BlackNurse et le déni des attaques Cloudy Business
Une nouvelle attaque fait le tour de la semaine. Je dis nouveau(x) car l’attaque en elle-même n’est pas si originale que ça. Les attaques ICMP existent depuis les années 90. Je dis également « nouvelle » car cette attaque contraste fortement avec les attaques volumétriques très médiatisées qui font la une des journaux lorsqu’elles perturbent l’accès à la moitié d’Internet. Il s’agit d’une attaque DoS (remarque : il n’y a qu’un seul « D », pas deux) contre des pare-feu bien connus et largement utilisés qui peuvent, avec peu d’efforts, mettre l’entreprise à genoux.
Je ne vais pas vous perdre dans les détails du fonctionnement de cette attaque ICMP (ping !) baptisée BlackNurse (sans raison évidente que j'ai vue jusqu'à présent). Il existe déjà des tonnes de ressources et de commentaires disponibles sur le sujet : Threat Post , El Reg , TDC SOC ou Netresec pour commencer. Ce sur quoi je voulais attirer l’attention, c’est sur les perturbations dévastatrices que cette attaque pourrait avoir sur les entreprises, et en particulier sur celles qui dépendent fortement des applications basées sur le cloud.
Car il ne s’agit pas seulement de perturber l’accès aux applications de l’ extérieur vers l’intérieur , mais de perturber l’accès aux applications de l’ intérieur vers l’extérieur . Le TDC SOC, dans son rapport , le souligne spécifiquement : « Lorsqu'une attaque est en cours, les utilisateurs du côté LAN ne pourront plus envoyer/recevoir du trafic vers/depuis Internet. »
Côté LAN. C’est le côté commercial du pare-feu.
Nous avons tendance à considérer les pare-feu comme une réponse tactique pour empêcher les attaquants d’accéder à nos réseaux d’entreprise. Ce sont les murs autour du château, les sacs de sable le long de la rivière, le coupe-feu dans la nature qui tente d’arrêter un incendie qui fait rage. Mais les pare-feu ont depuis longtemps rempli un double objectif dans l’entreprise : ils contrôlent également l’accès de l’intérieur vers l’extérieur. Au début, ce système a été utilisé pour bloquer l’accès à Internet des adolescents et continue d’être un mécanisme permettant de prendre des mesures préventives contre les tentatives de « téléphone à la maison » des logiciels malveillants et des virus qui ont réussi à infecter les actifs internes.
Aujourd’hui, la prévalence des applications de productivité basées sur le cloud nécessite un accès de l’intérieur vers l’extérieur. Et si nous utilisons des applications basées sur le cloud, nous avons besoin d'un accès à Internet. Salesforce.com. D'accord. Documents Google. Réseaux sociaux. La liste des applications qui résident en dehors de l’entreprise et auxquelles l’entreprise a besoin d’accéder est infinie et continue de s’allonger. Comme l’illustre ce graphique astucieux de Skyhigh Networks, l’utilisation d’applications basées sur le cloud dans les entreprises est en constante augmentation. En fait, son rapport du quatrième trimestre 2015 indique que « l’organisation moyenne utilise désormais 1 154 services cloud ».
Les entreprises dépendent incontestablement du cloud.
Cela signifie que la perturbation de l’accès à ces services est dévastatrice pour la productivité, qui est l’un des indicateurs de performance clés de toute entreprise.
Ainsi, une attaque comme BlackNurse, relativement simple à mener et ne nécessitant guère plus qu’un seul ordinateur portable, est incroyablement perturbatrice malgré sa relative simplicité. Le but de telles attaques est simple : la consommation de ressources. Les attaques lentes et de faible intensité, qu'elles ciblent les pare-feu ou les serveurs Web, sont conçues pour mobiliser les ressources afin que l'appareil ne puisse pas répondre aux demandes légitimes. Le problème est que ces attaques sont souvent plus difficiles à détecter que leurs cousines volumétriques. On constate un trafic important. Cela déclenche des alarmes et des feux rouges et les gens comprennent immédiatement ce qui se passe. Au cours des dix dernières années, nous avons consacré beaucoup d’énergie à comprendre comment combattre de telles attaques et, heureusement, nous progressons dans ce domaine.
Mais détecter une attaque basse et lente est plus difficile. Le processeur atteint soudainement 100 % et cesse de répondre. Cela pourrait être un problème logiciel. Cela pourrait être un problème matériel. Cela pourrait être beaucoup de choses. Passer au crible les journaux pour trouver le faible volume de paquets représentatifs de ce type d’attaque s’apparente au problème de l’aiguille dans une botte de foin. Selon les chercheurs, les attaques BlackNurse ne génèrent que 15 à 18 Mbps. Oui, vous avez bien lu. Il n'y a pas de « G » dans cette mesure. Cela représente environ 40 à 50 000 paquets par seconde, ce qui n'est rien comparé aux pare-feu modernes. À l’inverse, l’attaque DDoS enregistrée contre Dyn a été mesurée dans la gamme des 1 Tbps. C'est un « T », qui est plus grand que « G » et bien plus grand que « M ».
La réponse à de telles attaques consiste généralement à déplacer les applications vers le cloud, où les services de pare-feu ne sont pas limités par des concepts désuets tels que les « ressources limitées » et sont capables d’évoluer sans effort et de manière automatique. Mais ce n’est pas le cas, car l’entreprise a toujours des employés derrière le pare-feu de l’entreprise qui doivent accéder à ces applications (et à d’autres). Et c’est leur accès qui est perturbé lorsque la cible est le pare-feu de l’entreprise qui se dresse entre eux et « le cloud ».
C’est la productivité qui en souffre.
Les entreprises doivent reconnaître la situation potentiellement périlleuse causée par les attaques qui perturbent le trafic sortant ainsi que le trafic entrant. Bien que BlackNurse dispose déjà d'une atténuation assez simple, il existe probablement d'autres mesures qui ne sont pas aussi simples à atténuer. Et dans un monde où nous dépendons autant des applications à l’intérieur du pare-feu que de celles à l’extérieur, nous devons examiner de près les possibilités de telles attaques.
Si vous ne l’avez pas encore fait, il est temps d’évaluer dans quelle mesure votre entreprise dépend (ou dépendra) des applications « dans le cloud » et comment protéger au mieux l’accès à ces applications face aux menaces conçues spécifiquement pour empêcher l’entreprise de vaquer à ses occupations quotidiennes.