delle loro botnet e incrementare l'efficacia degli attacchi.

Quali sono gli attacchi DoS storicamente più significativi?

Gli attacchi DDoS sono molto più comuni degli attacchi DoS, soprattutto perché sono molto più difficili da contrastare e possono quindi essere portati avanti per un periodo di tempo più lungo.

I fornitori di servizi cloud sono spesso vittime di attacchi DDoS a causa della loro vulnerabilità intrinseca a tali minacce. Ecco alcuni tra i più recenti che hanno fatto notizia:

  • Amazon: a febbraio del 2020, Amazon ha subito uno dei più grandi attacchi DDoS mai registrati. Utilizzando i meccanismi del protocollo CLDAP (Connectionless Lightweight Directory Access Protocol), gli aggressori hanno colpito un cliente di Amazon Web Services (AWS) a una velocità di 3,3 terabyte al secondo (TBps) per tre giorni.
  • GitHub: a febbraio del 2018, gli aggressori hanno inondato i server di GitHub con 1,35 terabyte al secondo per 20 minuti. "Decine di migliaia di singoli endpoint" ospitavano "oltre un migliaio di sistemi autonomi diversi" che hanno lanciato l'attacco.
  • Google: a ottobre del 2020, Google ha subito un attacco di amplificazione UDP durato sei mesi, da parte di tre provider di servizi Internet (ISP) cinesi, che hanno inviato più di 2,5 terabyte al secondo di dati indesiderati ai suoi server.

Come si può identificare un attacco DoS?

I fornitori di infrastrutture tendono a non filtrare gli annunci di route, che indicano alle persone come arrivare da un punto all'altro di Internet. Ma soprattutto, tendono a non filtrare i pacchetti per verificare l'origine del traffico. Questi due elementi consentono agli aggressori di inviare con facilità del traffico dannoso a un obiettivo.

Gli utenti malintenzionati sono generalmente motivati da tre fattori: l'ostilità verso l'obiettivo (un movente tipico per gli attacchi lanciati dagli dai cosiddetti "hacktivist"), l'estorsione e il desiderio di derubare le vittime a cui viene negato l'accesso a un servizio. Sebbene non esista un segnale di allarme precoce per un attacco DoS, un professionista della sicurezza esperto è in grado di rilevare il traffico inviato da un utente malintenzionato e determinare se un bersaglio può essere colpito o meno.

Gli aggressori inviano un gran numero di richieste, ad esempio a diverse parti di un sito web, per verificare la vulnerabilità dei server a un attacco DoS. Queste prime "avvisaglie" del web sono un segnale che l'organizzazione potrebbe subire un attacco.

Implementando un adeguato monitoraggio della sicurezza di rete, il team responsabile della sicurezza informatica è in grado di analizzare il traffico e individuare i modelli di pacchetti che rappresentano dei chiari segnali di un attacco. Per capire in tempo reale se l'organizzazione sta subendo un attacco, è necessario osservare i metadati dei dispositivi di rete, ossia router e switch, un compito che è reso più semplice se si impiega uno strumento di monitoraggio della qualità.

Tipi di attacchi DDoS

Esistono quattro tipi principali di attacchi DoS che mirano a sfruttare o estorcere sistemi e dati:

  • Reindirizzamento del browser: un utente richiede il caricamento di una pagina, ma un hacker lo reindirizza a un'altra pagina dannosa.
  • Chiusura della connessione: un aggressore chiude una porta aperta, negando a un utente l'accesso a un database.
  • Distruzione dei dati: un hacker cancella i file, causando l'errore "risorsa non trovata" quando qualcuno richiede un file, oppure, se un'applicazione contiene una vulnerabilità che la espone ad attacchi di injection, l'utente malintenzionato può negare il servizio eliminando la tabella del database.
  • Sovraccarico delle risorse: un utente malintenzionato richiederà ripetutamente l'accesso a una particolare risorsa, sovraccaricando l'applicazione web e causando un rallentamento o un arresto anomalo della pagina.

 

Tipi di attacchi DDoS

Ecco alcuni esempi specifici di attacchi DDoS da ricordare:

  • SYN flood: un utente malintenzionato sfrutta una comunicazione TCP (SYN-ACK) inviando una grande quantità di pacchetti SYN (da questo deriva il termine flood, ossia inondazione), consumando di conseguenza le risorse del sistema preso di mira.
  • Spoofing: un aggressore impersona un utente o un dispositivo e, dopo aver ottenuto l'attendibilità, utilizza pacchetti falsificati per lanciare un attacco informatico.
  • Attacco DDoSa livello di applicazione : come suggerisce il nome, questo attacco, una volta distribuito, sfrutterà una vulnerabilità o un errore di configurazione in un'applicazione e negherà a un utente l'accesso o l'utilizzo dell'applicazione
  • DNS (Domain Name System) flood: noto anche come attacco di amplificazione DNS, vede un utente malintenzionato interrompere la risoluzione DNS di un determinato nome di dominio inondando i suoi server.
  • ICMP (Internet Control Message Protocol) flood: noto anche come attacco ping flood, consiste nella falsificazione, da parte di un utente malintenzionato, di un IP di origine per la creazione di un attacco smurf. Questo metodo può essere utilizzato anche per inviare un PoD (Ping of Death), in cui un pacchetto di grandi dimensioni causa il sovraccarico del buffer.
  • UDP (User Datagram Protocol) flood: un utente malintenzionato inonda porte casuali del suo obiettivo, consumando risorse e rispondendo con pacchetti di "destinazione irraggiungibile".

Prevenire un attacco DoS

Gli attacchi DoS o DDoS possono colpire in qualsiasi momento, ma seguendo le dovute best practice è possibile dotare l'organizzazione di tutti gli strumenti e i protocolli necessari per una difesa efficace.

Ecco cinque modi per prevenire un attacco DoS:

  1. Crea un piano di risposta ai DoS: esamina il sistema e identifica eventuali falle, vulnerabilità o gap nella sicurezza e delinea un piano di risposta in caso di attacco.
  2. Proteggi la tua infrastruttura. usa efficaci soluzioni firewall per il monitoraggio del traffico e l'intelligence sulle minacce con base cloud, come il rilevamento o la prevenzione delle intrusioni, per incrementare notevolmente le possibilità di riuscire a respingere gli attacchi DoS.
  3. Comprendi i segnali di pericolo. Rileva prestazioni di rete lente, tempi di inattività del sito web, un'interruzione o un improvviso aumento dello spam. Tutti questi elementi richiedono un'azione immediata.
  4. Adottare servizi con base cloud: le risorse cloud offrono una maggiore larghezza di banda rispetto a quelle on-premise, e dato che i server non si trovano tutti nella stessa posizione, gli utenti malintenzionati avranno più difficoltà a colpire.
  5. Monitora le attività insolite: consenti al team di sicurezza di rilevare e mitigare un attacco DoS o DDoS in tempo reale. Nella prossima sezione, vedremo come azzerare il rischio di subire attacchi DoS e DDoS.

Come ridurre il rischio di subire un attacco DoS?

Se il profilo di sicurezza e la visibilità sono carenti possono esporre l'azienda non solo ad attacchi DoS e DDoS, ma anche ad altre minacce, come malware, ransomware, spear phishing e altro. Per mantenere l'organizzazione al sicuro e massimizzare le possibilità di mitigare efficacemente DoS e DDoS, è necessaria un'adeguata protezione da questi tipi di attacchi. Ecco alcuni modi per ridurre le possibilità di subire attacchi DoS o DDoS:

  • Distribuire la sicurezza dal cloud. La sicurezza fornita sul cloud consente di estendere le policy a tutti gli utenti, ovunque si trovino e qualunque sia il loro dispositivo, e offre una visibilità completa sull'ambiente. Inoltre, grazie agli aggiornamenti automatici e all'eliminazione degli interventi manuali per l'applicazione delle patch o l'ottimizzazione, l'azienda sarà sempre pronta a difendersi dalle minacce più recenti.
  • Adottare il rilevamento e la risposta estesi (XDR). L'XDR è un'evoluzione del rilevamento e della risposta degli endpoint (EDR) che offre visibilità sulle minacce agli endpoint e informazioni utili sui potenziali rischi legati ai dati e alla sicurezza sul cloud, il tutto grazie a un'intelligence olistica e integrata sulle minacce. Tutto questo consentirà di arginare la proliferazione dei falsi positivi solitamente riscontrata dai team di sicurezza, permettendo loro di essere più produttivi.
  • Considerare l'impiego di un SOC. Un SOC gestito sul cloud permette di controllare ambiti che altrimenti non potrebbero essere coperti dal team di sicurezza, impegnato in molte altre attività. In particolare, il provisioning delle policy cloud, il rilevamento e la risposta alle minacce, la protezione dei dati e persino la conformità, in alcuni casi. Come per l'XDR, un SOC gestito offre e al team la libertà di concentrarsi su questioni più urgenti.
  • Implementare un'architettura zero trust.. Secondo Gartner, entro il 2025, almeno il 70% delle nuove distribuzioni di accesso remoto avverrà prevalentemente tramite servizi ZTNA, anziché attraverso le VPN, una percentuale che era inferiore al 10% alla fine del 2021. Il motivo di questo cambiamento è che la sicurezza zero trust concede l'accesso solo in base al contesto (considerando fattori come utente, dispositivo, posizione e applicazione), garantendo che gli utenti malintenzionati siano sempre mantenuti alla larga.

In questo ambito, esiste solo un fornitore che offre lo zero trust nativo del cloud. Ed è lo stesso che collabora con i migliori architetti di XDR per rilevare le minacce su tutti gli endpoint, i cloud e i dati. Questo fornitore è Zscaler.

Cosa può fare Zscaler

Zscaler è l'unico fornitore di servizi di sicurezza che offre una piattaforma sufficientemente solida per difendersi dalle minacce più recenti, compresi gli attacchi DoS e DDoS. Zscaler Private Access™ (ZPA™) fa parte di Zscaler Zero Trust Exchange™, la piattaforma Security Service Edge (SSE) più accreditata e diffusa al mondo.

Il design unico di ZPA si fonda su quattro principi fondamentali:

  • Collegamento degli utenti alle applicazioni senza collocarli sulla rete
  • Nessuna esposizione delle applicazioni agli utenti non autorizzati
  • Segmentazione delle app, non della rete
  • Accesso remoto sicuro, senza dispositivi VPN

ZPA offre un modo semplice, sicuro ed efficace per accedere alle applicazioni interne. L'accesso si basa sulle policy create dall'amministratore IT all'interno dello ZPA Admin Portal e ospitate nel cloud Zscaler. Su ogni dispositivo dell'utente viene installato il nostro Zscaler Client Connector, che garantisce la sicurezza del dispositivo dell'utente ed estende un microtunnel sicuro verso il cloud Zscaler quando l'utente tenta di accedere a un'applicazione interna.

ZPA colloca il nostro App Connector, distribuito sotto forma di macchina virtuale, in prossimità di un'applicazione su un cloud pubblico o in un data center, il quale viene utilizzato per estendere un microtunnel verso il cloud Zscaler. Z-Connector stabilisce una connessione in uscita verso il cloud e non riceve alcuna richiesta di connessione in entrata, impedendo così gli attacchi DDoS.

All'interno del cloud di Zscaler, un CASB (Cloud Access Security Broker) approva l'accesso e stabilisce la connessione tra utente e applicazione. ZPA è una soluzione integralmente definita da software, che quindi non richiede dispositivi fisici e consente agli utenti di trarre vantaggio dal cloud e dalla mobilità preservando al contempo la sicurezza delle applicazioni; tutti questi vantaggi non possono essere ottenuti attraverso i metodi tradizionali per la connettività di rete o i firewall legacy on-premise.

Scopri come ZPA è in grado di migliorare il profilo di sicurezza ed evitare che gli utenti siano vittime di tutti i più recenti attacchi informatici, compresi DoS e DDoS.

Risorse Suggerite

FAQs

Cosa fare in caso di attacco "DoS" o "DDoS"?

Nel caso in cui l'organizzazione venga colpita da un attacco DoS o DDoS, è necessario avvisare il fornitore del servizio di sicurezza, contattare gli stakeholder e reimpostare l'indirizzo IP in modo che non venga più inondato dalle richieste. Successivamente, è necessario rivolgersi a un esperto di attacchi DDoS che aiuti a condurre un'analisi a posteriori e a mitigare gli eventuali danni potenziali che possono essere stati inflitti.

Quali sono i fattori che rendono un'organizzazione vulnerabile agli attacchi DoS o DDoS?

Qualsiasi gap lasciato aperto nella rete o nell'infrastruttura applicativa dell'organizzazione può essere sufficiente per consentire agli aggressori di inondare il server della rete o dell'applicazione con traffico spazzatura. La vulnerabilità potrebbe dipendere da una rete di tipo "castle-and-moat" che fornisce all'utente un accesso completo una volta autenticato; potrebbe trattarsi ad esempio di un errore di configurazione della sicurezza sul cloud o di una patch di un'app ancora non installata.