Les professionnels de la sécurité s’inquiètent depuis longtemps de l’ampleur et de la fréquence croissantes des attaques DDoS. Alors qu’à tout moment, des milliers d’attaques ont lieu partout dans le monde, les grandes institutions doivent renforcer leurs défenses face à un événement quotidien pour beaucoup d’entre elles.
Tribune par Eric Michonnet, Directeur Régional Europe du Sud, Europe centrale et Afrique du Nord de NETSCOUT Arbor – Dans le rapport de NETSCOUT Arbor consacré au cyber-menaces, nos chercheurs ont observé que la fréquence des attaques avait baissé entre 2017 et 2018. Toutefois, le soulagement que pourrait susciter cette information au sein d’équipes de sécurité débordées ne serait que de courte durée au vu d’une autre tendance alarmante : l’ampleur des attaques explose, excédant souvent de beaucoup ce que nombre de fournisseurs de services considèrent comme une capacité de défense protectrice. Les attaques DDoS sont entrées dans l’ère du térabit.
Selon l’équipe ASERT (ATLAS Security Engineering and Response Team), la taille maximale des attaques DDoS a augmenté de 174 % au premier semestre 2018, par rapport à la même période de 2017. En fait, l’attaque de plus grande ampleur jamais observée, à 1,7 Tbit/s, a frappé un grand fournisseur de services nord-américain en février 2018. Heureusement, son architecture bien conçue et distribuée ainsi que son niveau de préparation à la lutte contre les attaques DDoS lui ont permis de neutraliser l’attaque avec succès, sans interruption de trafic. Néanmoins, cette attaque est révélatrice d’une nouvelle réalité : les défenses conçues pour contrer les attaques de l’ordre de 300 Gbit/s ne sont plus adaptées. Même une infrastructure disposant d’une capacité défensive d’un térabit est exposée.
La poussée des attaques Memcached
Ces volumes d’attaque hors normes sont caractéristique des attaques Memcached observées ces douze derniers mois. Les attaques Memcached exploitent les vulnérabilités de serveurs qui utilisent ce logiciel de gestion du cache afin d’accélérer l’accès aux données pour les sites Web. Memcached est un logiciel open source gratuit souvent déployé dans des infrastructures de services Cloud et des réseaux d’entreprise en vue d’accroître la rapidité d’accès aux données . Les auteurs de l’attaque de février avaient découvert une faille de conception de ce logiciel qui leur avait permis d’exploiter l’énorme bande passante du fournisseur de services qui l’utilisait pour concevoir et lancer une attaque d’une envergure sans précédent.
Au vu de la prolifération des logiciels open source souvent mis à disposition prématurément et gratuitement sans avoir été soumis à des tests de vulnérabilité, on peut présumer qu’une attaque de ce type ne sera pas la dernière. Les équipes de sécurité devraient s’attendre à en observer d’autres utilisant des failles de logiciel open source. Par ailleurs, les outils d’attaque devenant plus sophistiqués et de nouveaux vecteurs d’attaque faisant leur apparition, il devient plus facile et moins onéreux pour les pirates de lancer des attaques plus efficaces et de plus grande ampleur.
La solution hybride
La tendance aux attaques de plus grande ampleur plaide plus encore en faveur d’une politique de défense hybride ou à plusieurs niveaux combinant des fonctionnalités de neutralisation sur site et dans le Cloud. Les attaques quotidiennes restent relativement modestes et peuvent généralement être détectées et neutralisées avec une solution sur site (installée sur une couche de virtualisation ou sur un boitier dédié). Cependant, les pirates ayant franchi le seuil du térabit, il est essentiel de s’équiper d’un composant Cloud pourvu d’une capacité suffisante pour neutraliser les attaques de plus grande envergure en amont des sites des entreprises. L’avantage d’une approche hybride tient aux défenses basées dans le Cloud qui peuvent pour l’essentiel être mises en réserve (par opposition à un système actif en permanence) et activées instantanément lorsque le composant sur site détecte une attaque de grande ampleur.
Les solutions logicielles et matérielles contre les attaques DDoS sont d’autant plus efficaces qu’elles s’appuient sur une source mondiale de renseignements sur les attaques. Grâce à ces données et aux analyses d’une équipe de chercheurs spécialisés Arbor produit des contre-mesures ciblant les menaces connues et émergentes qui sont intégrées directement en temps réel aux produits de neutralisation.
Nous avons tiré une leçon importante des nombreuses années que nous avons consacrées à l’analyse du paysage des cyber-menaces : quand un nouveau type d’attaque DDoS est détecté, il ne disparaît jamais. Le génie du térabit est sorti de sa lampe et ne la réintégrera pas. L’entreprise doit y être préparée.
Les commentaires sont fermés.