Come abbiamo protetto il sito di un'istituzione pubblica

Le istituzioni pubbliche affrontano sfide di cybersecurity uniche. A differenza dei settori privati con infrastrutture flessibili, i siti web governativi devono mantenere stabilità, disponibilità e accessibilità per i cittadini—spesso mentre subiscono attacchi inesorabili.

Questo caso di studio esplora come abbiamo protetto un'istituzione pubblica spagnola che soffriva di attacchi DDoS costanti da parte di NoName057(16), un collettivo hacktivista pro-russo, trasformando il caos in eccellenza operativa.

La sfida: architettura sotto assedio

Il sito web basato su CMS dell'istituzione soffriva di una combinazione di vulnerabilità architettoniche:

• Inefficienza del CMS: La piattaforma originale consumava risorse eccessive, rendendola vulnerabile agli attacchi volumetrici
• Esaurimento delle risorse: Le richieste legittime dei cittadini non potevano essere servite quando il traffico bot inondava il sistema
• Nessun filtro del traffico: Tutto il traffico in arrivo—incluse le ovvie richieste bot—raggiungeva i server di origine
• Esposizione DDoS: L'istituzione affrontava più vettori di attacco simultaneamente: inondazioni HTTP, saturazione della larghezza di banda e exploit a livello applicativo

Risposta rapida durante gli attacchi attivi

La gravità divenne evidente durante la fase di onboarding stessa. Nel giro di ore dall'inizio della distribuzione, NoName057 intensificò i suoi attacchi, testando la nostra capacità di proteggere mentre stabilivamo nuove misure di sicurezza.

Ciò richiedeva orchestrazione in tempo reale dei livelli di protezione mantenendo la continuità del servizio.

Distribuzione della strategia di protezione

1. Under Attack Mode e Anti-DDoS

Abbiamo attivato la Under Attack Mode di Perimetrical combinata con capacità dedicate Anti-DDoS, abilitando:

• Filtraggio aggressivo del traffico all'edge
• Mitigazione automatica degli attacchi volumetrici
• Commutazione in tempo reale tra profili di protezione

2. Configurazione a livello edge

Utilizzando VCL (Varnish Configuration Language), abbiamo distribuito logica sofisticata all'edge:

• Ottimizzazione della cache: Chiavi e direttive di cache aggressive per massimizzare il rapporto di hit
• Reindirizzamenti intelligenti: Il traffico dannoso reindirizzato lontano dall'infrastruttura di origine
• Routing dinamico: Le richieste legittime prioritizzate in base all'analisi comportamentale

3. WAF e rilevamento delle anomalie

Il Web Application Firewall (WAF) combinato con il rilevamento delle anomalie statistiche ha creato una difesa multistrato:

• Risposte basate su soglie:
  • Più di 500 req/s da una singola sorgente → avviso email automatico
  • Più di 1.500 req/s → sfida CAPTCHA automaticamente attivata
  • IP sospetti con pattern anomali → JavaScript Challenge per la verifica
• Geo-blocking durante gli incidenti: Le richieste provenienti da fuori la Spagna durante gli attacchi → User-Agent Match (UAM) temporaneo applicato
• Blocchi della reputazione IP: L'infrastruttura botnet nota contrassegnata per il blocco immediato
• Rilevamento Selenium: Gli attacchi del browser automatizzati identificati e bloccati
• Protezione dei moduli: Le richieste POST/PUT filtrate con regole WAF rigorose per moduli ed endpoint AJAX

4. Sistema di risposta intelligente di Transparent Edge

La nostra piattaforma ha rilevato più firme di attacco in tempo reale:

• Tentativi di iniezione XSS: Bloccati prima di raggiungere l'origine
• Sonde di iniezione SQL: Automaticamente rilevate e registrate
• Traffico di scraper: Riconosciuto e limitato per prevenire l'esfiltrazione di dati
• Reti bot: Identificate mediante analisi comportamentale (User-Agent, modelli di richiesta, timing)

5. Personalizzazione e gestione della whitelist

Anche la protezione sofisticata richiede sfumature. Abbiamo implementato regole personalizzate per casi edge:

• Iframe del servizio di accessibilità: Un plugin di accessibilità di terze parti è stato contrassegnato come sospetto. Lo abbiamo inserito nella whitelist mantenendo la protezione dalle minacce effettive.
• Web scraping di agenzie di stampa: Gli aggregatori di notizie legittimi avevano bisogno di accesso ai titoli. Abbiamo creato regole specifiche per consentire alle agenzie di stampa di recuperare contenuti bloccando gli scraper dannosi.
• Integrazioni partner governative: Altri enti pubblici avevano bisogno di accesso programmatico—configurato con politiche di sicurezza specifiche per API

Risultati: protezione in azione

La strategia combinata ha fornito risultati quantificabili:

• Rapporto di cache hit dell'86%: La maggior parte delle richieste servite direttamente dalle cache edge, mai raggiungendo l'origine
• Zero downtime: Nonostante gli attacchi sostenuti da un gruppo di minacce sofisticato, il servizio è rimasto disponibile al 100%
• Protezione dell'origine: Il traffico DDoS effettivo non ha mai superato il perimetro—tutti gli attacchi assorbiti all'edge
• Miglioramento delle prestazioni: Gli utenti legittimi hanno sperimentato tempi di risposta più veloci grazie al caching aggressivo e all'elaborazione edge

Valore strategico: il dashboard come centro di comando

Oltre alla protezione immediata, il dashboard di analisi di Perimetrical è diventato il centro di controllo e visibilità dell'istituzione:

• Forensica degli attacchi in tempo reale mostrando i modelli degli attaccanti, le aree geografiche e il comportamento dei bot
• Analisi delle tendenze storiche identificando quando gli attacchi si verificano e da quali ASN
• Metriche di efficacia delle regole provando quali politiche di sicurezza prevengono il maggior numero di minacce
• Avvisi personalizzabili che mantengono i team tecnici informati senza rumore (una lezione cruciale—vedi il nostro articolo su Alert Fatigue)

Punti chiave

Questo caso dimostra che i siti web governativi possono raggiungere sia la sicurezza che le prestazioni sotto attacco:

• Le decisioni architettoniche all'edge sono importanti—i filtri applicati vicino agli utenti impediscono l'esaurimento delle risorse all'origine
• La sofisticazione richiede personalizzazione—whitelist e regole specifiche del contesto bilanciano la sicurezza con l'usabilità
• La visibilità guida l'azione—i dashboard trasformano la telemetria grezza in intelligenza strategica
• La velocità è importante in una crisi—la distribuzione rapida dei profili di protezione durante gli attacchi previene il caos

Per le istituzioni pubbliche che operano sotto minaccia costante, il percorso avanti è chiaro: distribuire una protezione edge intelligente che si adatta più velocemente di quanto gli attaccanti possano evolversi.