attaque ddos sur des applications web

Transcription

CHAPITRE 4 : ÉTUDE DE CAS
ATTAQUE DDOS
SUR DES
APPLICATIONS WEB
RAPPORT 2015 SUR L’ÉTAT DES MENACES DANS LE MONDE :: COPYRIGHT 2015 NTT INNOVATION INSTITUTE 1 LLC
1
ATTAQUE DDOS
SUR DES
APPLICATIONS WEB
ENSEIGNEMENTS DE L’ÉTUDE DE CAS
Mieux vaut mettre en place un dispositif de protection anti-DoS/DDoS avant
d’être attaqué.
CONTEXTE
Client des services de sécurité managée du Groupe NTT, XYZ Corp
(dénomination fictive pour préserver l’anonymat du client) a récemment
subi une attaque par déni de service distribué (DDoS, Distributed Denial-
of-Service). Selon un schéma encore assez peu répandu, cette attaque
DDoS a visé une application Web à un débit inférieur à un mégabit par
seconde. En ce sens, elle différait nettement de la plupart des attaques
DDoS de grande ampleur que NTT traite au quotidien sur la dorsale
mondiale fournie à ses clients.
2
CHRONOLOGIE DES ÉVÉNEMENTS
CHRONOLOGIE DES ÉVÉNEMENTS
D AT E
1 ER JOUR
ÉVÉNEMENT
Détection d’une éventuelle attaque DDoS sur une application
Incident transmis au client du Groupe NTT
L’équipe ne constate aucun problème opérationnel provoquant des
ralentissements symptomatiques d’une attaque
Le client demande au fournisseur d’accès Internet (FAI) de lui fournir des
fichiers journaux
Une analyse détaillée révèle qu’un pirate exploite une fonction WordPress
comme vecteur de son attaque
Des mesures de neutralisation sont établies, puis une nouvelle signature
est créée, testée et déployée dans la foulée
Le client repousse toute l’attaque
Les détails du trafic incriminé sont transmis au fournisseur de la
solution anti-DoS
Durée totale de l’incident : 5,5 heures
Délai après réception des journaux du FAI : 1,5 heure
7 E JOUR
Le fournisseur de solution anti-DoS déploie sa nouvelle signature
officielle
DESCRIPTION DE L’ÉVÉNEMENT
Au printemps 2014, les analystes d’un centre opérationnel de sécurité (SOC,
Security Operations Center) du Groupe NTT détectent des anomalies dans
les réponses de plusieurs systèmes d’un même client. Pour eux, l’événement
présente tous les signes d’une attaque DDoS. Le Groupe NTT engage alors une
analyse plus approfondie, en collaboration avec XYZ Corp, son prestataire de
services informatiques et son FAI. L’équipe détermine rapidement qu’aucune
3
opération de maintenance ni dysfonctionnement d’équipement réseau ne sont en
cause dans la latence constatée dans l’exécution des applications. L’équipe du
SOC de NTT demande alors à consulter les journaux se rapportant à l’incident.
Un examen plus poussé révèle que les attaquants exploitent une fonctionnalité
légitime de WordPress, dénommée Pingback7 , comme vecteur de l’attaque
DDoS. À partir de ce constat, les analystes en sécurité de NTT développent une
signature, qu’ils testent et déploient ensuite pour prévenir de nouvelles attaques.
Une fois le problème résolu, le fournisseur de solutions anti-DoS est informé de
l’incident et des moyens mis en œuvre par le Groupe NTT pour le neutraliser.
Ce fournisseur crée et déploie alors une signature officielle qu’il met à la
disposition de tous ses autres clients.
CAUSE RACINE
Cette attaque avait pour objectif de consommer toutes les ressources de
l’application Web ciblée. Or, sa faible ampleur n’a aucunement perturbé l’accès
réseau au site Web. C’est précisément cette discrétion, typique des attaques visant
les applications, qui les rend difficiles à distinguer du trafic Web légitime. De même,
leur faible consommation de bande passante ne perturbe en rien les applications
partageant le même accès Internet.
Mais en exploitant cette fonctionnalité de WordPress, les attaquants pouvaient
détourner des serveurs tiers de bonne réputation pour créer des requêtes HTTP
considérées, à tort, comme légitimes et les envoyer aux serveurs Web de la
victime. Dans le cas présent, le site Web ciblé n’était pas sous WordPress.
7
https://en.support.wordpress.com/comments/pingbacks/
4
La commande Pingback est activée par défaut sur WordPress pour établir des
références croisées entre les blogs. L’attaquant peut falsifier l’URL de destination
de manière à ce que le site WordPress contacte le site visé par l’attaque pour
vérifier que le Pingback en provient réellement. L’attaque par Pingback repose
donc sur des requêtes HTTP légitimes, mais contenant une valeur arbitraire
qui change à chaque fois. Cette valeur est un élément clé de l’attaque, dans la
mesure où elle contraint le site Web à recharger la page à chaque demande
entrante. Cette méthode contourne donc tous les dispositifs de mise en
mémoire tampon ou en cache destinées à limiter la charge sur le serveur Web.
Comme ces rechargements sollicitent très fortement l’application, ils peuvent
conduire à une situation de déni de service (DoS) du site Web visé, d’autant plus
vraisemblable que la page Web demandée contient de nombreux contenus et
des fichiers multimédias volumineux.
Dans ce cas particulier d’attaque WordPress, des sites WordPress légitimes sont
détournés pour frapper des victimes innocentes. Dans certains cas observés
sur le terrain, plus de 160 000 sites WordPress ont été utilisés pour envoyer des
demandes Pingback à une même victime.
Quelques mois plus tard, des cybercriminels ont tenté le même type d’attaque
DDoS par WordPress contre le même client, ainsi que plusieurs établissements
financiers et entreprises de transport. Le site Web d’un établissement financier
a été immobilisé pendant plus d’une heure, tandis que d’autres entreprises
ont subi des perturbations à des degrés divers jusqu’à 12 heures d’affilée.
Quant aux clients du Groupe NTT Group, ils n’ont constaté aucun impact
mesurable sur leur activité.
5
COÛT DE L’INCIDENT
Sur la base des constatations effectuées avec le client XYZ Corp, le Groupe
NTT a estimé que la détection et la résolution précoces de l’événement ont
permis d’en limiter les coûts aux seules activités de coordination, communication,
documentation et retour d’expérience.
C O Û T D E L’ I N C I D E N T
POSTE DE DÉPENSES
COÛT
Coût réel d’analyse, de résolution et de prise en charge de l’incident,
comme décrit plus haut
Inférieur à
2000 $US
Coût réel d’assistance juridique et de communication ex terne
0 $US
Per tes réelles imputables à l’indisponibilité du site Web
Faible
Inférieur à
2000 $US
Coût total réel lié à l’événement
Coût total réel de la seconde at taque (une fois les signatures
déployées)
0 $US
Source : Coût de l’attaque DDoS neutralisée avec succès.
SYNTHÈSE DE L’ÉTUDE DE CAS
Les données du Groupe NTT indiquent que les attaques par déni de service
restent fréquentes et représentent toujours une menace pour toutes les
entreprises présentes sur Internet. Dans ce cas particulier, XYZ Corp avait
investi dans la prévention des attaques DoS/DDoS. Dès la détection de
l’attaque, des experts étaient prêts à intervenir immédiatement pour en
limiter les effets sur l’application ciblée. Les analystes du SOC ont ensuite
effectué leur enquête et déployé une protection permanente et efficace.
Plus tard, lorsque XYZ Corp a dû essuyer de nouvelles attaques WordPress,
aucune interruption de service n’a été à déplorer.
6
NEUTRALISATION DES ATTAQUES DOS/DDOS SUR LES
APPLICATIONS WEB
L’indisponibilité d’un service n’est pas seulement préjudiciable aux
interactions clients dans l’instant : elle porte également un préjudice grave
à la réputation de l’entreprise victime, quel que soit son secteur d’activité.
Étant donné que la physionomie et le modus operandi des attaques DoS/
DDoS varient, il n’existe pas de solution universelle pour les bloquer toutes.
En revanche, un dispositif actif de défense multiniveau peut contribuer à
prévenir ces attaques et à en limiter le pouvoir de nuisance.
Nos recommandations :
◆ Établir un diagnostic de risque de l’entreprise : identifiez les données
et applications critiques de l’entreprise, l’impact potentiel qu’auraient
sur elles divers schémas d’attaques. Si une attaque peut provoquer
une indisponibilité aux conséquences mesurables sur votre activité,
intégrez un dispositif anti-DoS/DDoS dans les plans de sécurité de
votre entreprise.
◆ Rédiger un plan formel d’intervention sur incident DoS/DDoS : veillez
à inclure des directives de préparation et de réponse aux attaques DoS/
DDoS dans votre plan d’intervention sur incident.
◆ Déployer une stratégie de défense anti-DoS/DDoS multiniveau :
faites le tour de tous les aspects de votre environnement et évaluez
les solutions locales, dans le Cloud et fournies par votre FAI. Toutes les
attaques DoS/DDoS ne se ressemblent pas : la lenteur et le faible débit
des attaques d’applications Web imposent un mode d’intervention bien
différent de celui déployé lors d’attaques par réflexion qui saturent la
couche réseau.
◆ Cerner les options proposées par votre FAI : établissez une liste
précise des coordonnées de tous vos FAI et prestataires pour les
joindre immédiatement en cas de besoin. Définissez avec votre FAI les
possibilités d’assistance à la détection/neutralisation des attaques DoS/
DDoS avant d’en avoir réellement besoin.
7
◆ Capitaliser sur les enseignements d’expériences passées : après une
attaque DoS/DDoS, réussie ou non, tirez les enseignements de l’incident
pour mieux appréhender les attaques ultérieures.
◆ Tester votre environnement : testez les systèmes exposés pour identifier
leurs limites, leurs faiblesses, et y remédier avant d’être attaqué.
◆ Souscrire à des services de monitoring ou de sécurité managée :
passez en revue les offres de diagnostics et de remédiation anti-DoS/
DDoS proposées par votre fournisseur de services de sécurité managée.
Approfondissez la question pour mieux cerner leurs possibilités et leur
complémentarité avec vos autres ressources disponibles.
Pour télécharger le rapport GTIR, rendez-vous sur www.nttcomsecurity.com/fr
8

attaque ddos sur des applications web

Transcription

Documents pareils

DDoS Protection - Orange Business Tour

ddos protection

«Attaques par déni de service» Information et prévention

défense gérée contre les attaques par déni de service distribué

Factsheet DDoS Protection Service

Protection DDoS — Architecture de référence

ALOHA PacketShield

Protection pour site web Sucuri d`HostPapa

Déni de service distribué (DDoS)

Solution anti-DDoS