Au début, les attaques DDoS étaient de simples attaques par déni de services lancées à partir d’un seul ordinateur. Cependant, avec la prolifération des botnets, elles ont évolué pour devenir l’une des plus grandes menaces dans le monde de la sécurité. Verizon, dans son rapport annuel sur la Violation des Données 2012 (2012 Data Breach Investigations Report), a caractérisé ces attaques comme étant “plus effrayantes que les autres menaces, qu’elles soient réelles ou supposées.”
Le cabinet de recherche Stratecast dans une récente étude a également constaté que les attaques DDoS augmentent de 20% à 45% par an, les attaques DDoS applicatives connaissant, elles, une croissance à trois chiffres. Stratecast a ajouté que les attaques DDoS représentent l’un des outils de prédilection des hackers, souvent dans le cadre d’une stratégie d’attaques multi-techniques.
Plus récemment, les chercheurs ont constaté que les attaques DDoS ont évolué non seulement en termes de fréquence, mais également en termes de bande passante et de durée. Il y a 10 ans, par exemple, des attaques de 50 Gbps étaient observées quelques fois par an seulement. Dorénavant, de telles attaques peuvent se produire presque toutes les semaines.
En outre, les attaques sont plus intelligentes parce qu’elles sont dorénavant mieux maitrisées. Plutôt que de lancer un flux automatisé de données, les assaillants commencent une opération, puis peuvent adapter le type d’attaques ou la cible en fonction du résultat.
Les attaques DDos vont continuer à proliférer alors que de plus en plus d’entreprises autorisent les appareils mobiles au sein de leur réseau. L’équipe de recherche des menaces FortiGuard Labs de Fortinet a constaté que les botnets sur mobiles, tel que Zitmo, ont de nombreuses caractéristiques et fonctionnalités identiques aux traditionnels botnets sur PC. FortiGuard Labs prévoit qu’en 2013, de nouvelles formes d’attaques par déni de services apparaitront, tirant profit à la fois des appareils mobiles et PC.
Et, elles représentent d’énormes pertes. En plus des pertes de revenus dues à l’inaccessibilité, les entreprises doivent supporter les coûts liés à la remise en service et à l’analyse IT, la perte du rendement, les sanctions financières résultant des accords de SLA non tenus, ou encore à l’atteinte à la réputation de la marque.
L’évolution des attaques DDoS souligne l’urgence pour les entreprises à adopter une stratégie de sécurité appropriée. Il y a des mesures proactives que les organisations peuvent prendre pour renforcer les défenses et réduire le risque d’attaques. Plutôt que de viser à supprimer entièrement le trafic DDoS, une stratégie DDoS doit chercher à maintenir les services − en particulier les services critiques − avec un minimum d’interruption. Pour ce faire, les entreprises peuvent commencer par évaluer l’environnement réseau et définir un plan d’intervention. Entres autres, le plan devrait comprendre des efforts de remise en état et de sauvegarde, une surveillance supplémentaire, et des moyens pour restaurer le service aussi rapidement et efficacement que possible.
Pour la protection proactive, les trois principales étapes à suivre sont l’implémentation d’une stratégie de défense multi-couches, la protection des serveurs DNS et autres infrastructures critiques, ainsi que le maintien de la visibilité et du contrôle sur l’infrastructure IT.
Défense Multi-Couches
En matière de protection DDoS, une stratégie multi-couches est essentielle, impliquant des solutions dédiées sur sites, conçues pour combattre et minimiser les menaces provenant de n’importe quelle partie du réseau. Ces outils doivent fournir des techniques empêchant l’usurpation tout en permettant l’authentification des hôtes, le positionnement de seuils spécifiques pour les applications et le trafic, la vérification des protocoles et états, la mise en application des gabarits, les contrôles d’accès basés sur la géolocalisation et les listes noires/blanches.
Lorsqu’elles envisagent des solutions dédiées DDoS, les organisations doivent s’assurer que celles-ci leur permettront de détecter également les attaques DDoS applicatives et de bloquer efficacement tous les modèles et techniques des attaques DDoS, qu’ils soient classiques, génériques ou personnalisés. Egalement, ces solutions doivent « apprendre » à reconnaitre les types de comportement basés sur le flux du trafic, qu’ils soient acceptables ou anormaux. Ce profilage de trafic est essentiel car cela permet de détecter et de freiner plus rapidement les menaces tout en réduisant les faux positifs.
Pour une meilleure efficacité opérationnelle, les entreprises doivent également envisager des solutions DDoS qui offrent des fonctionnalités de virtualisation et de géo-localisation avancées.
Grâce à la virtualisation, les administrateurs des politiques peuvent établir et surveiller plusieurs domaines indépendants de politiques dans un seul dispositif, empêchant les attaques affectant un segment de réseau d’impacter les autres. Ce mécanisme est également efficace dans l’escalade de la défense − plutôt que de s’appuyer sur un seul ensemble de politiques, les administrateurs IT peuvent en définir plusieurs à l’avance, ce qui permet d’appliquer un ensemble de politiques plus rigoureux si les précédentes sont insuffisantes.
Les technologies de géolocalisation, d’autre part, permettent aux entreprises de bloquer le trafic malveillant en provenance de sources inconnues ou étrangères et suspectes. Cela réduit la consommation d’énergie et de charges sur les serveurs backend en éliminant le trafic des régions qui ne sont pas concernées par le marché et la couverture géographique de l’organisation.
Protéger les serveurs DNS
Dans la cadre d’une stratégie globale défensive, les organisations doivent protéger leurs infrastructures et actifs critiques. De nombreuses entreprises maintiennent leurs propres serveurs DNS pour assurer la disponibilité Web, cependant ces serveurs sont souvent les premiers systèmes ciblés lors d’une attaque DDoS. Une fois que les serveurs DNS sont touchés, les assaillants peuvent facilement stopper les opérations Web d’une organisation, créant une situation de déni de services. Les solutions de protection DNS disponibles sur le marché aujourd’hui peuvent protéger contre les mécanismes d’intrusion utilisant l’authentification des transactions ou l’application de ports sources aléatoires.
Maintenir le Contrôle et la Visibilité sur l’Infrastructure
Les organisations doivent rester vigilantes et surveiller leurs systèmes avant, pendant et après une attaque. Ce n’est un secret pour personne, avoir une représentation globale de l’environnement IT permet aux administrateurs de détecter les aberrations du trafic réseau et de détecter les attaques plus rapidement, tout en leur fournissant des analyses et renseignements pour mettre en oeuvre des techniques de prévention et de minimisation des attaques appropriées. Les meilleures défenses intègreront une surveillance continue et automatisée, avec des systèmes d’alertes qui sonnent l’alarme et déclenchent le plan d’intervention en cas de détection de trafic DDoS.
Il est important d’avoir une visibilité et un contrôle précis sur le réseau. Cette visibilité sur le comportement réseau aide les administrateurs à trouver la cause de l’attaque et à bloquer le trafic des flux tout en permettant au trafic légitime de passer librement. Cela permet également aux administrateurs d’analyser les attaques de manière historique et en temps réel dans le cadre d’enquêtes approfondies. En outre, les caractéristiques avancées de suivi des sources peuvent aider les efforts de défense en localisant l’adresse d’une attaque non-usurpée, et peuvent même contacter l’administrateur du domaine du contrevenant.
Attirer l’Attention des Entreprises
Les attaques DDoS − comme d’autres menaces de sécurité − continueront de croitre et seront plus effrénées dans le futur. La nature évolutive des technologies DDoS obligera les entreprises à changer de mode de pensée, impliquant une plus grande prévoyance et des défenses plus proactives.
Par conséquent, les organisations doivent renforcer leurs plans d’intervention et évaluer leur infrastructure réseau vis-à-vis des menaces DDoS actuelles. Cela passe par le renforcement des défenses des serveurs critiques et par la priorisation des données. Il faut également implémenter des moyens de gestion et de surveillance pour une compréhension globale de l’ensemble du réseau. Enfin, les administrateurs IT devraient être capables de mettre en oeuvre des mesures de protection qui identifient rapidement la source de la menace, minimisent l’impact de l’attaque, et rétablissent le service dès que possible.
Ce ne sont qu’avec ces mesures que les entreprises cesseront de s’inquiéter des attaques DDoS, aussi paralysantes soient-elles, et pourront se recentrer sur leur activité.
Auteur : Christophe Auberger, Responsable Technique chez Fortinet.