- Documentate l’attacco (flussi di rete, log al server, scambi di e-mail con i ricattatori ecc.). Questi dati sono importanti per un’analisi successiva e un’eventuale denuncia contro ignoti;
- assicuratevi di poter tenere aperti determinati canali d’informazione verso l’esterno, come ad esempio un sito Internet statico sul quale informare i clienti e indicare loro possibilità di contatto alternative (telefono, fax, e-mail ecc.);
- analizzate l’attacco e stabilite una strategia di difesa:
se l’attacco è partito da un numero limitato di indirizzi IP, può bastare un filtro per questi indirizzi nel router o nel firewall. Se il volume dei dati supera la larghezza di banda a disposizione deve occuparsene il fornitore di servizi Internet (ISP),
nel caso di attacchi basati solo su IP: provate a spostare il sistema soggetto all’attacco su un’altra sottorete. In questi casi conviene cercare una soluzione in stretta collaborazione con l’ISP e/o con un provider specializzato nella mitigazione di attacchi DDoS,
nel caso di un attacco in cui gli indirizzi IP sorgente sono stati probabilmente falsificati (questo accade solitamente nel caso di attacchi di tipo «SYN flooding», «UDP flooding», «BGP flooding» e «SNMP flooding»): filtrare gli indirizzi IP non ha senso, poiché si potrebbero addirittura bloccare degli utenti legittimi. Anche in questo caso la soluzione deve essere trovata in collaborazione con l’ISP, che può deviare e filtrare il traffico. A questo fine dovreste però sapere già prima quali protocolli vengono utilizzati presso la vostra organizzazione e quali possono essere filtrati senza provocare danni. I siti accessibili al pubblico si limitano solitamente a protocolli su base TCP (HTTP, HTTPS, SMTP ecc.), quindi i protocolli «stateless» come UDP possono essere bloccati senza problemi con un filtro (eventuale eccezione: DNS),
attacco a un’applicazione: in questo caso l’applicazione viene resa inutilizzabile da un gran numero di richieste (complesse). Di solito gli attacchi impiegano il protocollo di rete TCP. L’indirizzo di origine è quindi difficile da falsificare e può essere bloccato in base a diversi criteri di filtraggio,
attacchi al protocollo SSL/TLS: può essere utile interrompere la connessione SSL a un servizio cloud che inoltra poi la connessione filtrata ai vostri sistemi,
se la maggior parte della clientela si trova in determinati Paesi si può anche applicare un filtro GeoIP per concedere priorità o filtrare. In questo modo il servizio rimane disponibile il più a lungo possibile, anche se può succedere che alcuni utenti legittimi vengano bloccati o ricevano una priorità inferiore;
- siate preparati al fatto che gli aggressori tenteranno di reagire alle misure di difesa implementate ricorrendo a nuove tattiche. In questi casi analizzate nuovamente il DDoS e adottate contromisure corrispondenti;
- segnalate il caso all’UFCS e presentate denuncia presso il posto di polizia competente per (tentato) danneggiamento di dati (art. 144bis CP) e, qualora si sia verificata, per (tentata) estorsione (art. 156 CP). Si parla di danneggiamento di dati anche nel caso in cui, a causa di un attacco, per un certo lasso di tempo, i dati non siano più fruibili e risultino perciò inutilizzabili;
Pagamento di riscatti
- l’UFCS consiglia vivamente di non cedere alle richieste dei ricattatori.
- se doveste comunque prendere in considerazione il pagamento del riscatto, l’UFCS consiglia vivamente di discuterne con la polizia cantonale.
