Sécurisez le NEXT – Atténuez les attaques DDoS

Il y a plus de 3,4 milliards d'utilisateurs d'Internet dans le monde, avec environ 6,4 milliards d'appareils IoT connectés, faisant de l'écosystème un échange en plein essor où les informations et les transactions circulent toutes les secondes. D’ici 2020, Gartner estime qu’il y aura 20 milliards d’appareils. L’IoT fera partie intégrante de nos vies, des services publics aux transports en passant par les services aux citoyens. Bien que tout cela offre un niveau de commodité sans précédent, cela attire également l’attention indésirable des cybercriminels qui ont développé leurs capacités au fil du temps. Les appareils du monde connecté IOT apportent toutes sortes de nouvelles fonctionnalités pratiques, mais les gens oublient souvent que ces appareils sont également connectés au réseau. Après les vers primitifs et les logiciels espions du passé, les particuliers et les entreprises sont aujourd’hui confrontés à des menaces complexes comme le cyberespionnage, les ransomwares, les logiciels malveillants sophistiqués et les attaques DDoS omniprésentes.

Le déni de service distribué (DDoS) est une forme de cyberattaque multi-sources qui vise à perturber les ressources/services du réseau pour leurs utilisateurs prévus. Il a évolué en termes de sophistication et est devenu capable de provoquer toutes sortes de dommages, tels que la fraude et l’extorsion. Les attaques DDoS submergent généralement les ressources du réseau en utilisant le volume de trafic provenant de plusieurs systèmes ou appareils compromis se faisant passer pour des robots. Les attaques DDoS peuvent être classées dans les types suivants :

• Volumétrique : refuse l'accès au trafic utilisateur légitime en inondant les ressources du réseau, paralysant notamment la capacité à gérer les connexions par seconde (CPS)
• Asymétrique : une petite quantité de données malveillantes conçue pour consommer de la mémoire afin de ralentir considérablement le réseau
• Calculatif : conçu pour consommer des ressources CPU et de la mémoire
• Vulnérabilité : exploite les vulnérabilités
• Hybride : une combinaison d'un ou plusieurs types d'attaques DDoS différents

Une menace plus grande que jamais

Bien que les attaques DDoS soient courantes depuis la fin des années 2000, la taille des attaques a considérablement augmenté au cours des dernières années. Les nouveaux exploits de protocole et les attaques d'amplification sont devenus trop importants pour que la plupart des organisations puissent les combattre sans le soutien d'un service de nettoyage DDoS basé sur le cloud. En 2013, il a été signalé que les services SpamHaus ont été interrompus à la suite d'une attaque de 300 Gbps, tandis qu'en 2014, une attaque culminant à 400 Gbps a été enregistrée. Cependant, la plus grande attaque DDoS de l’histoire a eu lieu en 2015, avec un pic de 500 Gbps. Et avec des coûts de bande passante de plus en plus bas, il est devenu plus abordable de lancer des attaques à grande échelle, et nous pouvons nous attendre à voir bientôt des attaques de la taille d'un téraoctet se développer. 

Les attaques par déni de service modernes non seulement interrompent ou font tomber les services, mais elles distraient également les équipes d'opérations de sécurité avec un mélange de menaces ayant des effets variables sur l'infrastructure. Ces attaques sont de plus en plus fréquentes, de plus en plus volumineuses et de plus en plus sophistiquées. Les attaquants combinent des attaques volumétriques, à saturation partielle, basées sur l’authentification et au niveau de application jusqu’à ce qu’ils trouvent le maillon le plus faible de la chaîne de commandement. Ces menaces, contre lesquelles il devient de plus en plus difficile de se défendre, sont souvent le précurseur de menaces persistantes avancées (APT). La rapidité avec laquelle une organisation peut découvrir et arrêter ces menaces est essentielle pour garantir la continuité du service. En outre, l’omniprésence des attaques DDoS volumétriques, ainsi que l’augmentation potentielle des BOT, nécessitent une stratégie DDoS hybride combinant un WAF sur site avec des services de nettoyage basés sur le cloud.

Atténuer une attaque DDoS

Lorsqu'une entreprise détecte qu'elle est victime d'une attaque DDoS depuis son WAF sur site, elle bascule le trafic entrant vers un service de nettoyage DDOS basé sur le cloud comme celui proposé par F5 Silverline pour détecter et nettoyer le trafic. Une fois le trafic nettoyé, ils sont envoyés de Silverline à l'entreprise. Pendant ce temps, l’entreprise continue de fonctionner normalement. Le service de nettoyage atténue efficacement les attaques DDoS qui visent à faire tomber les services, tout en permettant à l'entreprise de continuer à fonctionner.

Il est pertinent pour les entreprises de protéger leur infrastructure contre les attaques à grande échelle et incessantes, sans pour autant compromettre les performances. Cela peut être réalisé avec des règles et des politiques DDoS granulaires associées à une connaissance contextuelle de l'identité et de l'accès des utilisateurs aux applications et aux données, rendue possible par la collecte et l'analyse automatiques des données dans les environnements de déploiement - données qui incluent l'inspection SSL, l'analyse comportementale, l'utilisation de la bande passante, la surveillance de l'état de santé et d'autres statistiques.

Cela garantit que les attaques, par exemple HTTP/S, SMTP, FTP, DNS et SIP, peuvent être détectées plus tôt et que les mesures d'atténuation peuvent être activées rapidement et avec précision via le matériel, en amont ou via des services basés sur le cloud. Les entreprises peuvent ainsi être assurées d’une transition fluide et immédiate vers le service une fois que le trafic d’attaque est revenu à des niveaux gérables.

Présentation de F5 DDoS Hybrid Defender

F5® DDoS Hybrid Defender™ offre une protection DDoS complète dans un seul appareil visant à offrir une défense DDoS qui combine une protection de couche 3 à 7 avec une analyse comportementale pour identifier et atténuer les attaques, et l'apprentissage automatique pour détecter les menaces évasives ou les anomalies de trafic. L'appareil permet également un nettoyage à la demande basé sur le cloud (F5 Silverline) dans un modèle hybride, redirigeant le trafic attaque volumétrique de manière transparente pour réduire les frais généraux et améliorer considérablement l'utilisation de la bande passante du réseau. L'infrastructure est protégée en combinant une défense DDoS multicouche sur les couches réseau, session et application pour intégrer intelligemment le nettoyage du cloud hors site dans un format pratique tout-en-un.

Au niveau des application , les entreprises bénéficieront d'une inspection des application pour les attaques de couche 7, avec une découverte approfondie des menaces application basée sur la logique du flux de données, les signaux agrégatifs de HTTP et les caractéristiques des requêtes TCP, des transactions et de l'état général du serveur. Une solution proxy complète offre une protection DDoS à tous les niveaux, protégeant les protocoles (y compris ceux utilisant le cryptage SSL et TLS) ainsi que l'arrêt des rafales DDoS, des inondations HTTP aléatoires, du contournement du cache et d'autres attaques pouvant perturber le comportement des application .

Conclusion

Les attaques DDoS continueront de gagner en sophistication et en capacité, potentiellement facilitées par les nombreux appareils IoT mis en ligne. Une approche d’atténuation hybride est plus que jamais nécessaire.  La capacité à s'amplifier considérablement et à évoluer rapidement permet à une attaque de paralyser facilement les opérations d'une organisation, de rendre ses applications inutiles et d'accéder à des données critiques. C'est pourquoi les solutions de sécurité doivent être suffisamment complètes pour répondre à la question des capacités, ainsi qu'aux environnements hybrides tout en atténuant les menaces DDoS même lorsqu'elles frappent le réseau.