Buongiorno a tutti e benvenuti in questo nuovo articolo.
Innanzi tutto voglio ringraziare tutti quelli che come sempre hanno deciso di cliccare sul mio post e ringrazio tutti quelli che come al solito leggono tutto ciò che ho scritto, in quanto oggi, ma questa volta nello specifico, ho da dire delle cose piuttosto importanti che sono avvenute all’interno della mia infrastruttura.
Facciamo un passo indietro
Direi che per prima cosa sia necessario fare qualche doverosa premessa. Nel 2019 ho aperto la mia nuova infrastruttura server per fornire a tutti i miei cliente, quindi potenzialmente anche a te che stai leggendo questo mio post, uno spazio hosting con tutta una serie di servizi annessi, che ti permettesse di poter mettere online il tuo sito o qualsiasi tipo di progetto tu abbia in mente e non dover pensare (per lo meno non dal lato server e infrastrutturale, ma solo dal punto di vista prettamente del tuo progetto) alla sicurezza del server o alla sicurezza del database o dal problema degli attacchi DDoS e così via.
In pratica pagando una determinata quota mensile / annuale, ti viene messo a disposizione un servizio che ti permette di poter pensare di realizzare il tuo progetto senza dover mettere mano e senza dover risolvere problemi di sicurezza e di gestione che alla fine sono solo una perdita di tempo.
Dal 2019 ad ora l’infrastruttura si è evoluta. Sono andato ad aggiornarla diverse volte andando ad introdurre sia maggiore potenza di calcolo, ma andando ad aggiungere anche servizi, possibilità, soluzioni di consulenza mirata per venire incontro (nei limiti del possibile ovviamente) alle esigenze di ogni cliente fino all’implementazione di rigorosi protocolli di sicurezza.
Ecco, soluzioni di sicurezza
Veniamo quindi all’argomento del post. Alle soluzioni di sicurezza e ai relativi protocolli messi in atto nel corso di questi due anni. Le soluzioni di sicurezza sono state man mano migliorate per poter difendere l’intera infrastruttura (e quindi di riflesso tutti i clienti con relativi progetti e dati salvati in essa), andando ad adottare anche misure preventive. Cioè l’obiettivo era prevenire attacchi informatici in modo da non dover sovraccaricare tutto il meccanismo di difesa, riuscendo quindi a gestire le eventuali criticità in modo abbastanza lineare senza particolari intoppi di sorta.
Ma qualcosa è andato storto
Quest’anno è andato storto. Nel 2020 diciamo che con la pandemia, con la crisi economica e con tutto quello che è successo in un modo o nell’altro diversi movimenti e gruppi di “hacker” (li metto tra virgolette in quanto gli hacker in realtà sono ben altre persone, non certamente quelle che attaccano senza motivo persone o aziende) si sono messi a caccia del guadagno facile attaccando a più non posso aziende e anche privati con il semplice scopo di cercare di guadagnarci su qualcosa. Ovviamente con un incremento di attacchi, che ho stimato di circa 500%, qualsiasi forma di sicurezza che tu puoi provare ad implementare o che hai implementato in precedenza risulta sostanzialmente inefficace. Quando arrivi a ricevere fino a 500 mila attacchi al giorno di differente tipologia devi solo correre ai ripari e cercare di difenderti con ogni mezzo che hai o che puoi trovare
I problemi da risolvere
I problemi che andavano risolti erano davvero tanti. Ovviamente per prima cosa c’era bisogno di ridurre il numero di attacchi o comunque riuscire a diluirli nel tempo.
La seconda cosa era limitare i commenti di spam. In mezzo a questo altissimo numero di attacchi ovviamente non mancavano i commenti spam, botnet che inviavano commenti a più non posso, ormai senza alcun controllo costringendo i miei clienti a dover comprare dei plugin o delle soluzioni di tasca loro per risolvere il problema, cosa che dovevo risolvere perché per me è inconcepibile una cosa del genere.
Contrastare gli attacchi mirati. Questo tipo di attacco non automatico ma mirato e appositamente studiato per colpire dove un sito è più vulnerabile e quindi causare più danni possibile, è il più pericoloso. Questo tipo di attacco si può solo prevenire. Come? Analizzando il comportamento (tramite i log del server) di ogni singolo utente e determinare se le azioni che sta compiendo sono in linea con il comportamento di un utente normale o se sta commettendo azioni strane. Ovviamente installare un sistema del genere in locale (quindi nell’infrastruttura stessa) richiederebbe tempo e tantissima potenza di calcolo. Si potrebbe fare anche un controllo manuale, ma con i numeri della mia infrastruttura e con tutti i siti che vengono ospitati questo è assolutamente impossibile.
Ridurre gli attacchi DDoS, SQL injection (già ampiamente contrastati e quindi che in realtà non necessitavano di un intervento accurato), ridurre gli attacchi di rete (alle porte dei server o del firewall, alla rete stessa ecc..).
Quindi c’erano tante problematiche che necessitavano di una soluzione
Ed ecco la soluzione
Parto con lo specificare che visto che questo non è un articolo sponsorizzato non farò nomi dei servizi e software adottati.
Ho capito che era impossibile continuare a basare l’intera sicurezza solo con strumenti locali. Cioè quelli dovevano rimanere e infatti non sono stati minimamente cambiati. I protocolli di sicurezza sono e rimangono efficaci. Quello che non è più gestibile non è la gestione degli attacchi, ma il numero degli stessi.
Ho quindi deciso di collegare la mia infrastruttura ad una rete di server, una defense network fornita da un’azienda che ha creato un sistema tale che ogni server che entra a far parte di questa rete viene protetto dalla rete stessa ma ne diventa anche parte, quindi rendendo tutti un po’ più sicuri.
Con questo sistema, ho finalmente ottenuto dei buoni risultati che sinceramente non mi sarei mai immaginato.
Ho ridotto il numero di commenti e post spam del 98% (il 2% di rimanenza non riesce ad essere bloccato, ma sicuramente i proprietari di ogni sito riusciranno a gestire meglio questo numero piuttosto che quello di prima)
Ridotto al 100% il numero degli attacchi mirati
Ridotto al 99% il numero degli attacchi DDoS, tentativi di SQL injection (tentativi in quanto i protocolli di sicurezza funzionano così bene che nessun attacco di questo genere è mai riuscito)
Aggiungendo un nuovo livello di sicurezza sono riuscito quindi a limitare i danni
Ho quindi provveduto ad introdurre un WAF (Web Application Firewall) che a differenza del Network Firewall (di cui la mia infrastruttura ne dispone di ben due, una interno ai server e un altro esterno, che controlla la rete e ogni pacchetto in ingresso e in uscita), questo nuovo firewall permette di analizzare e prevenire attacchi alle applicazioni e piattaforme (come wordress, prestashop e molte altre), andando ad analizzare i log di ognuna di essa e andando ad intervenire ove ci fosse il sospetto di un attacco.
Ho adottato per la prima volta un blocco di massa ad alcune località, tra cui la Cina, da cui mi spiace dirlo arrivavano il 50% degli attacchi che ricevevo.
Risultati quindi molto promettenti
Si i risultati che ho ottenuto sono senza dubbio molto promettenti e ho intenzione ovviamente di migliorare ulteriormente per affrontare bene la fine di quest’anno e l’inizio dell’anno prossimo.
Però penso che la strada che ho imboccato sia buona e promettente. Sono riuscito a mitigare il problema, andando quindi a risolvere i problemi di sicurezza sopra citati.
Detto tutto questo vi ringrazio come sempre per aver letto tutto, grazie anche per la vostra fiducia per riporre i dati nella mia infrastruttura e non vi preoccupate che farò in modo che la vostra fiducia sia sempre rispettata prendendo decisioni che vadano a risolvere problematiche come questa.
Alla prossima 🙂
