La nuova guida pubblicata dalla Cisa il 19 novembre 2025, sviluppata insieme a Nsa, Fbi e vari centri internazionali di cybersecurity, rappresenta il documento più completo mai diffuso sul contrasto alla galassia dei provider hosting bulletproof, l’infrastruttura tecnica che alimenta ransomware, phishing, command-and-control, campagne botnet e servizi criminali altamente resilienti. La pubblicazione arriva in un momento di forte espansione di queste reti, sempre più integrate dentro infrastrutture legittime e capaci di confondersi con i servizi commerciali dei provider globali.
Le raccomandazioni mirano a sostenere Isp, difensori di rete, fornitori cloud e responsabili della sicurezza in processi strutturati di intelligence, filtraggio selettivo, verifiche di identità, logging avanzato e routing sicuro. Con un approccio definito dagli autori come “sfumato”, la guida chiarisce che l’obiettivo non è bloccare l’ecosistema internet, ma intercettare i nodi compromessi mantenendo continuità ai servizi legittimi. La crescente sofisticazione dei bulletproof host, capaci di cambiare Asn in 48-72 ore, di riciclare indirizzi IP ripetuti e di occultare interi cluster criminali sotto provider inconsapevoli, rende necessaria una strategia dinamica e multilivello, centrata sulla condivisione rapida di intelligence, la collaborazione internazionale e processi di mitigazione continuativi.
Cosa leggere
Definizione e caratteristiche dei provider hosting bulletproof
Il documento della Cisa ricostruisce in modo dettagliato cosa definisce un vero hosting bulletproof. Si tratta di provider che affittano infrastrutture a soggetti criminali, pubblicizzando tolleranza verso ransomware operation, botnet, phishing o materiali illegali. A differenza dei provider legittimi, ignorano subpoena, ordini giudiziari, takedown request e qualsiasi forma di controllo. La loro forza consiste nella capacità di operare attraverso Asn multipli, ottenuti rapidamente e abbandonati non appena emergono indagini o conflitti. Si muovono tra IP riciclati e network segmentati, usando email temporanee, cicli DNS continui, record CNAME alternativi e tecniche fast flux. Questo dinamismo permette alle infrastrutture criminali di restare online anche durante operazioni internazionali di contrasto. La diffusione in sistemi legittimi è il vero problema evidenziato dalla guida. Molti di questi provider non possiedono data center propri, ma noleggiano a loro volta infrastrutture da grandi hoster ignari, contaminando ecosistemi sani. Bloccare un intero Asn può quindi significare interrompere anche servizi leciti: banche dati, e-commerce, applicazioni aziendali o servizi governativi. Per questo la Cisa raccomanda un approccio centrato su filtraggio granulare, segmentato per indirizzi IP, subnet o cluster rilevati attraverso feed intelligence certificati, limitando al minimo gli effetti collaterali.
Integrazione con infrastrutture legittime e complessità di mitigazione
La guida sottolinea quanto sia ormai stretta la connessione tra infrastrutture criminali e nodi internet legittimi. Provider di hosting bulletproof operano spesso all’interno di grossi Autonomous System senza destare sospetti, approfittando della configurazione dinamica dei network moderni. La capacità di ottenere nuovi Asn nel giro di pochi giorni, trasferire range IP o sfruttare subnet abbandonate crea una superficie di attacco difficile da seguire. Gli attori criminali migrano continuamente, mantenendo la rete resiliente. Questa integrazione obbliga difensori e Isp a valutare con attenzione ogni blocco. Il filtraggio non può essere reattivo, ma deve basarsi su mappature aggiornate Asn-IP, revisioni periodiche delle blocklist e dialogo con i provider upstream. L’obiettivo è evitare interruzioni di servizi essenziali, mentre si mantiene una pressione costante contro cluster sospetti. La guida invita anche a sviluppare processi di feedback strutturati, così che clienti, partner o enti possano contestare blocchi impropri fornendo prove sulla legittimità delle risorse coinvolte. Gli audit log restano un elemento cruciale: registrano decisioni, modifiche ai filtri e motivazioni, rendendo trasparente l’intero processo.
Strategie di mitigazione per Isp e difensori di rete
Le raccomandazioni operative rappresentano il cuore della guida. La Cisa suggerisce che Isp e security team costruiscano liste di risorse maligne ad alta confidenza, basate su feed commerciali, open-source e canali di condivisione come Comm-ISAC. Queste liste devono essere aggiornate continuamente, rimuovendo IP riassegnati e aggiungendo nuovi indicatori derivati da osservazioni sul campo. L’analisi del traffico diventa una componente centrale: occorre identificare baseline comportamentali e riconoscere outlier che indicano connessioni a infrastrutture sospette, senza penalizzare traffico CDN o servizi legittimi. Il documento raccomanda di implementare logging centralizzato degli Asn e degli indirizzi IP, emettendo alert automatici quando avvengono connessioni verso cluster noti. Questo permette interventi mirati ed evita falsi allarmi. I filtri devono essere applicati ai confini di rete con un approccio modulare: evitare blocchi globali quando possibile e scegliere invece filtri selettivi, aggiornati spesso e coordinati con la threat intelligence disponibile. Gli Isp sono esortati a valutare l’impatto di ogni blocco sul traffico legittimo e a mantenere audit log completi sulle decisioni. La guida sottolinea anche l’importanza di selezionare upstream provider affidabili, capaci di rispondere rapidamente a richieste di abuso e di adottare un modello secure by design. La trasparenza verso i clienti è un altro punto chiave: notificare gli utenti quando le loro connessioni vengono filtrate, offrire opzioni di opt-out basate sul profilo di rischio e fornire filtri preconfigurati attivabili su richiesta.
Azioni specifiche per gli internet service provider
La Cisa incoraggia gli Isp a dotarsi di codici di condotta settoriali che impongano standard minimi di accountability. Le linee guida includono tempistiche operative – come 90 giorni per chiudere range IP associati a hosting bulletproof persistenti – e procedure per reiterare i blocchi in caso di mancata compliance. L’adozione di procedure know your customer è considerata essenziale per scoraggiare l’uso fraudolento dei servizi. Raccolta di informazioni verificabili, conferme bancarie, LEI e controlli sull’identità riducono la superficie di abuso e complicano la vita ai provider malintenzionati. La sicurezza del routing è un altro pilastro: il documento richiama le linee guida NCSC-UK e Nist SP 800-189, promuovendo best practice contro l’hijacking Bgp e altri attacchi alla supply chain del routing globale. La guida cita risorse come Spamhaus, Ipapi.is, Threatfox, insieme a servizi DNS firewall come Canadian Shield, per integrare sorgenti esterne di threat intelligence. Per le minacce ransomware si richiama il portale #StopRansomware della Cisa, utile per detection, response e recovery.
Risorse e canali ufficiali di segnalazione
Il documento culmina con un elenco dettagliato di contatti nazionali e internazionali per segnalare attività sospette. Negli Stati Uniti i riferimenti comprendono Cisa, Fbi, Nsa e il Dc3 dell’Air Force. La guida fornisce dettagli su quali informazioni includere: data, ora, tipo di incidente, infrastrutture coinvolte, attori colpiti e recapiti per follow-up. Elenchi analoghi sono forniti per Australia, Canada, Nuova Zelanda, Paesi Bassi e Regno Unito, così da permettere una risposta coordinata nei vari ecosistemi regionali. La Cisa chiarisce che il documento non rappresenta un endorsement verso soggetti commerciali citati come esempio. La guida nasce invece come risultato della collaborazione internazionale, con contributi da realtà come Amazon Web Services, Silent Push e Redsense, selezionate per la loro esperienza nella mitigazione di attività illecite e nella gestione di reti globali. La guida Cisa offre una base operativa concreta per contenere l’impatto dei provider hosting bulletproof, consolidando un approccio multilaterale che bilancia sicurezza, continuità dei servizi e tutela delle infrastrutture critiche. Il coordinamento internazionale e la condivisione tempestiva di intelligence emergono come elementi essenziali per contrastare un fenomeno in continua evoluzione, capace di eludere difese statiche e sfruttare vulnerabilità dell’ecosistema globale.
