Protezione da attacco hacker DDoS: il ruolo cruciale degli operatori Telco

Le pubbliche amministrazioni e le grandi aziende, come gli istituti bancari, sono tra i bersagli preferiti della criminalità informatica. Dai primi malware come Zeus alle minacce più recenti, queste organizzazioni sono costantemente sotto assedio La causa sono hacker sempre più sofisticati e un progresso tecnologico che ha reso gli attacchi non solo più frequenti, ma anche più devastanti, con conseguenze economiche e reputazionali rilevanti.

Tra le minacce più pericolose, oggi ci sono gli attacchi DDoS (Distributed Denial of Service) che si distinguono per la loro capacità di paralizzare intere infrastrutture IT, rendendo inutilizzabili servizi essenziali.

In questo articolo analizziamo il fenomeno, le motivazioni dietro questi attacchi e il ruolo fondamentale giocato dagli operatori di rete nella protezione.

Negli ultimi anni, pubbliche amministrazioni e istituti finanziari italiani sono stati bersaglio di una crescente ondata di attacchi informatici. Questa minaccia emerge chiaramente dal Rapporto 2024 dell’Osservatorio Attacchi Digitali in Italia (OAD), pubblicato dall’AIPSI (Associazione Italiana Professionisti Sicurezza Informatica) in collaborazione con la Polizia Postale, FidaInform e AICA. L’indagine evidenzia, infatti, un panorama preoccupante: nel 2023, il 72,4% delle aziende e degli enti intervistati ha subito almeno un attacco informatico ai propri sistemi informativi, a conferma della pervasività delle minacce digitali nel tessuto economico e istituzionale del Paese.

Ad essere maggiormente colpite da attacchi più sofisticati sono state le grandi organizzazioni, come pubbliche amministrazioni e istituti bancari, realtà bersaglio di attacchi mirati chiamati DDoS.

Il rapporto mette in evidenza anche che il 58,4% delle aziende ed enti intervistati ha rilevato attacchi hacker alle proprie applicazioni e ambienti web, con un’incidenza ancora più significativa sul cloud, dove il 60,6% degli attacchi si è concentrato. Questo trend riflette l'evoluzione delle minacce cyber verso ambienti sempre più distribuiti e interconnessi, in cui la sicurezza dei dati diventa un elemento cruciale per la continuità operativa delle imprese.

Se con l’analisi OAD, gli ultimi anni appaiono allarmanti per le grandi aziende e pubbliche amministrazioni, il 2025 sembra non voler essere da meno. In pochissimi giorni dall’inizio dell’anno, infatti, si siano verificati alcuni tra gli attacchi DDoS più massicci e pericolosi mai registrati, con la maggior parte di essi legata a una specifica vulnerabilità del protocollo HTTP/2.

Questa falla, denominata HTTP/2 Rapid Reset, sfrutta un sistema di accelerazione del caricamento che consente di inviare un numero elevato di richieste simultanee a un sito web utilizzando una sola connessione.

Secondo i giganti del settore tecnologico, gli attacchi DDoS basati su questa tecnica hanno generato milioni di richieste, che venivano inviate e poi annullate automaticamente, causando un sovraccarico critico dei server fino a renderli inutilizzabili.

Un attacco hacker DDoS (Distributed Denial of Service) non è altro che un tentativo ostile di bloccare il normale traffico di un server, servizio o rete, sopraffacendo la vittima o l’infrastruttura circostante inondandola di traffico Internet. Questi attacchi sfruttano reti di dispositivi compromessi, chiamati botnet, composte da computer e dispositivi IoT infettati da malware. Una volta sotto il controllo di un hacker, queste macchine vengono attivate simultaneamente per sommergere di richieste il bersaglio, sovraccaricandolo e causando un’interruzione dei servizi.

Il sintomo più evidente di un attacco DDoS, quindi, è la lentezza di un sito o la sua non disponibilità. Tuttavia, poiché una serie di cause, come un picco legittimo del traffico, può creare problemi di prestazioni simili, di solito sono necessarie ulteriori indagini. Tra queste, gli strumenti di analisi del traffico possono aiutare a individuare alcuni di questi segnali rivelatori di un attacco DDoS:

• Quantità sospette di traffico proveniente da un singolo indirizzo IP o da un intervallo di indirizzi IP.
• L’Un aumento inspiegabile delle richieste a una singola pagina o endpoint.
• Strani schemi di traffico, come picchi in ore inconsuete del giorno o sequenze che sembrano innaturali.
• Un flusso di traffico da utenti che condividono un unico profilo comportamentale, come il tipo di dispositivo, la geolocalizzazione o la versione del browser Web.

Aziende e istituzioni pubbliche gestiscono una quantità enorme di dati sensibili con un valore elevato per gli hacker, che possono sfruttarli per attività illecite o per estorcere denaro tramite ransomware.

Inoltre, le istituzioni pubbliche controllano spesso infrastrutture critiche, come quelle sanitarie, energetiche e di trasporto. Un attacco a questi sistemi può causare danni enormi, non solo a livello economico, ma anche sociale, influenzando milioni di persone. L’obiettivo degli hacker sarebbe quindi quello di ottenere il controllo su questi settori strategici, sia per trarne vantaggio economico, sia per fare dichiarazioni politiche o ideologiche.

Un altro fattore determinante è la sicurezza digitale, poiché i sistemi adottati da queste grandi aziende, pur essendo avanzati, possono talvolta renderle più vulnerabili a minacce esterne. La protezione dei dati e dei sistemi richiede un monitoraggio continuo e pratiche costanti, ma molte organizzazioni non curano abbastanza questi aspetti, rendendole obiettivi facili per i cybercriminali.

Infine, gli hacker considerano l'attività di cybercrime come un vero e proprio business. Le grandi aziende e le istituzioni pubbliche sono obiettivi redditizi, poiché gli hacker possono trarre vantaggio dal furto di dati per il mercato nero o chiedere riscatti elevati per il recupero dei sistemi compromessi.

Dopo aver compreso quali sono i motivi che rendono le aziende così vulnerabili, è altresì essenziale che le aziende e le istituzioni investano in misure di sicurezza avanzate e strategie proattive per imparare come difendersi da un attacco hacker.

Un ruolo cruciale nella difesa contro queste minacce lo giocano gli operatori Telco, in quanto principali responsabili della gestione e della protezione delle infrastrutture di rete. Le aziende e gli enti pubblici, quindi, possono sfruttare la collaborazione con questi operatori per rafforzare la propria difesa attraverso diverse strategie e tecnologie messe a disposizione dai fornitori di connettività.
Vediamole nello specifico:

• Filtraggio del traffico a livello di rete. Questo metodo permette di bloccare il traffico dannoso a livello di rete prima che raggiunga i sistemi aziendali, prevenendo attacchi malevoli.
• Mitigazione DDoS a livello di provider. Gli operatori di rete offrono servizi avanzati, noti come “scrubbing” o “cleansing” che consentono di analizzare e filtrare il traffico in tempo reale, fermando gli attacchi prima che raggiungano la destinazione finale.
• Anonimizzazione del traffico (IP masking). Con questa soluzione, invece, gli operatori riescono a nascondere l’infrastruttura di rete con tecniche di mascheramento IP, riducendo il rischio di attacchi mirati.
• Scrubbing distribuito. Quando un attacco DDoS diventa particolarmente massiccio, il traffico viene indirizzato a centri specializzati per la pulizia, evitando il sovraccarico della rete.
• Controllo e monitoraggio continuo. Gli operatori di rete offrono soluzioni di monitoraggio continuo del traffico, che permettono di rilevare tempestivamente anomalie e attacchi in corso.
• Protezione a livello di edge. Questo metodo filtra le minacce all'ingresso della rete, isolando i tentativi di attacco prima che raggiungano i sistemi critici.

In un panorama digitale sempre più esposto a minacce informatiche sofisticate, proteggere le infrastrutture IT di aziende e istituzioni pubbliche non è più un'opzione, ma una necessità strategica. E TIM Enterprise supporta le aziende in questo processo.

Grazie a TIM DDoS Protection, TIM Enterprise offre una soluzione di sicurezza integrata nella rete per proteggere il business delle aziende da attacchi informatici di Distribuited Denial of Service (DDoS), salvaguardando i livelli di disponibilità delle risorse ICT a supporto dei servizi online.

Il Servizio è gestito da personale specialistico del Security Operation Center (SOC) di TIM, operativo 24 ore su 24, ed erogato attraverso avanzate piattaforme tecnologiche, Best of the Breed, configurate direttamente nel backbone di TIM.

La semplicità e la flessibilità del modello commerciale, insieme alla competenza specialistica offerta nell’erogazione del servizio DDoS Protection di TIM, permettono di rispondere adeguatamente alle esigenze di protezione del cliente con alti livelli qualitativi.