Christophe Auberger
Directeur technique France, Fortinet
 

Les organisations doivent arrêter de compter sur leurs fournisseurs de services Internet pour les protéger des attaques DDoS et doivent prendre les choses en main.

Les attaques par Déni de services distribués (DDoS) sont l’une des menaces Internet les plus anciennes et continuent d’être le principal risque pour les réseaux à travers le monde. En même temps que les protections ont évolué, la technologie utilisée par les hackers est devenue bien plus sophistiquée. De nouveaux types d’attaques ciblent désormais les applications et services, et sont souvent cachées dans les couches 3 et 4, ce qui les rend difficilement détectables.

En matière d’attaques DDoS, le secteur financier est l’une des cibles privilégiées des cybercriminels, suivi de près par le secteur public. Outre le fait de perturber les opérations Internet par un assaut brutal de données, les attaques DDoS ont récemment été utilisées pour recueillir des informations financières et relatives au commerce en ligne. Ces attaques ont souvent pour objectif de perturber les opérations, principalement en détruisant l’accès à l’information.

Il y a généralement trois catégories de motivations derrière les attaques DDoS : politique, de représailles et financière. Les attaquants politiques ciblent ceux qui ne sont pas d’accord avec leurs convictions politiques, sociales ou religieuses. Lorsqu’un botnet ou un important réseau cybercriminel est démantelé, cela peut déclencher des attaques de représailles contre ceux qui ont aidé ou assisté les autorités. Les attaques motivées par l’argent suivent un schéma « pay-to-play » dans lequel les hackers sont compensés par une tierce partie qui leur demande de mener l’attaque pour elle. Quelle que soit la motivation, le résultat est le même : votre réseau et vos services en ligne deviennent indisponibles, et peuvent rester ainsi pendant un long moment.

LES ATTAQUES AVANCÉES CIBLENT LA COUCHE APPLICATIVE

Il existe de nombreux types d’attaques DDoS largement utilisés aujourd’hui, allant des anciennes méthodes datant des débuts de l’Internet aux dernières attaques avancées visant la couche 7 et ciblant les applications. L’inondation de requêtes SYN et HTTP GET sont les plus communes et utilisées pour surcharger les connexions réseau ou les serveurs derrière les pare-feux et système de prévention d’intrusion (IPS).

Toutefois, le plus inquiétant est que les attaques visant la couche applicative utilisent des mécanismes beaucoup plus sophistiqués pour attaquer les services et réseaux des organisations. Plutôt que d’inonder simplement un réseau avec du trafic ou des sessions, ces types d’attaques ciblent des services et applications spécifiques pour épuiser lentement les ressources au niveau de l’application (couche 7).

Les attaques visant la couche applicative peuvent être très efficaces en utilisant peu de volumes de trafic, et peuvent être considérées comme tout à fait normales par la plupart des méthodes de détection DDoS traditionnelles. Cela rend les attaques visant la couche applicative beaucoup plus difficiles à détecter que les autres types d’attaques DDoS basiques.

TROIS OPTIONS EN MATIÈRE DE PROTECTION DDOS

La plupart des FAI offrent une protection DDoS des couches 3 et 4 pour empêcher les liens des organisations d’être inondés lors d’attaques volumétriques de masse. Cependant, ils n’ont pas la capacité de détecter les plus petites attaques visant la couche 7. Ainsi, les centres de données ne devraient pas uniquement compter sur leur FAI pour bénéficier d’une solution complète DDoS. Au lieu de cela, ils devraient envisager de mettre en place une des mesures suivantes:

1. Un fournisseur de services hébergés
Il existe beaucoup de solutions hébergées basées sur le cloud qui fournissent des services de protection des couches 3, 4 et 7. Elles vont des projets peu coûteux pour les petits sites Web jusqu’à ceux pour les grandes entreprises, qui requièrent la couverture de plusieurs sites Web. Elles sont en général très faciles à mettre en place et fortement poussées auprès des petites et moyennes entreprises. La plupart offrent des options de tarification personnalisée et beaucoup ont des services de détection avancée de la couche 7 à disposition des grandes organisations qui nécessitent que des capteurs soient installés dans le centre de données. Beaucoup d’entreprises choisissent cette option, mais certaines d’entre elles doivent faire face à des frais excédentaires importants et imprévus lorsqu’elles sont frappées par des attaques DDoS en masse. Par ailleurs, la performance n’est parfois pas à la hauteur, car les fournisseurs de services redirigent le trafic DDoS vers les centres de protection au lieu de les stopper en temps réel, ce qui est particulièrement problématique pour les attaques de courte durée, qui sont celles généralement rencontrées.

2. Des pare-feu ou IPS
Presque tous les pare-feu et systèmes de prévention d’intrusion (IPS) modernes revendiquent un certain niveau de défense DDoS. Les nouvelles générations de pare-feu avancés (NGFW) proposent des services DDoS et IPS assurant une certaine protection. Disposer d’un tel dispositif unifié est plus facile à gérer, mais ce dernier peut être submergé par des attaques volumétriques DDoS et ne pas avoir les mécanismes sophistiqués de détection adaptés à la couche 7 que d’autres solutions ont. Un autre compromis à prendre en compte est que l’activation de la protection DDoS sur le pare-feu ou l’IPS peut impacter la performance globale du seul dispositif, entraînant des débits réduits et une augmentation de la latence pour les utilisateurs finaux.

3. Des appliances dédiées à la protection contre les attaques
DDoS Ce sont des dispositifs matériels qui sont déployés dans un centre de données et utilisés pour détecter et stopper les attaques DDoS basiques (couche 3 et 4) et avancées (couche 7). Déployées au point d’entrée principal pour tout le trafic Web, ces appliances peuvent à la fois bloquer les attaques volumétriques en masse et surveiller tout le trafic entrant et sortant du réseau afin de détecter les comportements suspects des menaces visant la couche 7. En utilisant un dispositif dédié, les dépenses sont prévisibles, car le coût est fixé, que l’entreprise soit attaquée une fois en six mois ou tous les jours. Les aspects négatifs de cette option sont que ces dispositifs sont des pièces matérielles supplémentaires à gérer, que les unités à faible bande passante peuvent être submergées lors d’attaques volumétriques en masse et que de nombreux fabricants nécessitent des mises à jour fréquentes en matière de signatures. Les solutions matérielles dédiées de protection des attaques DDoS existent en deux versions principales : celle pour les opérateurs télécoms et celles pour les entreprises. Les premières sont des solutions complètes conçues pour les réseaux mondiaux des FAI et sont très coûteuses. La plupart des organisations qui veulent protéger leurs centres de données privés optent pour les modèles d’entreprise qui offrent une détection et protection DDoS rentable. Les modèles d’aujourd’hui peuvent gérer des attaques volumétriques en masse et assurer une protection à 100 % des couches 3, 4 et 7. Ils peuvent aussi être utilisés en complément d’une protection fournie par le FAI contre les attaques DDoS en masse et assurer une détection et une protection avancées de la couche 7. Bien que ces dispositifs nécessitent un investissement initial, ce qui n’est pas le cas des solutions hébergées, ils sont souvent beaucoup moins chers à long terme si l’on prend en compte les frais excédentaires dans le budget total.

Les entreprises devraient considérer des appliances de protection d’attaques DDoS qui utilisent des méthodes d’adaptation basées sur le comportement pour identifier les menaces. Ces appliances apprennent les bases de référence de l’activité normale des applications et, ensuite, surveillent leurs trafics par rapport à ces bases. Cette approche d’adaptation/ apprentissage a l’avantage de protéger les utilisateurs des attaques zero-day inconnues puisque le dispositif n’a pas besoin d’attendre que les fichiers signatures soient mis à jour.