Déni de service distribué (DDoS)
Transcription
Déni de service distribué (DDoS)
Point de vue Déni de service distribué (DDoS) Quel est le coût d’une attaque DDoS pour votre organisation ? Les attaques par Déni de Service (DoS) existent déjà depuis des décennies sous diverses formes. Pourtant, aujourd’hui encore, elles n’en finissent pas de faire les gros titres. Les premiers grands cas d’attaques par Déni de Service Distribué (DDoS) remontent à février 2000. Les victimes d’alors étaient des puissances montantes du Web comme Amazon, Buy.com et eBay. À l’époque, ces attaques avaient engendré leur lot de mécontentements habituels autour des interruptions de service, sans parler du sérieux manque à gagner pour ces entreprises. Puis les choses ont repris leur cours normal. Après tout, il ne s’agissait que d’entreprises point.com. Aujourd’hui, près de 15 ans après, Internet constitue la clé de voûte de l’activité économique mondiale, au point de considérer sa disponibilité comme acquise. Or, si l’on en croit les entreprises interrogées pour le neuvième rapport annuel d’Arbor Networks sur la sécurité informatique dans le monde, les attaques DDoS arrivent en tête des préoccupations sécuritaires pour 2014. Reste à savoir pourquoi cette inquiétude soudaine. Peut-être est-ce lié à la recrudescence indéniable du nombre d’attaques sur les data centers et réseaux mobiles, ou encore à la fréquence des incidents – respectivement en hausse de 50 % et 100 % d’après le rapport. Toutefois, malgré cette prise de conscience collective et en dépit d’un impact bien réel sur les organisations du monde entier, les attaques DDoS n’attirent pas toute l’attention et les investissements qu’elles méritent. Selon notre rapport sur l’état des menaces dans le monde (GTIR)1, les attaques DDoS étaient à l’origine de 31 % des interventions sur incidents en 2013. Or, le coût d’une attaque DDoS ne se limite pas au manque à gagner et à l’indisponibilité des systèmes qui, dans certaines entreprises, représentent déjà des milliers de dollars par seconde. Il est également important de tenir compte de l’escalade des coûts de remédiation. D’après notre expérience, la plupart des entreprises ne réalisent pas l’impact potentiel d’une attaque DDoS. C’est pourquoi, nombre d’entre elles ne consacrent aucun poste budgétaire à la mise en place de contrôles proactifs, ou n’ont aucun plan d’intervention ou de réduction des effets d’un incident. Pourtant, en cas d’attaque DDoS, la chasse aux budgets, l’achat de solutions et les demandes d’implémentation de contrôles dans l’urgence viennent s’ajouter aux tentatives désespérées de cerner la menace et de restaurer les systèmes. Au final, le coût est presque toujours plus élevé et l’intervention moins efficace. Pour prendre de vitesse les attaques DDoS sur les terrains de la prévention et de l’intervention, les organisations doivent agir sur plusieurs fronts : 1. Prendre la mesure de l’évolution des attaques DDoS et leur impact pour les architectures et contrôles de sécurité de l’information en place 2. Cerner les options disponibles pour maximiser le potentiel de processus et technologies de sécurité offensifs 3. Implémenter un modèle d’intervention sur incidents adapté à votre entreprise Attaques DDoS : Comment se sont elles développées ? Quel impact sur les architectures existantes et les contrôles de sécurité de l’information ? Les attaques DoS ou DDoS sont généralement destinées à perturber, voire immobiliser totalement les services Web d’une entreprise. Résultat : vos clients, collaborateurs et partenaires ne parviennent plus à accéder aux applications Web critiques, toutes les transactions en ligne sont interrompues, et vous perdez toute visibilité sur vos effectifs et vos ressources. Ces attaques peuvent aussi bien servir des intentions criminelles que relever d’un simple acte de malveillance destiné à causer du tort à la cible. Autre phénomène 1. NTT Group Global Threat Intelligence Report, 2014. Pour en savoir plus et télécharger le rapport, rendez-vous sur www.nttcomsecurity.com/gtir www.nttcomsecurity.com/fr Copyright© NTT Com Security 2014 inquiétant, leur rayon d’action s’élargit. Initialement concentrées essentiellement sur les plateformes e-commerce, e-gaming et financières, les attaques DDoS ciblent désormais tous types d’organisations présentes sur la Toile. Aux motivations traditionnelles de telles attaques (hacktivisme, extorsion de fonds et cybercrime) viennent maintenant s’ajouter le risque de perte de compétitivité. Où iront vos clients si votre site est hors service et que celui d’un concurrent fonctionne parfaitement ? En effet, si votre secteur d’activité est en proie à des attaques DDoS, vous prendrez un avantage concurrentiel certain dès lors que vous parviendrez à les neutraliser et à maintenir votre activité. Par exemple, en 2012, plusieurs grandes banques US ont subi simultanément une attaque DDoS. Celles qui avaient investi dans une bonne protection sont non seulement parvenues à rester opérationnelles, mais ont aussi récupéré des clients d’autres banques touchées. De fait, face à des clients de plus en plus exigeants sur les questions de disponibilité, toute interruption de service pourra se traduire par la perte de clients. Qu’est-ce qu’un DDoS ? Généralement considéré comme une attaque volumétrique, le DDoS a pour objectif de provoquer la saturation de votre connexion WAN (Wide Area Network), votre pare-feu et/ou vos serveurs Web. Toutefois, un emploi plus sournois du DDoS a récemment fait son apparition. Désormais, des factions criminelles l’utilisent comme arme de diversion. Elles détournent ainsi l’attention et les ressources des équipes de sécurité afin de lancer des attaques APT (Advanced Persistent Threat) destinées au vol de données ou de propriété intellectuelle. Dans tous les cas, quelle que soit la motivation, l’interruption de service Web a un sérieux impact sur la confiance des investisseurs, des clients et des collaborateurs. Pour bien gérer une attaque DDoS, il faut d’abord pouvoir la détecter. Or, cela n’a rien d’évident pour un administrateur réseau ou système. Lorsque ce dernier reçoit l’alerte initiale indiquant un ralentissement du réseau, sa première réaction est de penser être en présence d’un problème technique ou d’une saturation du trafic. Les attaques DDoS allant généralement crescendo, elles ne sont souvent diagnostiquées qu’une fois que leur impact sur la disponibilité est devenu sérieux. Comment catégoriser ces attaques ? Attaques volumétriques Les attaques DDoS trouvent souvent leur origine dans des botnets ou des réseaux vulnérables. On les considère comme des « attaques volumétriques » car leur énorme consommation de bande passante et leur envergure planétaire saturent les routeurs, pare-feu, répartiteurs de charges et autres périphériques au point d’empêcher tout accès au réseau ciblé. fermer et prendre activement le contrôle des sessions applicatives pour les désinfecter. > TCP SYN Flood : Un pirate émet des requêtes de connexion vers le serveur cible. Ces requêtes contiennent des paquets composés d’adresses sources impossibles à contacter. Ainsi, la victime gaspille toutes ses ressources réseau à répondre à des requêtes qui ne mènent nulle part La protection anti-DDoS représente un investissement conséquent. C’est pourquoi il est important d’y consacrer le temps nécessaire pour faire les bons choix. À certains égards, cette protection nécessite un changement des mentalités en interne sur les questions de déploiement des services en ligne. Parce qu’il existe un certain nombre de pièges difficiles à éviter, l’intégration d’une solution anti-DDoS à toute infrastructure demande du temps. En outre, vos investissements seront vains si les processus choisis ne parviennent pas à libérer tout le potentiel de cette solution. > UDP Flood : Facile à générer, ce type d’attaque nécessite peu de moyens > ICMP Flood (ou ping flood) : Facile à générer, il nécessite peu de moyens. Si ces attaques s’avèrent moins courantes, c’est parce que les opérateurs réseau parviennent désormais à les bloquer, ou au moins les freiner > Attaque par réflexion : Ces attaques ont gagné du terrain car elles rendent difficiles l’identification de leur véritable source (elles ne requièrent pas de botnet) et peuvent facilement monter en puissance Attaques de la couche applicative Les attaques de la couche applicative parviennent à cibler un service spécifique sur l’hôte. Leur détection peut s’avérer difficile car elles apparaissent initialement comme des connexions légitimes bien qu’elles contiennent souvent de nombreuses requêtes « pourries ». Elles sont aussi particulièrement répandues du fait du grand nombre d’outils disponibles : > Attaque HTTP-GET : Ce type d’attaque a été spécialement conçu pour apparaître comme une requête légitime qui vise en fait à saturer les ressources des serveurs Web > Attaque HTTP-POST : Semblable aux attaques HTTP-GET, elle envoie une requête POST au serveur au lieu d’une requête GET > Attaque SSL : À l’heure où la plupart des services passent au cryptage SSL, ce type d’attaque se développe dans le monde entier La visibilité et le contrôle sur le trafic de la couche applicative constituent des éléments clés pour la création d’un système de défense anti-DDoS multiniveau. En effet, les solutions destinées à combattre les attaques volumétriques sur le réseau ne peuvent rien contre les attaques lancées sur les applications – elles n’ont ni les fonctionnalités d’analyse approfondie des protocoles applicatifs, ni la capacité de www.nttcomsecurity.com/fr Attaques DDoS : impact sur l’infrastructure et les contrôles en place Principale erreur à éviter : se concentrer sur les technologies de protection anti-DDoS plutôt que sur les ressources à protéger. Souvent, les dispositifs anti-DDoS pèchent dans la planification et l’exécution des méthodes visant à placer les services et applications derrière le bouclier anti-DDoS. Indépendamment de cela, une chose est sûre : l’activation de la protection anti-DDoS sur votre UTM (Unified Threat Manager) / pare-feu nouvelle génération ne vous protégera toujours pas contre la plupart des attaques. En effet, la neutralisation d’une attaque volumétrique nécessite bien plus de capacité que votre pare-feu ne peut en fournir. Il existe cependant des solutions que nous vous invitons maintenant à découvrir. Maximisez le potentiel des process et technologies de sécurité offensifs Il existe plusieurs moyens d’atténuer l’impact des attaques DDoS, à commencer par les périphériques en ligne sur site, les solutions Cloud de nettoyage ou à une judicieuse combinaison de ces deux technologies. D’après les études, le secteur privé représente la cible n° 1 des attaques volumétriques. Comme nous l’avons vu, ces attaques sont simples, rapides et économiques, et leur débit dépasse généralement le Gbit/s. C’est pourquoi les entreprises doivent choisir une solution qui leur permet d’atténuer les effets de gros volumes de trafic qui, en temps normal, satureraient la connexion de leur FAI. De notre point de vue, compte tenu de l’évolution des attaques DDoS dans le monde, une approche hybride fournit la solution la plus fiable et la plus économique. Vous aurez ainsi la garantie de pouvoir gérer n’importe quel incident, quelle que soit son étendue, le tout pour un coût budgété et prévisible. Copyright© NTT Com Security 2014 2 Fonctionnement d’un système hybride Cloud/sur site de protection de votre disponibilité Étude de cas : un client NTT Com Security optimise son investissement dans les solutions anti-DDoS Protection anti-DDoS Cloud à la demande Centre de nettoyage ISP Lorsqu’une entreprise d’envergure internationale s’est retrouvée en proie à un chantage d’attaque DDoS potentiellement dévastatrice sur l’un de ses services clés, elle s’est tournée vers NTT Com Security pour des conseils et une assistance d’urgence. Signalement au Cloud FAI 1 Data center Avantages de la solution anti-DDoS proposée FAI 2 FAI n Protection anti-DDoS permanente sur site Pare-feu IPS Load Balancer Applications et services cibles 1. Le système sur site protège contre les attaques de la couche applicative et signale au Cloud toute détection d’attaque volumétrique 2. La protection Cloud intervient en cas d’attaque volumétrique pour le nettoyage des données et la désinfection du trafic Implémentez un modèle d’intervention sur incidents adapté à votre entreprise Que se passe-t-il en cas d’attaque DDoS ? Pour répondre à cette question, les entreprises doivent concevoir une stratégie d’intervention sur incidents dans laquelle seront détaillés les protocoles de réaction et de gestion. Dans un monde idéal, le simple fait d’investir dans une solution anti-DDoS devrait vous protéger contre toute attaque. En pratique, une protection à 100 % reste un objectif souvent inaccessible. Sans compter que les pirates, motivés par divers facteurs économiques, politiques et commerciaux, trouvent sans cesse de nouveaux moyens de percer les lignes de défense. En revanche, une solution anti-DDoS efficace vous offrira des capacités de monitoring garantes d’une réaction rapide en cas d’attaque. En couplant cette solution à une gestion fiable et mature des incidents, vous pourrez neutraliser l’impact économique d’une attaque sur votre entreprise et éviter toute publicité négative. Pour bien se préparer à la gestion d’un incident de sécurité, une entreprise doit agir sur plusieurs leviers : > Accorder une meilleure place aux process et à l’aspect humain – un système mature d’intervention sur incidents n’implique pas nécessairement une hausse des dépenses technologiques >L’implémentation rapide d’une solution DDoS a permis de minimiser l’impact de l’attaque sur l’activité > Suite au refus du client de céder au chantage, les pirates ont tenté de mettre son site hors service. La solution est alors entrée en jeu pour permettre à l’entreprise de limiter les conséquences de l’attaque sur son activité > L’entreprise a désormais toutes les cartes en mains pour prévenir les attaques potentielles et gérer le risque de façon proactive > Adopter une approche axée sur les éléments à protéger – un bon système d’intervention sur incidents s’appuie d’abord sur une bonne évaluation des risques et une bonne connaissance de votre parc informatique > Étudier la possibilité d’exercices de simulation d’incidents grandeur nature, à des fins de sensibilisation et de définition des rôles et responsabilités au-delà des équipes technologiques > Établir un bilan de vos compétences internes, de vos besoins en cas de violation de sécurité et des possibilités de recours externes > Bien comprendre vos obligations réglementaires et définir leur place dans vos processus d’intervention sur incidents, notamment en matière de déclaration d’incident www.nttcomsecurity.com/fr Copyright© NTT Com Security 2014 3 Conclusion Les organisations d’aujourd’hui ne peuvent plus se permettre une interruption de service de plusieurs jours, le temps de concevoir et mettre en œuvre un plan de mitigation. La mise en place d’une solution anti-DDoS peut s’avérer complexe. Or, les organisations n’ont pas droit à l’erreur. C’est pourquoi elles nous font souvent intervenir en amont, pour identifier les risques d’attaques DDoS et définir une solution, des installations et une configuration adaptées. Les attaques DDoS n’ont rien de nouveau, mais elles se muent constamment pour prendre de nouvelles formes. Les entreprises doivent donc intégrer cette variable à leur stratégie de sécurité de l’information, leurs politiques, leurs niveaux de service et leur exposition au risque. Elles seront ainsi en mesure de faire évoluer leur solution pour assurer une prévention et une réponse adaptées. Pour un monde plus sûr Chez NTT Com Security, la gestion du risque et de la sécurité de l’information est notre cœur de métier. En optant pour WideAngle, nos clients font le choix de services technologiques, de consulting et de sécurité managée à la hauteur de leurs enjeux. Ainsi, ils sont libres de se concentrer sur leurs opportunités métiers, tandis que nous nous occupons de la gestion du risque. L’étendue de nos missions GRC (Gouvernance, Risque, Conformité), nos services innovants de sécurité managée et nos implémentations technologiques pragmatiques nous offrent une perspective unique que nous plaçons au service de nos clients. Ce faisant, nous les aidons à prioriser leurs projets et à mettre en place des standards fiables. Enfin, nous nous attachons à fournir des conseils justes et objectifs sur chacune de nos interventions. Mesure de la valeur de vos ressources informatiques : comment une réponse proportionnée à une attaque DDoS a permis à notre client d’atteindre le bon niveau de protection Après avoir sélectionné un fournisseur de solutions anti-DDoS, une entreprise multinationale se trouvait face à un problème : comment appliquer un niveau de protection adapté à chaque ressource et service ? Elle s’est alors tournée vers NTT Com Security afin de mieux comprendre et définir le processus par lequel les parties prenantes pouvaient définir et implémenter le bon niveau de protection pour chaque système. Avantages d’une protection anti-DDoS et d’une stratégie d’intervention sur incidents adaptées > NTT Com Security a aidé le client à concevoir un système d’intervention sur incidents totalement centré sur ses objectifs et impératifs métiers > La clarification et la communication autour des critères opt-in / opt-out ont aidé les responsables systèmes à bien cerner leurs rôles et responsabilités, ainsi que la façon de recourir au système anti-DDoS centralisé > Le client a amélioré le niveau de maturité de sa planification et de ses interventions sur incidents, tout en simplifiant le périmètre d’action de la solution DDoS. Il a ainsi mis en place un niveau de protection optimal Notre approche globale vise à éliminer les coûts et la complexité, dans un contexte où l’importance croissante de la gestion du risque et de la sécurité de l’information agit comme un levier de compétitivité dans les entreprises les plus performantes. Innovante et indépendante, NTT Com Security (anciennement Integralis) dispose de nombreuses implantations en Amérique, en Europe et en Asie-Pacifique. Elle fait partie intégrante du NTT Communications Group, propriété de NTT (Nippon Telegraph and Telephone Corporation), un des plus grands opérateurs de télécoms au monde. Pour en savoir plus sur NTT Com Security et les avantages de nos services WideAngle pour la gestion du risque et de la sécurité de l’information, contactez votre interlocuteur commercial ou rendez-vous sur http://www.nttcomsecurity.com/fr/ contact/ pour obtenir les coordonnées de notre bureau le plus proche. www.nttcomsecurity.com/fr Copyright© NTT Com Security 2014