- Associazione
Lo scorso fine settimana, in particolare ieri domenica 12 gennaio, l’Italia si è ritrovata sotto una nuova ondata di attacchi informatici. Il gruppo di hacker filorusso Noname057 ha condotto offensive su larga scala, colpendo siti di istituzioni e realtà strategiche, fra cui banche (Intesa, MPS, Iccrea) e i porti di Taranto e Trieste. A seguire, il gruppo filopalestinese Alixsec ha preso di mira aziende come Olidata, Skillbill e Zucchetti Design.
Per fronteggiare l’emergenza, l’Agenzia per la Cybersicurezza Nazionale (ACN) è intervenuta rapidamente, collaborando con i soggetti colpiti per ripristinare le funzionalità compromesse. Gli attacchi, classificati come DDoS (Distributed Denial of Service), mirano a generare un sovraccarico dei sistemi attraverso un’enorme mole di traffico “lecito” proveniente da fonti molteplici. Secondo il rapporto Clusit “2024 La sicurezza ICT in Italia”, si tratta della seconda tipologia di attacco informatico più diffusa a livello nazionale*, data la sua capacità di interrompere o rallentare pesantemente i servizi online.
La situazione risulta ancora più delicata dopo il ritorno in azione del collettivo Noname057, che ha ripreso gli attacchi dopo circa due settimane di pausa (l’ultima offensiva risaliva al 28 dicembre). Il gruppo ha infatti lanciato un avvertimento alle autorità italiane, rimarcando la necessità di rinforzare la sicurezza informatica nazionale. Questa nuova escalation evidenzia la fragilità delle aziende, delle infrastrutture critiche e delle amministrazioni pubbliche, sottolineando l’urgenza di investire in una strategia di difesa cibernetica completa ed efficace.
Di fronte a tali minacce, esistono però diverse soluzioni di mitigazione. Tra queste, il supporto diretto di un provider di servizi rappresenta uno strumento chiave: molti fornitori, infatti, dispongono di tecnologie e sistemi capaci di identificare e bloccare il traffico malevolo ben prima che raggiunga i server.
Skybackbone Engenio, player di riferimento nel settore della consulenza per il Cloud Computing e la Cybersecurity, ad esempio, protegge i propri ambienti cloud con sistemi di protezione anti-DDoS interne e a livello di Cloud provider. "In condizioni normali, misuriamo il livello di traffico di rete che raggiunge i servizi (e.g. banda passante in rete bps, pacchetti al secondo, richieste al secondo, carico dell’infrastruttura), in modo da stabilire un quadro di riferimento chiaro per individuare eventuali anomalie" racconta Piero Malfona, Cyser Security Director, DPO e CISO di Skybackbone Engenio.
Quando viene lanciato un attacco DDoS da una botnet, il primo posto in cui può essere rilevato è un Point of Presence (PoP) del cloud provider, dove quest’ultimo si interconnette con i router di altri operatori per accedere a Internet. Da qui, il traffico generato dall’attacco entra nella rete di backbone del provider e grazie all’elevata capacità della banda passante, non provoca la saturazione di nessun collegamento.
In seguito, il cyberattacco raggiunge i server, che cominciano ad elaborare le richieste. I segnali di possibili attività insolite vengono evidenziati dai nostri sistemi di monitoring e possono includere un elevato utilizzo delle risorse da parte dei server e basse prestazioni di rete, dovute all'amplificazione del traffico Internet e al degrado del servizio. Parallelamente, l'analisi del traffico da parte dell'infrastruttura anti-DDoS rileva l'attacco, attivando il processo di mitigazione. Se parte dell’infrastruttura è esterna al nostro cloud, per sedare l’attacco utilizziamo strumenti/servizi di terze parti.
Una volta rilevato un attacco, i sistemi anti DDoS si attivano in pochi secondi. Il traffico anomalo in entrata sui server viene dirottato altrove e l'attacco bloccato, mentre il traffico legittimo continua a passare e raggiunge i server. Questo processo è completamente governato dal cloud provider che è il solo ad avere la capienza per poter gestire volumi spropositati di traffico prima che possano saturare i server.
In definitiva, i recenti avvenimenti mettono in luce quanto sia fondamentale disporre di soluzioni adeguate per difendersi dagli attacchi DDoS. L’elevato rischio di fermi operativi e danni reputazionali, unito all’importanza di tutelare dati e servizi critici, impone di dotarsi di infrastrutture robuste, procedure di emergenza ben definite e personale qualificato. Solo mantenendo alta la soglia di attenzione e rafforzando le misure di sicurezza sarà possibile proteggere sia il settore pubblico sia quello privato dalle minacce informatiche in costante evoluzione.
