Questa settimana un attacco informatico ha messo in ginocchio i servizi cloud di Microsoft, causando disagi a livello globale per diverse ore.
L’attacco, di tipo DDoS (Distributed Denial of Service), ha preso di mira specificamente le infrastrutture cloud dell’azienda, su cui molte organizzazioni fanno affidamento per gestire le loro operazioni quotidiane.
È una buona occasione per capire come sia possibile che un evento del genere possa accadere; anche ai danni di un’azienda così grande e tecnologicamente preparata.
E quali lezioni apprendere per il futuro.
Indice degli argomenti
Effetti dell’attacco DDoS a Microsoft
L’interruzione, durata circa 10 ore, ha coinvolto una serie di servizi critici tra cui Azure App Services, Application Insights, Azure IoT Central, Azure Log Search Alerts, e Azure Policy. Anche l’accesso al portale Azure, alcuni servizi di Microsoft 365 e Purview sono stati colpiti. Secondo quanto riportato dalla BBC, l’outage ha avuto un impatto significativo su vari settori, tra cui utilities, tribunali, banche e altre organizzazioni essenziali.
Microsoft ha spiegato che l’origine del problema è stato un inaspettato picco di utilizzo dei servizi, che ha portato i componenti di Azure Front Door e della Content Delivery Network a funzionare al di sotto delle soglie accettabili. Questo ha provocato errori, timeout e problemi di latenza, complicando ulteriormente la situazione.
Peculiarità degli attacchi DDoS
Sicuramente gli impatti prodotti suggeriscono un grande allarme su tutti i fronti: come abbiamo visto, i servizi di Microsoft sono, appunto, utilizzati largamente in tutto il mondo.
Tuttavia, c’è da ricordare che gli attacchi DDoS, per definizione, sono mitigabili sicuramente con giuste configurazioni e attenuati nella maggior parte dei casi con le giuste implementazioni di sicurezza, ma il tipo di attacco in sé non richiede una certa “bravura” operativa da parte dei criminali: richiede solo di saper orientare le masse contro un obiettivo.
È quindi normale che far diventare un colosso globale come Microsoft, simbolo del sogno americano, il target numero uno di un attacco di questo genere diventa più un’azione di attivismo (soprattutto se ci contestualizziamo nel bel mezzo di una campagna elettorale presidenziale USA) che di hacking.
A questi livelli c’è anche da ribadire che il fattore umano, essenziale anello della catena per un attacco di tipo ransomware (soprattutto se deve iniziare da un phishing o da un attacco di ingegneria sociale), non ha alcuna rilevanza.
Potenzialmente, una qualsiasi azienda può mettere in atto tutte le migliori attività di mitigazione che, se le masse sono orientate come il criminale vuole, e se le masse orientabili sono estremamente numerose, la banda utilizzata per l’attacco sarà sempre superiore a quella la quale l’azienda target (Microsoft in questo caso), può disporre. L’attacco DDoS avrebbe sempre effetto.
Questo per spiegare che un attacco DDoS non distrugge niente (di ciò che incontra), crea un disservizio che, oltretutto non può essere illimitato, la banda necessaria costa per tutti, costa per l’azienda target per difendersi, ma soprattutto costa tanto anche per gli attaccanti e le masse di attaccanti che sono state coinvolte. Si possono orientare delle masse di attaccanti importanti, ma sempre per un certo periodo, non di certo per sempre. Il primo che spegne il computer, perde.
Dettagli sull’attacco contro Microsoft
David Higgins, Senior Director del Field Technology Office di CyberArk, ha commentato l’accaduto sottolineando come l’attacco abbia colpito duramente i servizi cloud di Microsoft, che gestiscono applicazioni e server per aziende di tutto il mondo. “Quando i servizi di Microsoft smettono di funzionare, anche i servizi collegati subiscono interruzioni: richieste di accesso, applicazioni e altro smettono di funzionare, creando disagi su larga scala”, commenta Higgins.
Al momento, i responsabili dell’attacco non sono ancora noti. Tuttavia, non è la prima volta che Microsoft subisce un attacco DDoS: l’anno scorso, un’interruzione di servizio era stata attribuita a un gruppo di hacktivisti. È possibile che anche questa volta si tratti di un gruppo simile, desideroso di dimostrare quanto siano critici i servizi IT di Microsoft per le aziende di tutto il mondo.
Gli attacchi DDoS sono utilizzati sia da criminali informatici che da attori statali, ognuno con diverse motivazioni. Senza informazioni sufficienti, non è possibile stabilire con certezza chi sia responsabile di questo attacco.
I punti chiave da portare a casa
Questo incidente mette in luce alcune questioni chiave.
- In primo luogo, la configurazione errata delle impostazioni di sicurezza ha amplificato l’impatto dell’attacco, evidenziando che l’implementazione di strumenti di sicurezza da sola non è sufficiente. Le aziende devono adottare misure proattive per testare costantemente le proprie difese.
- In secondo luogo, l’importanza della resilienza operativa: le imprese devono assicurarsi di avere processi di emergenza ben definiti, in modo che un’interruzione di un provider critico come Microsoft non comprometta del tutto le loro attività.
- L’attacco DDoS a Microsoft ha mostrato quanto possa essere vulnerabile anche un colosso tecnologico e quanto sia cruciale per le aziende di tutto il mondo avere piani di contingenza robusti. La sicurezza informatica e la resilienza operativa devono rimanere priorità assolute per prevenire e mitigare l’impatto di futuri attacchi.
