Sono le 7:43. Aprite il laptop. Un avviso lampeggia. CrowdSec ha bloccato 47 connessioni. Pi-hole segnala query DNS insolite. Un container è ripartito senza che lo abbiate avviato.
È un attacco? O è normale?
Tre segnali che indicano un attacco reale
1. Fallimenti di autenticazione in volume insolito. Cinque tentativi SSH falliti al mattino — potrebbe essere un dipendente che ha dimenticato la password. Cinquemila tentativi in un'ora da 40 IP diversi — è un attacco brute-force. CrowdSec riconosce automaticamente questo schema e blocca le fonti.
2. Traffico in uscita verso destinazioni sconosciute. Se appaiono connessioni regolari verso indirizzi IP in regioni inattese che non avete mappato — è un segnale d'allarme. Soprattutto se avvengono di notte.
3. Processi che non avete avviato. Uno script di mining che satura la CPU. Una porta improvvisamente aperta. Un nuovo utente nella lista. Se qualcosa gira sul sistema che non sapete spiegare — trattatelo come una minaccia.
I tre falsi allarmi più comuni
CrowdSec blocca il vostro IP. Accade soprattutto con IP dinamico e login errati ripetuti. Soluzione: aggiungere le proprie subnet alla whitelist.
Job di backup a orari insoliti. Se il cron gira alle 03:00 e leggete i log alle 07:00, vedete un picco di carico quando nessuno lavora. Non è un'intrusione — è il backup che funziona.
Aggiornamenti automatici. Watchtower, apt-cron, immagini Docker che si aggiornano — tutto genera connessioni di rete, riavvii e brevi picchi di carico.
La regola che vale sempre
Quando non siete sicuri se dati o credenziali potrebbero essere compromessi: tratatelo come un vero attacco. Il costo di un falso allarme è una mattinata persa. Il costo di un vero attacco ignorato può essere esistenziale.
Soluzioni che risolvono il problema