Le danger du DDoS pour les entreprises à risque — et les
Transcription
Le danger du DDoS pour les entreprises à risque — et les
ARBOR INSIGHT Le danger du DDoS pour les entreprises à risque — et les mesures que vous pouvez prendre 5 préjugés courants 1. Les pare-feu, IPS ou réseaux de fourniture de contenu constituent une réponse appropriée. 2. La protection DDoS d'une seule couche est suffisante 3. La probabilité que nous soyons une cible est faible, donc nous pouvons prendre ce risque. 4. L'impact d'une attaque DDoS ne justifie pas le coût de la protection. 5. Les attaques DDoS ne constituent pas des menaces sophistiquées Protéger les réseaux des organisations des attaques DDoS a longtemps représenté un défi de taille — que les cybercriminels ont encore relevé. Considérez les faits suivants :1 • L'importance des attaques DDoS a augmenté de 4 900 % au cours des dix dernières années, pour atteindre 400 Gbps en 2014. Le nombre d'attaques DDoS de plus de 20 Gbps a été multiplié par huit, l'année dernière. • La complexité des attaques DDoS augmente. Les pirates informatiques utilisent des attaques massives, pour bloquer l'accès, qu’ils combinent dynamiquement avec des attaques furtives de la couche des applications. Si la protection n'est pas adéquate, ces attaques multivectorielles sophistiquées peuvent faire des ravages dans les organisations. • La fréquence des attaques DDoS augmente également car 40 % d’entre elles subissent entre une et dix attaques par mois. • Il est également démontré que les attaques DDoS ne constituent pas des événements isolés, mais qui sont étroitement associés ou font partie intégrante de campagnes de menaces sophistiquées et complexes, à l’encontre des organisations. Pourtant, même dans le contexte de menaces dynamiques actuel, de nombreuses organisations croient toujours qu'une solution de protection dédiée aux DDoS n'est pas importante — ou que celle qu'elles ont adoptée il y a quelques années fonctionne toujours aujourd'hui. Dans ces situations, les organisations prennent des risques pour leur réseau. Il est temps de démystifier quelques idées fausses et dépassées sur les DDoS. Cinq préjugés courants sur la protection contre les DDoS Nous allons étudier cinq fausses idées courantes adoptées par les organisations, lorsqu'elles se préoccupent des DDoS, et mettre ces mauvaises pratiques en lumière. 1 Idée fausse n°1 : les pare-feu, IPS ou réseaux de fourniture de contenu constituent une réponse appropriée. L'évolution des infrastructures IT et la dépendance aux clouds tiers a créé un environnement complexe qui n'a plus de périmètre. Les solutions de sécurité « périmétriques » traditionnelles telles que les pare-feu et IDS/IPS sont toujours des composants essentiels d'une politique de sécurité intégrée. Cependant, ces appareils effectuant des inspections à états des connexions réseau, sont susceptibles de subir des attaques DDoS. Selon Arbor Networks, pratiquement 50 % des pare-feu ou IPS tombent en panne à la suite d'une attaque DDoS. 1 Arbor Networks 2014 Rapport sur la sécurité des infrastructures dans le monde 2 Ibid ARBOR INSIGHT Data Center Firewall Failures Due to DDoS Pannes de pare-feu des centres de calcul dues aux DDoS 49% O u i 41% Non 11% Ces appareils ne sont pas déployés dans le centre de calcul Figure 1 Source: Arbor Networks, Inc. Source: Arbor Networks, Inc. Beaucoup d'organisations croient également à tort que les réseaux de fourniture de contenu représentent une solution stoppant les attaques DDoS. La vérité est qu'un RFC traite uniquement les symptômes d'une attaque DDoS. En absorbant de grands volumes de données, un RFC permet en fait l'entrée et le passage de toutes les informations dans le réseau, par le biais d’une approche « toutes sont bienvenues ». En outre, la plupart des solutions de protection anti DDoS basées sur des RFC se concentrent uniquement sur l'absorption des attaques DDoS HTTP/HTTPS en ignorant les autres, comme les attaques d'amplification NTP/DNS, pourtant très courantes. 2 Idée fausse n°2 : la protection DDoS d'une seule couche est suffisante. Et le meilleur endroit pour arrêter des attaques furtives de couche d'application est dans les locaux du client, au plus près des emplacements des applications ou des services essentiels. Étant donné que les attaques DDoS les plus récentes utilisent une combinaison dynamique d'épuisement d'état volumétrique et TCP d’une part, et de vecteurs d'attaque de la couche des applications3 d’autre part, les règles de prudence du secteur recommandent aux organisations d'adopter une approche de la protection par couche. Ainsi, le meilleur endroit pour arrêter les grandes attaques de saturation se trouve en amont, dans un cloud de fournisseur de services, avant qu'elles ne submergent la connectivité Internet locale ou les systèmes de protection anti DDoS sur site. Et le meilleur endroit pour arrêter des attaques furtives de couche d'application est dans les locaux du client, au plus près des emplacements des applications ou des services essentiels. Il est tout aussi important de disposer d'une forme de communication intelligente entre ces deux couches, soutenue par une connaissance des dernières tendances en matière de menaces, afin de stopper les attaques DDoS dynamiques et multivectorielles. Malheureusement, beaucoup d'organisations choisissent la protection d'une seule couche, ce qui procure une solution de protection anti DDoS incomplète. Protection contre les attaque DDoS sur plusieurs couche Centre de nettoyage Arrêt des attaques volumétriques en cloud 1 3 Communication intelligente entre les deux environnements Trafic légitime Trafic volumétrique Botnet, DDoS, Malware Attaque d'application Internet 4 Soutenus par une connaissance permanente des menaces Votre réseau (du FAI) 2 Vos centres de calcul Arrêt des attaques de couche d'application sur le site Figure 2 Source: Arbor Networks, Inc. 3 Arbor Networks 2014 Rapport sur la sécurité des infrastructures dans le monde 2 ARBOR INSIGHT L'impact d'une attaque DDoS peut être grave et immédiat. Le fait est que beaucoup d'organisations n'effectuent pas d'analyse des risques et des contremesures appropriées justifiant l'achat d'une solution de protection anti DDoS complète. 3 Idée fausse n°3 : il est peu probable que notre organisation constitue une cible, donc nous pouvons prendre le risque L'augmentation considérable du nombre d'attaques DDoS est due à deux facteurs principaux. 1) La facilité de lancement d'une attaque et 2) La multiplicité des motivations des attaques.4 Il n'a historiquement jamais été plus facile de lancer une attaque DDoS. Tout le monde peut simplement télécharger un outil d'attaque DDoS « prêt à l'emploi », gratuitement ou pour un faible coût auprès d'un tiers, afin de conduire une attaque DDoS sous la forme d'un service fourni. Et alors que le prix d'une attaque se compte en dizaines de dollars, les pertes, pour les organisations, peuvent équivaloir à des dizaines de millions de dollars. Les motivations des attaques DDoS sont nombreuses. Les attaques DDoS ne sont plus motivées par l’appât du gain financier ou conduites par des organisations soutenues par des états. DDoS des Attack Motivations Motivations attaques de DDoS 36% Différends politiques/idéologiques 40% (WikiLeaks/anonymes, nationalisme, controverse religieuse, etc.) 35% Rèpondants à l'enquête 20% Nihilisme/vandalisme 30% 16% Diversion pour couvrir une compromission / une exfiltration de données 25% 14% Nihilisme/vandalisme 20% 14% Tentatives d'extorsions criminelles 14% Rivalités entre personnes/groupes (disputes 15% individuelles, écoles, équipes sportives, adeptes inconditionnels, etc.) 10% 14% Mauvaise configuration/accident 5% 4% Manipulation de marché financier 4% Pics de charge soudains 0% Figure 3 Source: Arbor Networks, Inc. 2% Motivation d'attaque Source: Arbor Networks, Inc. Désormais, il suffit à une personne d'être en désaccord avec votre opinion, votre affiliation politique ou votre point de vue sur un sujet, pour lancer une attaque DDoS en utilisant la pléthore d'outils ou de services à sa disposition. Pire encore, si vos services sont hébergés dans un environnement de cloud partagé, vous n'avez même pas besoin d'être la cible directe d’une attaque DDoS pour être affecté par ses dommages collatéraux. À vous de voir, donc, si vous vous considérez chanceux et hors d’atteinte… 4 Idée fausse n° 4 : l'impact d'une attaque DDoS ne justifie pas le coût de la protection. L'impact d'une attaque DDoS peut être sévère et immédiat. Le fait est que beaucoup d'organisations n'effectuent pas d'analyse des risques et des contre-mesures appropriées justifiant l'achat d'une solution de protection anti DDoS complète. Bien sûr, le calcul du coût d'interruption de service pour un service de production de revenus est aisé ; mais avez-vous considéré tous les autres coûts associés à une attaque DDoS ? 4 Arbor Networks 2014 Rapport sur la sécurité des infrastructures dans le monde 3 ARBOR INSIGHT Center sur DDoS Impact ImpactData du DDoS lesBusiness activités d'un centre de calcul 90% 81% Frais opérationnels 44% Perte de revenus Rèpondants à l'enquête 80% 33% Perte de clientèle 70% 2% Taux de renouvellement des employés 14% Autres 60% 50% 40% 30% 20% Selon Arbor Networks, 81 % des opérateurs de centres de calcul citent leurs dépenses opérationnelles comme impact numéro un des attaques de DDoS 10% 0% Figure 4Source: Source: Networks, Inc. ArborArbor Networks, Inc. Selon Arbor Networks, 81 % des opérateurs de centres de calcul citent leurs dépenses opérationnelles comme impact numéro un des attaques de DDoS5. Mais de nombreux autres coûts indirects sont couramment ignorés tels que les crédits de contrat SLA, les frais légaux/réglementaires, les coûts de RP pour la réparation de l’image de la marque, la perte de clientèle, etc. Il existe même des cas documentés de membres du conseil d'administration ou de cadres renvoyés parce que leurs organisations n'avaient pas suffisamment été protégées d’attaques DDoS et d'autres menaces. 5 Idée fausse n°5 : les attaques DDoS ne constituent pas des menaces sophistiquées Certes, d'un point de vue technique, les attaques DDoS ne sont pas, en elles-mêmes, sophistiquées. Cependant, l'équipe d'ingénierie et de réponse de sécurité (ASERT-Security Engineering and Response Team) d'Arbor, forte de 14 ans de recherche mondiale, a déterminé que les botnets et les attaques DDoS étaient en fait étroitement associés à des menaces d’un type très élaboré, telles que les logiciels malveillants, les RATs, etc. En fait, ils peuvent être utilisés conjointement dans ce que l'on appelle un enchaînement de destruction de cyber attaque.6 DDoS utilisé à divers stades d'un enchaînement de destruction d'attaque Chaîne de destruction d'attaque avancée 1 Recherche Reconnaissance 2 Comp. initiale Création d'arme, livraison, installation Attaquant 3 Diffusion Exploitation, C&C 1Activités d'attaque au cours du temps Analyse des ports Analyse des ports DDoS Hameçonnage Évasion P2P Jour zéro DDoS URL incorrecte Hameçonnage RAT Évasion Logiciel malveillant Evasion PDV TOR Évasion Robot Organisation cible 4 Extraction données Mission terminée DDoS Figure 5 Source: Arbor Networks, Inc. 5 Arbor Networks 2014 Rapport sur la sécurité des infrastructures dans le monde 6 www.lockheedmartin.com/us/what-we-do/information-technology/cyber-security/cyber-kill-chain.html 4 ARBOR INSIGHT Il vous est fortement recommandé d'utiliser vos connaissances des menaces globales pour « pister » de façon proactive les faiblesses ou les brèches, avant qu'elles n’affectent votre organisation. Par exemple, des cas documentés ont montré que des attaques DDoS avaient été utilisées à ces niveaux : • Le stade précoce de reconnaissance, afin d’évaluer la capacité d'une organisation à réagir à certaines menaces. • Le stade de création de l'arme ou de livraison du logiciel malveillant, dans lequel elles servaient à remplir le journal du produit et les fichiers de données légaux de sécurité, afin de rendre la recherche du logiciel malveillant implanté beaucoup plus difficile. • Le stade d'extraction de données où les attaques étaient utilisées comme une tactique de diversion. L'ASERT a trouvé des preuves encore plus tangibles de cette interaction entre DDoS et menaces sophistiquées. Le graphique ci-dessous présente un aperçu du portail des menaces globales ATLAS® d'Arbor. Il montre une infrastructure de menace particulière associée à l'adresse IP (212.90.39.241). Vous pouvez y voir clairement que cette infrastructure de menace a une combinaison de DDoS, botnet CnC et logiciel malveillant DarkComet à sa disposition. Impact du DDoS sur les activités d'un centre de calcul Portail de menaces 212.90.39.241 RECHERCHER RECHERCHER DANS LA BASE DE DONNÉES DE MENACES D'ATLAS Historique des menaces pour 212 .90.39.241 100% DarkDDoser 90% Confiance :100 Gravité: 5 2015-1-25 14:7 Survey Respondents 80% Le portail des menaces ATLAS montre une infrastructure de menace unique avec DDoS et logiciel malveillant de menace avancée (DarkComet) à sa disposition. 70% 60% 50% 40% 30% 20% % DarkDDoser CnC autre DarkComet 10% % 0% % 05.01.14 01. 06.01.14 07.01.14 08.01.14 09.01.14 10.01.14 11.01.14 12.01.14 01.01.14 02.01.14 03.01.14 Menace Gravité Indice de confiance DarkComet 8 100.0 ARB-ID ARB-2013-0043 Classe/groupe stratégie Dernier rapportorted AIF Standard/malveillant 2015-02-14 Figure 6 Source: Arbor Networks, Inc. Ce qui soulève une question… « La dernière attaque DDoS était-elle un événement isolé ou faisait-elle partie d'une campagne de menaces plus sophistiquées, contre mon organisation ? » Pour vous protéger, il vous est fortement recommandé d’utiliser vos connaissances des menaces globales — telle que les données présentées sur le portail des menaces d'Arbor— afin de « pister » de façon proactive les faiblesses ou les brèches, avant qu'elles n’affectent votre organisation. 5 ARBOR INSIGHT Il est temps d'adopter une approche multicouche intelligente de la protection anti DDoS La simple utilisation de solutions de sécurité traditionnelles, telles que les pare-feu ou IPS, tout comme le pari que les cybercriminels et hacktivistes n’agiront pas à son encontre, constituent un risque énorme pour votre organisation. Pouvez-vous vous permettre une indisponibilité de vos applications principales ? Pouvez-vous assumer les coûts associés à une brèche exposant les millions de données confidentielles de vos clients ? La réalité est que vous devez constamment protéger votre organisation en adoptant une approche intégrée et multicouche de la protection anti DDoS. Arbor offre un ensemble complet de produits et de services de protection anti DDoS, tous soutenus par une connaissance des menaces globales de l'ASERT et d'ATLAS. Fiez-vous à Arbor pour protéger votre organisation des attaques de DDoS les plus récentes et des autres menaces sophistiquées. Contactez votre représentant Arbor local afin de déterminer quels produits ou services sont les meilleurs pour votre organisation, ou visitez notre site Web Titre du schéma • Un service de protection anti DDoS géré. • Pour les réseaux plus complexes et les équipes de sécurité expérimentées. • Détection automatisée, atténuation personnalisable hors bande. • Utilisé par de nombreux MSSP pour des services de protection anti DDoS en cloud. • Combinaison de protection contre les attaques de DDoS sur site et en cloud. • Téraoctets de capacité d'atténuation soutenus par des experts de protection anti DDoS. Cloud Arbor www.arbornetworks.com Cloud Arbor Centre de nettoyage Clou d nal Sig Trafic légitime Menace de pic de débit Système de gestion Trafic volumétrique Botnet, DDoS, programme malveillant Attaque des applications Votre réseau (FAI) Internet Disponibilité Pravail Système de protection Vos centres de calcul + Corporate Headquarters 76 Blanchard Road Burlington, MA 01803 USA Toll Free USA +1 866 212 7267 T +1 781 362 4300 • La visibilité globale et la connaissance des menaces fournissent une « perception en fonction du contexte ». • ATLAS Intelligence Feed (AIF) arme les produits avec une protection actualisée et entièrement fiable. • Pour les centres de calcul avec des équipes de sécurité moins expérimentées. • Protection toujours active anti attaques DDoS et menaces (entrantes et sortantes). • Signalement de cloud : « aide » en cas d'attaques volumétriques. Figure 7 Source: Arbor Networks, Inc. North America Sales Toll Free +1 855 773 9200 Europe T +44 207 127 8147 Asia Pacific T +65 68096226 www.arbornetworks.com © 2015 Arbor Networks, Inc. All rights reserved. Arbor Networks, the Arbor Networks logo, Peakflow, ArbOS, Pravail, Cloud Signaling, Arbor Cloud, ATLAS, We see things others can’t.™ and Arbor Networks. Smart. Available. Secure. are all trademarks of Arbor Networks, Inc. All other brands may be the trademarks of their respective owners. AI/5MISCONCEPTIONS/LETTER/EN/0315