Applications dans la ligne de mire : La puissance durable des attaques DDoS
Les applications sont le visage de votre entreprise. De nos jours, la confiance des clients se gagne ou se perd en un clin d'œil, donc les temps d'arrêt de quelque nature que ce soit ne sont pas une option. Chaque seconde d’inactivité est un prélude potentiel à une perte financière et/ou de réputation.
Bien qu’il existe une multitude de nouvelles cyberattaques sophistiquées qui peuvent perturber et nuire, il reste une menace typiquement « à l’ancienne » qui reste parmi les plus importantes (et les plus perturbatrices).
Les attaques par déni de service distribué (DDoS) ne sont pas nouvelles. En fait, le premier incident connu ressemblant à une attaque par déni de service se serait produit en 1974, lorsqu'un adolescent de 13 ans de l'Université de l'Illinois a détruit une salle remplie de terminaux connectés à un système de gestion de l'apprentissage.
Les temps ont changé depuis, mais les attaques DDoS ont continué d’évoluer, de gagner en popularité et de faire des ravages. Cela est particulièrement vrai dans le sillage de la COVID-19, avec un certain nombre de rapports sectoriels des deux derniers trimestres mettant en évidence des pics importants à travers le monde.
Pourtant, même avant la pandémie, la menace DDoS était sur une trajectoire ascendante. Par exemple, une analyse des données de l’équipe de réponse aux incidents de sécurité F5 a récemment révélé que 77 % de toutes les attaques contre les fournisseurs de services en 2019 étaient liées aux attaques DDoS. En 2017, ce chiffre était d’environ 30 %.
Quels sont les risques ?
Les attaques DDoS se présentent généralement sous trois formes. Les attaques à large bande passante, également appelées inondations volumétriques, sont les plus courantes. Une quantité massive de trafic est envoyée vers le réseau de la victime ciblée dans le but de consommer tellement de bande passante que les utilisateurs se voient refuser l’accès.
Ensuite, vous avez les attaques par protocole (également appelées « attaques informatiques » ou « réseau ») qui perturbent le service en exploitant les faiblesses ou le comportement normal des protocoles. Ces attaques ciblent souvent les protocoles des couches 3 et 4 du modèle OSI, tels que ICMP (Internet Control Message Protocol), TCP (Transport Control Protocol), UDP (User Datagram Protocol), entre autres. Nous visons alors à épuiser les capacités de calcul du réseau ou des ressources intermédiaires (comme les pare-feu) pour provoquer un déni de service.
Enfin, et sans doute les plus difficiles d’entre elles, sont les attaques de la couche applicative (également appelées attaques de couche 7 OSI), qui ciblent les serveurs Web, les plates-formes d’applications Web et des applications Web spécifiques plutôt que le réseau lui-même. C'est à ce moment-là que les attaquants tentent de faire planter le serveur et de rendre un site Web ou une application inaccessible. Ces attaques peuvent cibler les vulnérabilités connues des applications, leur logique métier sous-jacente ou abuser de protocoles de couche supérieure comme HTTP/HTTPS (Hypertext Transfer Protocol/Secure) et SNMP (Simple Network Management Protocol). Les attaques de cette nature utilisent souvent moins de bande passante et n’indiquent pas toujours une augmentation soudaine du trafic, ce qui les rend beaucoup plus difficiles à détecter et à atténuer sans faux positifs. Les attaques de la couche applicative sont mesurées en requêtes par seconde.
Un des plus grands défis auxquels les équipes de sécurité sont confrontées vient de la facilité avec laquelle on peut lancer une attaque par déni de service distribué ; la multitude de ressources disponibles en ligne permet à presque tout le monde de devenir cybercriminel d’un simple clic. Vous pouvez aussi engager des services payants pour attaquer la cible de votre choix. Tout type d’acteur est concerné, qu’il s’agisse d’hacktivistes, d’anciens employés rancuniers, de « script-kiddies » utilisant du code préfabriqué ou d’agents étatiques.
Malheureusement, il n’existe aucun moyen d’éviter complètement d’être une cible, mais vous pouvez prendre plusieurs mesures pour mieux protéger votre organisation.
Rester en sécurité
Tout d’abord, il est essentiel de mettre en place un plan de réponse DDoS. Il doit s’agir d’un manuel décrivant chaque étape de la réponse aux incidents (personnes, processus, rôles, procédures, etc.).
Pour atténuer efficacement les attaques DDoS basées sur les applications, toutes les organisations doivent :
- Apprenez le comportement typique du trafic et utilisez les informations pour éliminer les anomalies.
- Soyez précis. Être capable de séparer les pics d’activité légitimes des attaques signifie que vous pouvez maintenir l’expérience utilisateur souhaitée sans ajouter de risque. La visibilité sur les performances du système compromis est très importante.
- Repérez l'acteur malveillant. Les attaques au niveau de la couche application exigent l’établissement d’une connexion. Vous avez donc la possibilité d'identifier la source de l'attaque.
- Générez une signature d’attaque. Bloquer la source de l’attaque peut empêcher l’accès des utilisateurs légitimes si de gros serveurs proxy sont impliqués. Avec une signature unique pour chaque attaque, vous pouvez appliquer un blocage granulaire. Repérez les points faibles de l’attaque pour retourner la situation contre les attaquants.
Lorsqu’il s’agit de mettre en œuvre des solutions de protection DDoS spécifiques, vous devez toujours vous baser sur la fréquence à laquelle votre organisation est attaquée (ou la probabilité de celle-ci), vos compétences internes pour vous défendre contre une attaque, les budgets disponibles et la capacité et les limites de votre réseau. Les options de déploiement incluent :
- Sur place. Une solution DDoS sur site peut fonctionner si la capacité de votre réseau peut gérer des attaques modérées (de l'ordre de 10 à 50 Gbit/s), est régulièrement ciblée et si vous disposez d'un personnel interne qualifié en matière d'atténuation des attaques DDoS.
- Une solution externalisée. Si vos circuits réseau ne peuvent pas gérer une attaque supérieure à 10 Gbit/s, que le risque d’attaque est faible et que vous ne disposez pas de l’expertise interne pour gérer une solution sur site, un centre de nettoyage DDoS (service externalisé) est recommandé.
- DDoS hybride. Si vous êtes sujet à des attaques DDoS fréquentes ou à grande échelle qui dépassent la capacité de votre réseau et que votre expertise interne en matière d'atténuation est limitée, vous pouvez opter pour un modèle hybride et utiliser un service géré en combinaison avec une solution DDoS sur site.
En plus de ces recommandations, vous devez également vous assurer que votre infrastructure réseau est protégée par des pare-feu et des systèmes de détection d'intrusion qui surveillent et analysent le trafic réseau. De plus, il est conseillé d'utiliser des solutions antivirus pour freiner les infections par des logiciels malveillants, ainsi que l'équilibrage de charge et la redondance pour aider à maintenir la disponibilité.
Dans le même temps, il est important de ne pas négliger les contrôles techniques et administratifs tels que la limitation de l’administration à distance à un réseau de gestion (au lieu de l’ensemble d’Internet) et l’analyse fréquente des ports et services réseau accessibles via Internet.
Tout le monde doit prendre les attaques DDoS au sérieux, s’attendre à être attaqué à un moment donné et mettre en place des plans et des mesures d’atténuation intimement alignés sur les objectifs commerciaux.