BLOG

13 Dicembre 2024

Hyperscaler Cloud e attacchi DDOS: come cambiano gli scenari di attacco nell’era del Cloud Computing

Quelllo che abbiamo imparato sui grandi fornitori Cloud commerciali dall’analisi della reportistica dell’ultimo DDoS

Attacco-DDOS-Hyperscaler

Il panorama della sicurezza informatica è in continua evoluzione, e l’avvento del Cloud Computing ha radicalmente trasformato non solo le opportunità per le aziende, ma anche le strategie adottate dagli attaccanti. Recentemente, un caso ci ha coinvolti in prima persona, mostrando quanto siano ormai sofisticati e complessi gli attacchi DDoS (Distributed Denial of Service).

Il caso di un cliente in emergenza

Un ecommerce internazionale di prodotti virtuali, operante in vari mercati globali, ci ha contattato in una situazione di emergenza. La piattaforma PrestaShop, ospitata su un’istanza Cloud gestita da SiteGround, era sotto attacco DDoS da oltre due giorni. Nonostante i tentativi dei tecnici di mitigare l’attacco, il cliente lamentava downtime persistenti e una degradazione significativa delle performance del sito. L’impossibilità di accedere ai privilegi di root sull’istanza gestita e altre limitazioni infrastrutturali impedivano una risposta efficace e rapida.

In risposta, abbiamo proposto di effettuare un rapido onboarding presso la nostra infrastruttura, offrendo una strategia di mitigazione multi-livello.

La strategia di mitigazione

La nostra soluzione è stata progettata con un approccio olistico, combinando tecnologie avanzate e tuning personalizzato per affrontare ogni livello dell’attacco:

Protezione a livello di rete

Per gli attacchi di rete (livello 3 del modello OSI), ci siamo affidati alla protezione automatica offerta dal nostro datacenter partner, basata sulla tecnologia NetScout di Arbor Networks. Questo sistema è stato in grado di mitigare oltre 500 Gbps di traffico malevolo durante le prime dieci ore dell’attacco, dimostrando un’efficacia straordinaria nel ridurre al minimo gli impatti sul servizio del cliente e fornendo una protezione di altissimo livello capace di gestire anche i picchi più intensi. La tecnologia NetScout di Arbor Networks rappresenta una delle soluzioni più avanzate per la mitigazione degli attacchi DDoS. Integrando funzionalità di monitoraggio continuo e analisi in tempo reale, è progettata per identificare e neutralizzare minacce a livello di rete con estrema precisione. Il sistema utilizza algoritmi avanzati per distinguere il traffico legittimo da quello malevolo, garantendo un flusso regolare delle operazioni aziendali. Inoltre, la sua capacità di scalare con infrastrutture di grandi dimensioni la rende ideale per data center e fornitori di servizi cloud.

Difesa applicativa

Gli attacchi applicativi (livello 7) sono stati contrastati implementando un WAF (Web Application Firewall) di fascia enterprise fornito da Cloudflare. Abbiamo scelto questa soluzione per diversi motivi:

  • Costi contenuti: Una scelta vantaggiosa rispetto a soluzioni più onerose, con un rapporto qualità-prezzo estremamente competitivo.
  • Flessibilità nelle regole: Cloudflare consente un controllo granulare delle regole di filtering e delle relative policy, consentendo una personalizzazione avanzata e un’ottimizzazione dei parametri specifici, adattandosi perfettamente alle necessità.
  • Ampia reportistica: Un sistema di monitoraggio avanzato per identificare i pattern di attacco, fornendo una visione chiara e dettagliata dell’andamento delle minacce in tempo reale e garantendo una reattività senza eguali.

Richieste-Attacco-DDOS

Grazie al tuning iniziale, in un paio d’ore abbiamo stabilizzato il sistema, riportando online il sito senza problemi di velocità. Complessivamente, siamo riusciti a mitigare oltre 7 miliardi di richieste HTTP in 24 ore, con picchi di 800 milioni di richieste l’ora, dimostrando una capacità senza precedenti nel gestire carichi anomali di tale portata, mantenendo al contempo una user experience ottimale per gli utenti legittimi.

Strumenti Locali self hosted

Abbiamo implementato e configurato una serie di strumenti per rafforzare la sicurezza e migliorare le performance del sistema. Ecco i dettagli:

Fail2ban:

  • Blocco in tempo reale degli IP malevoli identificati tramite i log di sistema.
  • Riduzione dinamica della superficie di attacco grazie all’analisi continua dei tentativi di accesso non autorizzati.
  • Creazione automatica e costante di blacklist personalizzate basate sulle minacce rilevate.
  • Configurazioni ottimizzate per diversi servizi, come SSH, NGINX, e Postfix, per garantire protezione a 360 gradi.

NGINX Bad Bot Blocker:

  • Integrazione di un ruleset avanzato per identificare e bloccare bot noti che consumano risorse in modo improprio o rappresentano una minaccia.
  • Miglioramento della resilienza complessiva del sistema, evitando attacchi di scraping o brute force da parte di crawler non autorizzati.
  • Aggiornamenti regolari delle regole per rimanere al passo con le nuove minacce emergenti.
  • Riduzione del carico sul server grazie alla prevenzione di richieste dannose.

 

Filtri specifici con IPTables:

  • Filtraggio a livello GEOIP, per bloccare traffico proveniente da paesi considerati a rischio o non rilevanti per il business.
  • Utilizzo di regole basate su ASN (Autonomous System Number), permettendo di escludere interi blocchi di rete gestiti da provider con una reputazione compromessa.
  • Creazione di regole granulari per filtrare pacchetti in base a specifici protocolli, porte e indirizzi IP, riducendo la probabilità di attacchi DDoS.
  • Integrazione con strumenti di monitoraggio per analizzare e adattare le regole in tempo reale, massimizzando la protezione senza compromettere le performance del sistema.

Queste configurazioni non solo migliorano la sicurezza, ma contribuiscono a ridurre il carico sui sistemi, garantendo una maggiore efficienza e stabilità operativa.

I dati che emergono dall’attacco

Analizzando i report generati, è emersa una tendenza preoccupante e significativa che evidenzia come il panorama degli attacchi DDoS si sia trasformato radicalmente negli ultimi anni. In passato, i principali vettori di attacco DDoS erano rappresentati da indirizzi IP consumer, tipicamente legati a connessioni ADSL o reti simili, che venivano sfruttati in modo massiccio. Molte di queste connessioni provenivano da paesi caratterizzati da una bassa regolamentazione in ambito cyber, come Cina, Brasile, Iran, Malesia e Russia. Queste regioni rappresentavano un terreno fertile per gli attaccanti, grazie alla combinazione di infrastrutture meno sicure e normative poco rigide, che rendevano più semplice per i malintenzionati sfruttare queste reti per generare traffico malevolo.

Hyperscaler-DDOS

Oggi, tuttavia, la situazione appare drasticamente cambiata, con un salto evolutivo che ha spostato il focus degli attacchi verso infrastrutture più avanzate. La maggior parte delle richieste malevole non proviene più da connessioni consumer, bensì da istanze ospitate su hyperscaler cloud commerciali. Fornitori come Oracle, Microsoft Azure, DigitalOcean, Vultr, OVH e Alibaba Cloud sono diventati le nuove piattaforme preferite dagli attaccanti. Questo cambiamento è significativo, poiché evidenzia come gli attori delle minacce stiano sfruttando l’enorme scalabilità e flessibilità di queste infrastrutture per lanciare attacchi su larga scala.

Hyperscaler Cloud

Un hyperscaler è un fornitore di infrastrutture cloud progettato per offrire risorse di calcolo, archiviazione e rete in modo altamente automatizzato e scalabile su scala globale. Questi provider operano data center distribuiti in più regioni geografiche, consentendo agli utenti di accedere a risorse virtualizzate con latenza minima e alta disponibilità. Grazie a tecnologie avanzate come il bilanciamento del carico, la virtualizzazione e l’ottimizzazione energetica, gli hyperscaler garantiscono una gestione efficiente dei workload, adattandosi dinamicamente alle esigenze dei clienti, sia che si tratti di piccole startup che di grandi imprese. La loro infrastruttura permette di ridurre i costi operativi e accelerare l’innovazione, supportando un’ampia gamma di applicazioni, dai semplici siti web ai complessi sistemi di intelligenza artificiale e analisi dei big data.

Due ipotesi principali

L’analisi dei dati suggerisce due possibili spiegazioni:

  1. Istanze compromesse: Le infrastrutture hyperscaler, data la vastità delle infrastrutture hyperscaler e l’enorme numero di istanze attive, è plausibile che molte di queste risultino vulnerabili a exploit o configurazioni insicure. Gli attaccanti potrebbero sfruttare tali risorse compromesse come testa di ponte per organizzare attacchi su larga scala. Questo approccio non solo aumenta la complessità delle operazioni di mitigazione, ma rende estremamente difficile identificare le fonti reali degli attacchi, poiché il traffico malevolo viene veicolato attraverso piattaforme legittime e distribuite.
  2. Provisioning malevolo: La natura flessibile e scalabile del cloud, supportata da un modello pay-per-use, offre agli attaccanti la possibilità di creare e distruggere istanze virtuali in tempi rapidissimi. Questa dinamica permette a gruppi organizzati di sviluppare script automatizzati per il provisioning di istanze dedicate agli attacchi. Con un coordinamento centralizzato, tali attaccanti possono orchestrare operazioni su vasta scala, riducendo al minimo i costi operativi e massimizzando l’efficacia degli attacchi. Questo tipo di strategia introduce un livello di agilità operativa mai visto prima, che mette in crisi le tecniche tradizionali di rilevamento e blocco. La combinazione di anonimato, velocità e potenza di calcolo accessibile rappresenta una sfida senza precedenti per i difensori.

Implicazioni per il futuro

Questa evoluzione nel panorama degli attacchi DDoS solleva importanti questioni per il settore della sicurezza informatica e del Cloud Computing:

Responsabilità degli hyperscaler

Gli hyperscaler cloud devono adottare misure più rigorose per prevenire l’uso malevolo delle loro infrastrutture. Ciò include:

  • Monitoraggio proattivo delle istanze per identificare comportamenti anomali, riducendo significativamente i rischi di abuso su larga scala e implementando sistemi di rilevamento basati sull’intelligenza artificiale.
  • Maggiore enfasi sulla sicurezza delle configurazioni di default per ridurre le vulnerabilità, rendendo più difficile per gli attaccanti sfruttare le falle del sistema e prevenendo l’escalation degli attacchi su vasta scala.
  • Collaborazione con aziende di sicurezza per mitigare gli attacchi in tempo reale, creando un ecosistema difensivo più robusto ed efficiente, capace di rispondere rapidamente alle minacce emergenti.

Strategia difensiva aziendale

Per le aziende, l’approccio alla sicurezza deve essere ripensato:

  • Soluzioni multi-livello: Combinare protezioni a livello di rete, applicativo e locale è fondamentale per affrontare attacchi complessi e mirati, garantendo una copertura completa contro una gamma diversificata di minacce.
  • Collaborazione con fornitori specializzati: Partner esperti in sicurezza e mitigazione DDoS possono fare la differenza nei momenti critici, garantendo una risposta rapida ed efficace e minimizzando i tempi di inattività.
  • Preparazione proattiva: Effettuare simulazioni di attacchi e testare i sistemi di difesa prima che si verifichino situazioni reali, migliorando la resilienza complessiva dell’infrastruttura e assicurandosi che le misure siano sempre aggiornate alle ultime minacce.

Conclusione

Il caso affrontato mette in luce un cambiamento significativo nel modo in cui vengono condotti gli attacchi DDoS nell’era del Cloud Computing. Se da un lato il cloud offre vantaggi senza precedenti in termini di scalabilità e flessibilità, dall’altro introduce nuove vulnerabilità che gli attaccanti sono pronti a sfruttare.

Per le aziende come la nostra, specializzate in hosting e sistemistica Linux, è essenziale rimanere un passo avanti, adattando continuamente le strategie di difesa e collaborando con partner tecnologici di eccellenza. La sicurezza non è mai statica, e solo con un approccio dinamico e proattivo possiamo garantire la protezione dei nostri clienti in un panorama sempre più complesso e sfidante, costruendo una fiducia duratura attraverso la capacità di rispondere efficacemente alle sfide del futuro.

Hai dei dubbi? Non sai da dove iniziare? Contattaci !

Abbiamo tutte le risposte alle tue domande per aiutarti nella giusta scelta.

Chatta con noi

Chatta direttamente con il nostro supporto prevendita.

0256569681

Contattaci telefonicamente negli orari d’ufficio 9:30 – 19:30

Contattaci online

Apri una richiesta direttamente nell’area dei contatti.

INFORMAZIONI

Managed Server S.r.l. è un player italiano di riferimento nel fornire soluzioni avanzate di sistemistica GNU/Linux orientate all’alta performance. Con un modello di sottoscrizione dai costi contenuti e prevedibili, ci assicuriamo che i nostri clienti abbiano accesso a tecnologie avanzate nel campo dell’hosting, server dedicati e servizi cloud. Oltre a questo, offriamo consulenza sistemistica su sistemi Linux e manutenzione specializzata in DBMS, IT Security, Cloud e molto altro. Ci distinguiamo per l’expertise in hosting di primari CMS Open Source come WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart e Magento, affiancato da un servizio di supporto e consulenza di alto livello adatto per la Pubblica Amministrazione, PMI, ed aziende di qualsiasi dimensione.

Red Hat, Inc. detiene i diritti su Red Hat®, RHEL®, RedHat Linux®, e CentOS®; AlmaLinux™ è un marchio di AlmaLinux OS Foundation; Rocky Linux® è un marchio registrato di Rocky Linux Foundation; SUSE® è un marchio registrato di SUSE LLC; Canonical Ltd. detiene i diritti su Ubuntu®; Software in the Public Interest, Inc. detiene i diritti su Debian®; Linus Torvalds detiene i diritti su Linux®; FreeBSD® è un marchio registrato di The FreeBSD Foundation; NetBSD® è un marchio registrato di The NetBSD Foundation; OpenBSD® è un marchio registrato di Theo de Raadt. Oracle Corporation detiene i diritti su Oracle®, MySQL®, e MyRocks®; Percona® è un marchio registrato di Percona LLC; MariaDB® è un marchio registrato di MariaDB Corporation Ab; REDIS® è un marchio registrato di Redis Labs Ltd. F5 Networks, Inc. detiene i diritti su NGINX® e NGINX Plus®; Varnish® è un marchio registrato di Varnish Software AB. Adobe Inc. detiene i diritti su Magento®; PrestaShop® è un marchio registrato di PrestaShop SA; OpenCart® è un marchio registrato di OpenCart Limited. Automattic Inc. detiene i diritti su WordPress®, WooCommerce®, e JetPack®; Open Source Matters, Inc. detiene i diritti su Joomla®; Dries Buytaert detiene i diritti su Drupal®. Amazon Web Services, Inc. detiene i diritti su AWS®; Google LLC detiene i diritti su Google Cloud™ e Chrome™; Microsoft Corporation detiene i diritti su Microsoft®, Azure®, e Internet Explorer®; Mozilla Foundation detiene i diritti su Firefox®. Apache® è un marchio registrato di The Apache Software Foundation; PHP® è un marchio registrato del PHP Group. CloudFlare® è un marchio registrato di Cloudflare, Inc.; NETSCOUT® è un marchio registrato di NETSCOUT Systems Inc.; ElasticSearch®, LogStash®, e Kibana® sono marchi registrati di Elastic N.V. Hetzner Online GmbH detiene i diritti su Hetzner®; OVHcloud è un marchio registrato di OVH Groupe SAS; cPanel®, L.L.C. detiene i diritti su cPanel®; Plesk® è un marchio registrato di Plesk International GmbH; Facebook, Inc. detiene i diritti su Facebook®. Questo sito non è affiliato, sponsorizzato o altrimenti associato a nessuna delle entità sopra menzionate e non rappresenta nessuna di queste entità in alcun modo. Tutti i diritti sui marchi e sui nomi di prodotto menzionati sono di proprietà dei rispettivi detentori di copyright. Ogni altro marchio citato appartiene ai propri registranti. MANAGED SERVER® è un marchio registrato a livello europeo da MANAGED SERVER SRL, Via Enzo Ferrari, 9, 62012 Civitanova Marche (MC), Italia.

Torna in alto