Déni de service distribué (DDoS)

Point de vue
Déni de service distribué (DDoS)
Quel est le coût d’une attaque DDoS pour votre organisation ?
Les attaques par Déni de Service
(DoS) existent déjà depuis des
décennies sous diverses formes.
Pourtant, aujourd’hui encore,
elles n’en finissent pas de faire les
gros titres. Les premiers grands
cas d’attaques par Déni de Service
Distribué (DDoS) remontent à
février 2000. Les victimes d’alors
étaient des puissances montantes
du Web comme Amazon, Buy.com
et eBay. À l’époque, ces attaques
avaient engendré leur lot de
mécontentements habituels autour
des interruptions de service, sans
parler du sérieux manque à gagner
pour ces entreprises. Puis les
choses ont repris leur cours normal.
Après tout, il ne s’agissait que
d’entreprises point.com.
Aujourd’hui, près de 15 ans après,
Internet constitue la clé de voûte de
l’activité économique mondiale, au point
de considérer sa disponibilité comme
acquise. Or, si l’on en croit les entreprises
interrogées pour le neuvième rapport
annuel d’Arbor Networks sur la sécurité
informatique dans le monde, les attaques
DDoS arrivent en tête des préoccupations
sécuritaires pour 2014. Reste à savoir
pourquoi cette inquiétude soudaine.
Peut-être est-ce lié à la recrudescence
indéniable du nombre d’attaques sur les
data centers et réseaux mobiles, ou encore à
la fréquence des incidents – respectivement
en hausse de 50 % et 100 % d’après le
rapport. Toutefois, malgré cette prise de
conscience collective et en dépit d’un
impact bien réel sur les organisations du
monde entier, les attaques DDoS n’attirent
pas toute l’attention et les investissements
qu’elles méritent. Selon notre rapport sur
l’état des menaces dans le monde (GTIR)1,
les attaques DDoS étaient à l’origine de 31
% des interventions sur incidents en 2013.
Or, le coût d’une attaque DDoS ne se limite
pas au manque à gagner et à l’indisponibilité
des systèmes qui, dans certaines entreprises,
représentent déjà des milliers de dollars par
seconde. Il est également important de tenir
compte de l’escalade des coûts
de remédiation.
D’après notre expérience, la plupart des
entreprises ne réalisent pas l’impact
potentiel d’une attaque DDoS. C’est
pourquoi, nombre d’entre elles ne
consacrent aucun poste budgétaire à la
mise en place de contrôles proactifs, ou
n’ont aucun plan d’intervention ou de
réduction des effets d’un incident.
Pourtant, en cas d’attaque DDoS, la chasse
aux budgets, l’achat de solutions et les
demandes d’implémentation de contrôles
dans l’urgence viennent s’ajouter aux
tentatives désespérées de cerner la menace
et de restaurer les systèmes. Au final, le
coût est presque toujours plus élevé et
l’intervention moins efficace.
Pour prendre de vitesse les attaques
DDoS sur les terrains de la prévention
et de l’intervention, les organisations
doivent agir sur plusieurs fronts :
1. Prendre la mesure de l’évolution des
attaques DDoS et leur impact pour
les architectures et contrôles de
sécurité de l’information en place
2. Cerner les options disponibles pour
maximiser le potentiel de processus
et technologies de sécurité offensifs
3. Implémenter un modèle
d’intervention sur incidents adapté
à votre entreprise
Attaques DDoS : Comment se sont elles
développées ? Quel impact sur les
architectures existantes et les contrôles
de sécurité de l’information ?
Les attaques DoS ou DDoS sont
généralement destinées à perturber, voire
immobiliser totalement les services Web
d’une entreprise. Résultat : vos clients,
collaborateurs et partenaires ne parviennent
plus à accéder aux applications Web
critiques, toutes les transactions en ligne
sont interrompues, et vous perdez toute
visibilité sur vos effectifs et vos ressources.
Ces attaques peuvent aussi bien servir
des intentions criminelles que relever
d’un simple acte de malveillance destiné à
causer du tort à la cible. Autre phénomène
1. NTT Group Global Threat Intelligence Report, 2014. Pour en savoir plus et télécharger le rapport, rendez-vous sur www.nttcomsecurity.com/gtir
www.nttcomsecurity.com/fr
Copyright© NTT Com Security 2014
inquiétant, leur rayon d’action s’élargit.
Initialement concentrées essentiellement
sur les plateformes e-commerce, e-gaming
et financières, les attaques DDoS ciblent
désormais tous types d’organisations
présentes sur la Toile.
Aux motivations traditionnelles de telles
attaques (hacktivisme, extorsion de fonds et
cybercrime) viennent maintenant s’ajouter
le risque de perte de compétitivité. Où iront
vos clients si votre site est hors service et que
celui d’un concurrent fonctionne parfaitement
? En effet, si votre secteur d’activité est en
proie à des attaques DDoS, vous prendrez
un avantage concurrentiel certain dès lors
que vous parviendrez à les neutraliser et
à maintenir votre activité. Par exemple, en
2012, plusieurs grandes banques US ont subi
simultanément une attaque DDoS.
Celles qui avaient investi dans une bonne
protection sont non seulement parvenues
à rester opérationnelles, mais ont aussi
récupéré des clients d’autres banques
touchées. De fait, face à des clients de plus
en plus exigeants sur les questions de
disponibilité, toute interruption de service
pourra se traduire par la perte de clients.
Qu’est-ce qu’un DDoS ?
Généralement considéré comme une attaque
volumétrique, le DDoS a pour objectif de
provoquer la saturation de votre connexion
WAN (Wide Area Network), votre pare-feu
et/ou vos serveurs Web. Toutefois, un emploi
plus sournois du DDoS a récemment fait
son apparition. Désormais, des factions
criminelles l’utilisent comme arme de
diversion. Elles détournent ainsi l’attention
et les ressources des équipes de sécurité
afin de lancer des attaques APT (Advanced
Persistent Threat) destinées au vol de
données ou de propriété intellectuelle. Dans
tous les cas, quelle que soit la motivation,
l’interruption de service Web a un sérieux
impact sur la confiance des investisseurs, des
clients et des collaborateurs.
Pour bien gérer une attaque DDoS, il faut
d’abord pouvoir la détecter. Or, cela n’a rien
d’évident pour un administrateur réseau ou
système. Lorsque ce dernier reçoit l’alerte
initiale indiquant un ralentissement du
réseau, sa première réaction est de penser
être en présence d’un problème technique ou
d’une saturation du trafic. Les attaques DDoS
allant généralement crescendo, elles ne sont
souvent diagnostiquées qu’une fois que leur
impact sur la disponibilité est devenu sérieux.
Comment catégoriser ces attaques ?
Attaques volumétriques
Les attaques DDoS trouvent souvent leur
origine dans des botnets ou des réseaux
vulnérables. On les considère comme des
« attaques volumétriques » car leur énorme
consommation de bande passante et leur
envergure planétaire saturent les routeurs,
pare-feu, répartiteurs de charges et autres
périphériques au point d’empêcher tout
accès au réseau ciblé.
fermer et prendre activement le contrôle des
sessions applicatives pour les désinfecter.
> TCP SYN Flood : Un pirate émet des
requêtes de connexion vers le serveur
cible. Ces requêtes contiennent des
paquets composés d’adresses sources
impossibles à contacter. Ainsi, la victime
gaspille toutes ses ressources réseau à
répondre à des requêtes qui ne mènent
nulle part
La protection anti-DDoS représente un
investissement conséquent. C’est pourquoi
il est important d’y consacrer le temps
nécessaire pour faire les bons choix.
À certains égards, cette protection nécessite
un changement des mentalités en interne
sur les questions de déploiement des
services en ligne. Parce qu’il existe un
certain nombre de pièges difficiles à éviter,
l’intégration d’une solution anti-DDoS à
toute infrastructure demande du temps. En
outre, vos investissements seront vains si
les processus choisis ne parviennent pas à
libérer tout le potentiel de cette solution.
> UDP Flood : Facile à générer, ce type
d’attaque nécessite peu de moyens
> ICMP Flood (ou ping flood) : Facile à
générer, il nécessite peu de moyens. Si
ces attaques s’avèrent moins courantes,
c’est parce que les opérateurs réseau
parviennent désormais à les bloquer, ou
au moins les freiner
> Attaque par réflexion : Ces attaques
ont gagné du terrain car elles rendent
difficiles l’identification de leur véritable
source (elles ne requièrent pas de botnet)
et peuvent facilement monter
en puissance
Attaques de la couche applicative
Les attaques de la couche applicative
parviennent à cibler un service spécifique
sur l’hôte. Leur détection peut s’avérer
difficile car elles apparaissent initialement
comme des connexions légitimes bien
qu’elles contiennent souvent de nombreuses
requêtes « pourries ». Elles sont aussi
particulièrement répandues du fait du grand
nombre d’outils disponibles :
> Attaque HTTP-GET : Ce type d’attaque
a été spécialement conçu pour apparaître
comme une requête légitime qui vise
en fait à saturer les ressources des
serveurs Web
> Attaque HTTP-POST : Semblable aux
attaques HTTP-GET, elle envoie une
requête POST au serveur au lieu d’une
requête GET
> Attaque SSL : À l’heure où la plupart
des services passent au cryptage SSL,
ce type d’attaque se développe dans le
monde entier
La visibilité et le contrôle sur le trafic
de la couche applicative constituent des
éléments clés pour la création d’un système
de défense anti-DDoS multiniveau. En effet,
les solutions destinées à combattre les
attaques volumétriques sur le réseau ne
peuvent rien contre les attaques lancées
sur les applications – elles n’ont ni les
fonctionnalités d’analyse approfondie des
protocoles applicatifs, ni la capacité de
www.nttcomsecurity.com/fr
Attaques DDoS : impact sur
l’infrastructure et les contrôles en place
Principale erreur à éviter : se concentrer
sur les technologies de protection anti-DDoS
plutôt que sur les ressources à protéger.
Souvent, les dispositifs anti-DDoS pèchent
dans la planification et l’exécution des
méthodes visant à placer les services et
applications derrière le bouclier anti-DDoS.
Indépendamment de cela, une chose est
sûre : l’activation de la protection anti-DDoS
sur votre UTM (Unified Threat Manager) /
pare-feu nouvelle génération ne vous
protégera toujours pas contre la plupart des
attaques. En effet, la neutralisation d’une
attaque volumétrique nécessite bien plus
de capacité que votre pare-feu ne peut en
fournir. Il existe cependant des solutions que
nous vous invitons maintenant à découvrir.
Maximisez le potentiel des process et
technologies de sécurité offensifs
Il existe plusieurs moyens d’atténuer l’impact
des attaques DDoS, à commencer par les
périphériques en ligne sur site, les solutions
Cloud de nettoyage ou à une judicieuse
combinaison de ces deux technologies.
D’après les études, le secteur privé
représente la cible n° 1 des attaques
volumétriques. Comme nous l’avons
vu, ces attaques sont simples, rapides
et économiques, et leur débit dépasse
généralement le Gbit/s. C’est pourquoi les
entreprises doivent choisir une solution
qui leur permet d’atténuer les effets de
gros volumes de trafic qui, en temps
normal, satureraient la connexion de leur
FAI. De notre point de vue, compte tenu
de l’évolution des attaques DDoS dans le
monde, une approche hybride fournit la
solution la plus fiable et la plus économique.
Vous aurez ainsi la garantie de pouvoir
gérer n’importe quel incident, quelle que
soit son étendue, le tout pour un coût
budgété et prévisible.
Copyright© NTT Com Security 2014
2
Fonctionnement d’un système hybride Cloud/sur site de protection de votre disponibilité
Étude de cas : un client NTT
Com Security optimise son
investissement dans les solutions
anti-DDoS
Protection
anti-DDoS
Cloud à la demande
Centre de
nettoyage
ISP
Lorsqu’une entreprise d’envergure
internationale s’est retrouvée en
proie à un chantage d’attaque DDoS
potentiellement dévastatrice sur l’un de
ses services clés, elle s’est tournée vers
NTT Com Security pour des conseils et
une assistance d’urgence.
Signalement
au Cloud
FAI 1
Data center
Avantages de la solution anti-DDoS
proposée
FAI 2
FAI n
Protection
anti-DDoS
permanente sur site
Pare-feu
IPS
Load
Balancer
Applications et
services cibles
1. Le système sur site protège contre les attaques de la couche applicative et signale au Cloud
toute détection d’attaque volumétrique
2. La protection Cloud intervient en cas d’attaque volumétrique pour le nettoyage des données et
la désinfection du trafic
Implémentez un modèle d’intervention
sur incidents adapté à votre entreprise
Que se passe-t-il en cas d’attaque DDoS ?
Pour répondre à cette question, les
entreprises doivent concevoir une stratégie
d’intervention sur incidents dans laquelle
seront détaillés les protocoles de réaction
et de gestion.
Dans un monde idéal, le simple fait d’investir
dans une solution anti-DDoS devrait vous
protéger contre toute attaque. En pratique,
une protection à 100 % reste un objectif
souvent inaccessible. Sans compter que
les pirates, motivés par divers facteurs
économiques, politiques et commerciaux,
trouvent sans cesse de nouveaux moyens de
percer les lignes de défense. En revanche,
une solution anti-DDoS efficace vous offrira
des capacités de monitoring garantes d’une
réaction rapide en cas d’attaque. En couplant
cette solution à une gestion fiable et mature
des incidents, vous pourrez neutraliser
l’impact économique d’une attaque sur votre
entreprise et éviter toute publicité négative.
Pour bien se préparer à la gestion d’un
incident de sécurité, une entreprise doit
agir sur plusieurs leviers :
> Accorder une meilleure place aux process
et à l’aspect humain – un système mature
d’intervention sur incidents n’implique
pas nécessairement une hausse des
dépenses technologiques
>L’implémentation rapide d’une
solution DDoS a permis de minimiser
l’impact de l’attaque sur l’activité
> Suite au refus du client de céder
au chantage, les pirates ont tenté
de mettre son site hors service.
La solution est alors entrée en jeu
pour permettre à l’entreprise de
limiter les conséquences de l’attaque
sur son activité
> L’entreprise a désormais toutes les
cartes en mains pour prévenir les
attaques potentielles et gérer le
risque de façon proactive
> Adopter une approche axée sur les
éléments à protéger – un bon système
d’intervention sur incidents s’appuie
d’abord sur une bonne évaluation des
risques et une bonne connaissance de
votre parc informatique
> Étudier la possibilité d’exercices de
simulation d’incidents grandeur nature, à
des fins de sensibilisation et de définition
des rôles et responsabilités au-delà des
équipes technologiques
> Établir un bilan de vos compétences
internes, de vos besoins en cas de
violation de sécurité et des possibilités de
recours externes
> Bien comprendre vos obligations
réglementaires et définir leur place
dans vos processus d’intervention sur
incidents, notamment en matière de
déclaration d’incident
www.nttcomsecurity.com/fr
Copyright© NTT Com Security 2014
3
Conclusion
Les organisations d’aujourd’hui ne peuvent
plus se permettre une interruption de service
de plusieurs jours, le temps de concevoir
et mettre en œuvre un plan de mitigation.
La mise en place d’une solution anti-DDoS
peut s’avérer complexe. Or, les organisations
n’ont pas droit à l’erreur. C’est pourquoi elles
nous font souvent intervenir en amont, pour
identifier les risques d’attaques DDoS et
définir une solution, des installations et une
configuration adaptées. Les attaques DDoS
n’ont rien de nouveau, mais elles se muent
constamment pour prendre de nouvelles
formes. Les entreprises doivent donc intégrer
cette variable à leur stratégie de sécurité de
l’information, leurs politiques, leurs niveaux
de service et leur exposition au risque. Elles
seront ainsi en mesure de faire évoluer leur
solution pour assurer une prévention et une
réponse adaptées.
Pour un monde plus sûr
Chez NTT Com Security, la gestion du
risque et de la sécurité de l’information
est notre cœur de métier. En optant pour
WideAngle, nos clients font le choix de
services technologiques, de consulting et
de sécurité managée à la hauteur de leurs
enjeux. Ainsi, ils sont libres de se concentrer
sur leurs opportunités métiers, tandis que
nous nous occupons de la gestion du risque.
L’étendue de nos missions GRC
(Gouvernance, Risque, Conformité), nos
services innovants de sécurité managée
et nos implémentations technologiques
pragmatiques nous offrent une perspective
unique que nous plaçons au service de nos
clients. Ce faisant, nous les aidons à prioriser
leurs projets et à mettre en place des
standards fiables. Enfin, nous nous attachons
à fournir des conseils justes et objectifs sur
chacune de nos interventions.
Mesure de la valeur de vos ressources
informatiques : comment une réponse
proportionnée à une attaque DDoS a
permis à notre client d’atteindre le bon
niveau de protection
Après avoir sélectionné un fournisseur
de solutions anti-DDoS, une entreprise
multinationale se trouvait face à un
problème : comment appliquer un niveau
de protection adapté à chaque ressource et
service ? Elle s’est alors tournée vers NTT
Com Security afin de mieux comprendre
et définir le processus par lequel les
parties prenantes pouvaient définir et
implémenter le bon niveau de protection
pour chaque système.
Avantages d’une protection anti-DDoS
et d’une stratégie d’intervention sur
incidents adaptées
> NTT Com Security a aidé le client à
concevoir un système d’intervention
sur incidents totalement centré sur ses
objectifs et impératifs métiers
> La clarification et la communication
autour des critères opt-in / opt-out ont
aidé les responsables systèmes à bien
cerner leurs rôles et responsabilités,
ainsi que la façon de recourir au
système anti-DDoS centralisé
> Le client a amélioré le niveau de
maturité de sa planification et de ses
interventions sur incidents, tout en
simplifiant le périmètre d’action de la
solution DDoS. Il a ainsi mis en place
un niveau de protection optimal
Notre approche globale vise à éliminer les
coûts et la complexité, dans un contexte
où l’importance croissante de la gestion
du risque et de la sécurité de l’information
agit comme un levier de compétitivité
dans les entreprises les plus performantes.
Innovante et indépendante, NTT Com
Security (anciennement Integralis) dispose
de nombreuses implantations en Amérique,
en Europe et en Asie-Pacifique. Elle fait
partie intégrante du NTT Communications
Group, propriété de NTT (Nippon Telegraph
and Telephone Corporation), un des plus
grands opérateurs de télécoms au monde.
Pour en savoir plus sur NTT Com Security
et les avantages de nos services WideAngle
pour la gestion du risque et de la sécurité
de l’information, contactez votre
interlocuteur commercial ou rendez-vous
sur http://www.nttcomsecurity.com/fr/
contact/ pour obtenir les coordonnées
de notre bureau le plus proche.
www.nttcomsecurity.com/fr
Copyright© NTT Com Security 2014