Ligne de défense contre les attaques DDoS
Peu d'entreprises réagissent de manière adéquate au risque croissant d'attaques DDoS. NTT Com Security énumère les variantes typiques d'attaques - et les contre-mesures appropriées.
Des gouvernements, des autorités, des fournisseurs de boutiques en ligne, des banques et de nombreuses autres entreprises ont déjà été victimes d'attaques DDoS. Nombre d'entre elles ont dû payer le prix fort, par exemple en voyant leur site web bloqué ou leur centre de données interrompu ; certaines ont même dû payer une rançon en raison du chantage exercé par les attaquants, comme NTT Com Sécurité écrit-il. Il ne faut pas s'attendre à une amélioration, car l'ampleur et le type des attaques DDoS augmentent.
Trois types d'attaques, trois niveaux de protection
Dans l'ensemble, NTT Com Security distingue trois types fondamentaux d'attaques DDoS. Il s'agit premièrement des attaques classiques à haut volume qui inondent les lignes Internet des victimes ; deuxièmement, des attaques de plus en plus fréquentes sur les composants de l'infrastructure, comme la surcharge des pare-feux ou des serveurs ; et troisièmement, des attaques axées sur les applications qui peuvent avoir lieu au sein d'une connexion cryptée et qui coupent la connexion aux serveurs d'applications.
En fonction de ces attaques, les types de défense sont également différents. L'entreprise de sécurité recommande une protection à trois niveaux :
1. défense contre les attaques à haut volume : Dans ce cas, la protection n'est possible que par le biais de fournisseurs d'accès pouvant mettre à disposition une large bande passante ou de centres de scrubbing. Les CDN (Content Delivery Networks) ne suffisent souvent plus face au volume élevé d'attaques DDoS ; les centres de scrubbing, également proposés par NTT, représentent un niveau de protection supplémentaire et sont placés en amont des systèmes des entreprises. Il s'agit d'une sorte de centre de nettoyage équipé pour traiter des volumes de données extrêmes, analyser le trafic et filtrer les différents types d'attaques.
2. défense contre les attaques d'infrastructure : En principe, ce type d'attaque peut également être intercepté par des centres de scrubbing. Mais si le nombre de connexions à partir duquel un centre de scrubbing devient actif n'est pas atteint, l'utilisation de pare-feu DDoS-aware est plus appropriée. Ils peuvent traiter nettement plus de connexions que les pare-feu classiques et interceptent ainsi les attaques correspondantes.
3. défense contre les attaques centrées sur les applications : Dans ce cas, l'outil de choix s'appelle WAF, c'est-à-dire Web Application Firewall. Par rapport aux pare-feu classiques, les WAF examinent la communication spécifique à l'application et sont donc en mesure de détecter les attaques qui visent l'application.
Procéder par étapes
Si une entreprise se penche sur la défense contre d'éventuelles attaques DDoS, elle devrait procéder en plusieurs étapes :
1. analyse de l'existant : La première mesure consiste à vérifier s'il existe déjà des systèmes pouvant être utilisés pour la protection et comment les compléter au mieux afin de garantir la meilleure défense possible contre les DDoS. Les WAF, par exemple, ne sont pas très fréquents dans les entreprises, et la protection par scrubbing center est très rare.
2e monitoring : Les entreprises ne savent souvent pas qu'elles sont attaquées. Le pare-feu enregistre certes toutes les connexions, mais le nombre élevé d'entrées rend une surveillance à ce niveau pratiquement impossible, du moins manuellement. Les outils de surveillance des performances sont plus adaptés, mais ils sont en général trop rarement consultés pour pouvoir se faire une idée de l'état réel de l'infrastructure. Des attaques DDoS de grande envergure sont également menées régulièrement pour détourner l'attention de l'intrusion réelle avec quelques paquets, par exemple sur un serveur. Pour détecter de telles attaques, un système SIEM bien développé est nécessaire.
3. processus de réponse : Que faire en cas d'attaque ? Une entreprise doit préparer les mesures correspondantes afin de pouvoir réagir rapidement et de manière adéquate. Dès le premier test d'attaquants DDoS, une entreprise devrait être en mesure de passer en mode d'urgence et d'activer immédiatement un service de scrubbing, par exemple.
L'accent se déplace
"Les DDoS sont généralement associés à des attaques de serveurs Web, mais les opérateurs de serveurs Web sont désormais très bien équipés pour les contrer", explique Tom Hager de NTT Com Security. "Mais les attaques sur l'infrastructure des entreprises sont nettement plus lourdes de conséquences et devraient se multiplier à l'avenir, car les entreprises y sont nettement moins bien protégées. Si la logistique ou le système de commande s'effondre et qu'il n'y a plus de communication ou de connexion avec les partenaires, l'entreprise peut être paralysée. Il est donc indispensable de se préparer en conséquence".