Le danger du DDoS pour les entreprises à risque — et les

ARBOR INSIGHT
Le danger du DDoS pour
les entreprises à risque
— et les mesures que
vous pouvez prendre
5 préjugés courants
1.
Les pare-feu, IPS ou réseaux
de fourniture de contenu
constituent une réponse
appropriée.
2.
La protection DDoS d'une
seule couche est suffisante
3.
La probabilité que nous
soyons une cible est faible,
donc nous pouvons prendre
ce risque.
4.
L'impact d'une attaque
DDoS ne justifie pas le
coût de la protection.
5.
Les attaques DDoS ne
constituent pas des
menaces sophistiquées
Protéger les réseaux des organisations des attaques DDoS a
longtemps représenté un défi de taille — que les cybercriminels
ont encore relevé.
Considérez les faits suivants :1
• L'importance des attaques DDoS a augmenté de 4 900 % au cours des dix
dernières années, pour atteindre 400 Gbps en 2014. Le nombre d'attaques
DDoS de plus de 20 Gbps a été multiplié par huit, l'année dernière.
• La complexité des attaques DDoS augmente. Les pirates informatiques
utilisent des attaques massives, pour bloquer l'accès, qu’ils combinent
dynamiquement avec des attaques furtives de la couche des applications. Si la
protection n'est pas adéquate, ces attaques multivectorielles sophistiquées
peuvent faire des ravages dans les organisations.
• La fréquence des attaques DDoS augmente également car 40 % d’entre
elles subissent entre une et dix attaques par mois.
• Il est également démontré que les attaques DDoS ne constituent pas des
événements isolés, mais qui sont étroitement associés ou font partie intégrante
de campagnes de menaces sophistiquées et complexes, à l’encontre des
organisations.
Pourtant, même dans le contexte de menaces dynamiques actuel, de nombreuses
organisations croient toujours qu'une solution de protection dédiée aux DDoS n'est
pas importante — ou que celle qu'elles ont adoptée il y a quelques années
fonctionne toujours aujourd'hui. Dans ces situations, les organisations prennent des
risques pour leur réseau. Il est temps de démystifier quelques idées fausses et
dépassées sur les DDoS.
Cinq préjugés courants sur la protection contre les DDoS
Nous allons étudier cinq fausses idées courantes adoptées par les organisations,
lorsqu'elles se préoccupent des DDoS, et mettre ces mauvaises pratiques en
lumière.
1 Idée fausse n°1 : les pare-feu, IPS ou réseaux de fourniture de contenu
constituent une réponse appropriée.
L'évolution des infrastructures IT et la dépendance aux clouds tiers a créé un environnement
complexe qui n'a plus de périmètre. Les solutions de sécurité « périmétriques » traditionnelles
telles que les pare-feu et IDS/IPS sont toujours des composants essentiels d'une politique de
sécurité intégrée. Cependant, ces appareils effectuant des inspections à états des connexions
réseau, sont susceptibles de subir des attaques DDoS. Selon Arbor Networks, pratiquement 50
% des pare-feu ou IPS tombent en panne à la suite d'une attaque DDoS.
1 Arbor Networks 2014 Rapport sur la sécurité des infrastructures dans le monde
2 Ibid
ARBOR INSIGHT
Data Center Firewall Failures Due to DDoS
Pannes de pare-feu des centres de calcul dues aux DDoS
49% O u i
41% Non
11% Ces appareils ne sont
pas déployés dans le
centre de calcul
Figure 1 Source: Arbor Networks, Inc.
Source: Arbor Networks, Inc.
Beaucoup d'organisations croient également à tort que les réseaux de fourniture de contenu
représentent une solution stoppant les attaques DDoS. La vérité est qu'un RFC traite
uniquement les symptômes d'une attaque DDoS. En absorbant de grands volumes de
données, un RFC permet en fait l'entrée et le passage de toutes les informations dans le
réseau, par le biais d’une approche « toutes sont bienvenues ». En outre, la plupart des
solutions de protection anti DDoS basées sur des RFC se concentrent uniquement sur
l'absorption des attaques DDoS HTTP/HTTPS en ignorant les autres, comme les attaques
d'amplification NTP/DNS, pourtant très courantes.
2 Idée fausse n°2 : la protection DDoS d'une seule couche est suffisante.
Et le meilleur endroit
pour arrêter des
attaques furtives de
couche d'application est
dans les locaux du
client, au plus près des
emplacements des
applications ou des
services essentiels.
Étant donné que les attaques DDoS les plus récentes utilisent une combinaison dynamique
d'épuisement d'état volumétrique et TCP d’une part, et de vecteurs d'attaque de la couche
des applications3 d’autre part, les règles de prudence du secteur recommandent aux
organisations d'adopter une approche de la protection par couche.
Ainsi, le meilleur endroit pour arrêter les grandes attaques de saturation se trouve en amont,
dans un cloud de fournisseur de services, avant qu'elles ne submergent la connectivité
Internet locale ou les systèmes de protection anti DDoS sur site. Et le meilleur endroit pour
arrêter des attaques furtives de couche d'application est dans les locaux du client, au plus
près des emplacements des applications ou des services essentiels. Il est tout aussi
important de disposer d'une forme de communication intelligente entre ces deux couches,
soutenue par une connaissance des dernières tendances en matière de menaces, afin de
stopper les attaques DDoS dynamiques et multivectorielles.
Malheureusement, beaucoup d'organisations choisissent la protection d'une seule couche, ce
qui procure une solution de protection anti DDoS incomplète.
Protection contre les attaque DDoS sur plusieurs couche
Centre de nettoyage
Arrêt des attaques
volumétriques en cloud
1
3
Communication intelligente
entre les deux environnements
Trafic légitime
Trafic volumétrique
Botnet,
DDoS, Malware
Attaque d'application
Internet
4
Soutenus par une connaissance
permanente des menaces
Votre réseau (du FAI)
2
Vos centres de calcul
Arrêt des attaques de
couche d'application sur le site
Figure 2 Source: Arbor Networks, Inc.
3 Arbor Networks 2014 Rapport sur la sécurité des infrastructures dans le monde
2
ARBOR INSIGHT
L'impact d'une attaque DDoS peut être grave et immédiat. Le fait est que
beaucoup d'organisations n'effectuent pas d'analyse des risques et des contremesures appropriées justifiant l'achat d'une solution de protection anti DDoS
complète.
3 Idée fausse n°3 : il est peu probable que notre organisation constitue une
cible, donc nous pouvons prendre le risque
L'augmentation considérable du nombre d'attaques DDoS est due à deux facteurs
principaux. 1) La facilité de lancement d'une attaque et 2) La multiplicité des motivations des
attaques.4 Il n'a historiquement jamais été plus facile de lancer une attaque DDoS. Tout le
monde peut simplement télécharger un outil d'attaque DDoS « prêt à l'emploi », gratuitement
ou pour un faible coût auprès d'un tiers, afin de conduire une attaque DDoS sous la forme
d'un service fourni. Et alors que le prix d'une attaque se compte en dizaines de dollars, les
pertes, pour les organisations, peuvent équivaloir à des dizaines de millions de dollars. Les
motivations des attaques DDoS sont nombreuses. Les attaques DDoS ne sont plus motivées
par l’appât du gain financier ou conduites par des organisations soutenues par des états.
DDoS des
Attack
Motivations
Motivations
attaques
de DDoS
36% Différends politiques/idéologiques
40%
(WikiLeaks/anonymes, nationalisme,
controverse religieuse, etc.)
35%
Rèpondants à l'enquête
20% Nihilisme/vandalisme
30%
16% Diversion pour couvrir une
compromission / une
exfiltration de données
25%
14% Nihilisme/vandalisme
20%
14% Tentatives d'extorsions criminelles
14% Rivalités entre personnes/groupes (disputes
15%
individuelles, écoles, équipes sportives, adeptes
inconditionnels, etc.)
10%
14% Mauvaise configuration/accident
5%
4% Manipulation de marché financier
4% Pics de charge soudains
0%
Figure 3 Source: Arbor Networks, Inc.
2% Motivation d'attaque
Source: Arbor Networks, Inc.
Désormais, il suffit à une personne d'être en désaccord avec votre opinion, votre affiliation
politique ou votre point de vue sur un sujet, pour lancer une attaque DDoS en utilisant la
pléthore d'outils ou de services à sa disposition. Pire encore, si vos services sont hébergés
dans un environnement de cloud partagé, vous n'avez même pas besoin d'être la cible
directe d’une attaque DDoS pour être affecté par ses dommages collatéraux. À vous de
voir, donc, si vous vous considérez chanceux et hors d’atteinte…
4 Idée fausse n° 4 : l'impact d'une attaque DDoS ne justifie pas le coût de la
protection.
L'impact d'une attaque DDoS peut être sévère et immédiat. Le fait est que beaucoup
d'organisations n'effectuent pas d'analyse des risques et des contre-mesures appropriées
justifiant l'achat d'une solution de protection anti DDoS complète. Bien sûr, le calcul du coût
d'interruption de service pour un service de production de revenus est aisé ; mais avez-vous
considéré tous les autres coûts associés à une attaque DDoS ?
4 Arbor Networks 2014 Rapport sur la sécurité des infrastructures dans le monde
3
ARBOR INSIGHT
Center sur
DDoS
Impact
ImpactData
du DDoS
lesBusiness
activités
d'un centre de calcul
90%
81% Frais opérationnels
44% Perte de revenus
Rèpondants à l'enquête
80%
33% Perte de clientèle
70%
2% Taux de renouvellement des employés
14% Autres
60%
50%
40%
30%
20%
Selon Arbor Networks,
81 % des opérateurs de
centres de calcul citent
leurs dépenses
opérationnelles comme
impact numéro un des
attaques de DDoS
10%
0%
Figure 4Source:
Source:
Networks,
Inc.
ArborArbor
Networks,
Inc.
Selon Arbor Networks, 81 % des opérateurs de centres de calcul citent leurs
dépenses opérationnelles comme impact numéro un des attaques de DDoS5. Mais
de nombreux autres coûts indirects sont couramment ignorés tels que les crédits
de contrat SLA, les frais légaux/réglementaires, les coûts de RP pour la réparation
de l’image de la marque, la perte de clientèle, etc. Il existe même des cas
documentés de membres du conseil d'administration ou de cadres renvoyés parce
que leurs organisations n'avaient pas suffisamment été protégées d’attaques DDoS
et d'autres menaces.
5 Idée fausse n°5 : les attaques DDoS ne constituent pas des menaces sophistiquées
Certes, d'un point de vue technique, les attaques DDoS ne sont pas, en elles-mêmes,
sophistiquées. Cependant, l'équipe d'ingénierie et de réponse de sécurité (ASERT-Security
Engineering and Response Team) d'Arbor, forte de 14 ans de recherche mondiale, a
déterminé que les botnets et les attaques DDoS étaient en fait étroitement associés à des
menaces d’un type très élaboré, telles que les logiciels malveillants, les RATs, etc. En fait, ils
peuvent être utilisés conjointement dans ce que l'on appelle un enchaînement de destruction
de cyber attaque.6
DDoS utilisé à divers stades d'un enchaînement de destruction d'attaque
Chaîne de destruction
d'attaque avancée
1
Recherche
Reconnaissance
2
Comp. initiale
Création d'arme,
livraison, installation
Attaquant
3
Diffusion
Exploitation, C&C
1Activités d'attaque
au cours du temps
Analyse
des ports
Analyse
des ports
DDoS
Hameçonnage Évasion
P2P
Jour zéro
DDoS URL incorrecte Hameçonnage
RAT
Évasion
Logiciel malveillant
Evasion
PDV
TOR
Évasion
Robot
Organisation
cible
4
Extraction données
Mission terminée
DDoS
Figure 5 Source: Arbor Networks, Inc.
5 Arbor Networks 2014 Rapport sur la sécurité des infrastructures dans le monde
6 www.lockheedmartin.com/us/what-we-do/information-technology/cyber-security/cyber-kill-chain.html
4
ARBOR INSIGHT
Il vous est fortement recommandé d'utiliser vos connaissances des menaces
globales pour « pister » de façon proactive les faiblesses ou les brèches, avant
qu'elles n’affectent votre organisation.
Par exemple, des cas documentés ont montré que des attaques DDoS avaient été utilisées
à ces niveaux :
• Le stade précoce de reconnaissance, afin d’évaluer la capacité d'une organisation à
réagir à certaines menaces.
• Le stade de création de l'arme ou de livraison du logiciel malveillant, dans lequel elles
servaient à remplir le journal du produit et les fichiers de données légaux de sécurité,
afin de rendre la recherche du logiciel malveillant implanté beaucoup plus difficile.
• Le stade d'extraction de données où les attaques étaient utilisées comme une
tactique de diversion.
L'ASERT a trouvé des preuves encore plus tangibles de cette interaction entre DDoS et
menaces sophistiquées. Le graphique ci-dessous présente un aperçu du portail des
menaces globales ATLAS® d'Arbor. Il montre une infrastructure de menace particulière
associée à l'adresse IP (212.90.39.241). Vous pouvez y voir clairement que cette
infrastructure de menace a une combinaison de DDoS, botnet CnC et logiciel malveillant
DarkComet à sa disposition.
Impact du DDoS sur les activités d'un centre de calcul
Portail de menaces
212.90.39.241
RECHERCHER
RECHERCHER DANS LA BASE DE DONNÉES DE MENACES D'ATLAS
Historique des menaces pour 212 .90.39.241
100%
DarkDDoser
90%
Confiance :100
Gravité: 5
2015-1-25 14:7
Survey Respondents
80%
Le portail des menaces
ATLAS montre une
infrastructure
de menace unique avec
DDoS et logiciel malveillant
de menace avancée
(DarkComet)
à sa disposition.
70%
60%
50%
40%
30%
20%
%
DarkDDoser
CnC autre
DarkComet
10%
%
0%
%
05.01.14
01.
06.01.14 07.01.14 08.01.14 09.01.14 10.01.14 11.01.14 12.01.14 01.01.14 02.01.14 03.01.14
Menace
Gravité
Indice de confiance
DarkComet
8
100.0
ARB-ID
ARB-2013-0043
Classe/groupe stratégie Dernier rapportorted
AIF Standard/malveillant
2015-02-14
Figure 6 Source: Arbor Networks, Inc.
Ce qui soulève une question… « La dernière attaque DDoS était-elle un événement isolé ou
faisait-elle partie d'une campagne de menaces plus sophistiquées, contre mon
organisation ? » Pour vous protéger, il vous est fortement recommandé d’utiliser vos
connaissances des menaces globales — telle que les données présentées sur le portail des
menaces d'Arbor— afin de « pister » de façon proactive les faiblesses ou les brèches, avant
qu'elles n’affectent votre organisation.
5
ARBOR INSIGHT
Il est temps d'adopter une approche multicouche intelligente de la
protection anti DDoS
La simple utilisation de solutions de sécurité traditionnelles, telles que les pare-feu ou IPS,
tout comme le pari que les cybercriminels et hacktivistes n’agiront pas à son encontre,
constituent un risque énorme pour votre organisation. Pouvez-vous vous permettre une
indisponibilité de vos applications principales ? Pouvez-vous assumer les coûts associés à
une brèche exposant les millions de données confidentielles de vos clients ? La réalité est que
vous devez constamment protéger votre organisation en adoptant une approche intégrée et
multicouche de la protection anti DDoS. Arbor offre un ensemble complet de produits et de
services de protection anti DDoS, tous soutenus par une connaissance des menaces globales
de l'ASERT et d'ATLAS.
Fiez-vous à Arbor pour
protéger votre organisation
des attaques de DDoS les
plus récentes et des autres
menaces sophistiquées.
Contactez votre représentant
Arbor local afin de déterminer
quels produits ou services
sont les meilleurs pour votre
organisation, ou visitez notre
site Web
Titre du schéma
• Un service de protection anti DDoS géré.
• Pour les réseaux plus complexes et
les équipes de sécurité expérimentées.
• Détection automatisée, atténuation
personnalisable hors bande.
• Utilisé par de nombreux MSSP pour
des services de protection anti DDoS en
cloud.
• Combinaison de protection contre les
attaques de DDoS sur site et en cloud.
• Téraoctets de capacité d'atténuation
soutenus par des experts de protection anti
DDoS.
Cloud Arbor
www.arbornetworks.com
Cloud Arbor
Centre de nettoyage
Clou
d
nal
Sig
Trafic légitime
Menace de pic de
débit Système de
gestion
Trafic volumétrique
Botnet, DDoS,
programme malveillant
Attaque des applications
Votre réseau
(FAI)
Internet
Disponibilité Pravail
Système de
protection
Vos centres de calcul
+
Corporate Headquarters
76 Blanchard Road
Burlington, MA 01803 USA
Toll Free USA +1 866 212 7267
T +1 781 362 4300
• La visibilité globale et la connaissance des
menaces fournissent une « perception en
fonction du contexte ».
• ATLAS Intelligence Feed (AIF) arme les
produits avec une protection actualisée et
entièrement fiable.
• Pour les centres de calcul avec des
équipes de sécurité moins expérimentées.
• Protection toujours active anti attaques
DDoS et menaces (entrantes et sortantes).
• Signalement de cloud : « aide » en cas
d'attaques volumétriques.
Figure 7 Source: Arbor Networks, Inc.
North America Sales
Toll Free +1 855 773 9200
Europe
T +44 207 127 8147
Asia Pacific
T +65 68096226
www.arbornetworks.com
© 2015 Arbor Networks, Inc. All rights reserved. Arbor Networks, the Arbor Networks logo, Peakflow, ArbOS, Pravail,
Cloud Signaling, Arbor Cloud, ATLAS, We see things others can’t.™ and Arbor Networks. Smart. Available. Secure.
are all trademarks of Arbor Networks, Inc. All other brands may be the trademarks of their respective owners.
AI/5MISCONCEPTIONS/LETTER/EN/0315