Stratégies d’atténuation DDoS nécessaires pour maintenir la disponibilité pendant la pandémie

Perception des risques et des coûts

Comparant DDoS aux attaques de couches d’applications Web, richard Meeus, directeur de la technologie et de la stratégie de sécurité chez Akamai, explique à Computer Weekly que leur fréquence est « un ordre de grandeur inférieur ».

« [Web application layer attacks] sont en cours chaque jour – il y a des millions et des millions », dit-il, ajoutant qu’Akamai a enregistré une multiplication par trois de ce genre d’attaques au cours des neuf mois qui ont suivi le 1er janvier 2020.

« ù nous verrions des millions de WAF [web application firewall] attaques, nous verrions des dizaines ou des centaines d’attaques DDoS … ainsi une organisation peut bien aller longtemps et ne jamais voir une attaque DDoS.

Meeus ajoute qu’en raison de la prévalence des attaques de couches d’applications web, il est plus facile pour les organisations de voir l’avantage d’investir dans des mesures d’atténuation, alors qu’il est perçu comme plus facile pour les organisations d’accepter les risques avec les attaques DDoS.

« C’est cet équilibre des risques que vous devez faire, et la perception n’est pas nécessairement qu’il n’y a rien que nous puissions faire à ce sujet, mais « est-ce que ça va être moi? », dit-il.

Corroborant ce sentiment, le CTO de Cloudflare, John Graham-Cumming, ajoute que les organisations peuvent s’abstenir d’adopter des mesures d’atténuation DDoS en ce sens que cela ne leur arrivera pas nécessairement.

« eaucoup d’attaques de type DDoS très médiatisées ont souvent eu un angle militant ou politique pour eux, et il est donc assez facile pour les organisations de dire: « e ne suis pas impliqué dans quelque chose qui va bouleverser Anonymous, je ne fais pas quelque chose de politique, il est donc peu probable qu’il m’arrive », dit-il. « a triste réalité est beaucoup de ce qui se passe avec les attaques DDoS est en fait juste économique. »

Ces motivations économiques se reflètent dans la prévalence croissante des attaques DDoS basées sur des rançons en 2020, par lesquelles les auteurs demandent de l’argent pour ne pas lancer l’attaque en premier lieu ou pour arrêter une attaque déjà en cours.

« Les gens qui le font sont très bien organisés, de sorte que les entreprises doivent considérer le DDoS comme l’un des risques de l’entreprise, surtout lorsque nous sommes allés dans cet environnement où les gens travaillent à partir de connexions internet et de la façon dont nous les utilisons sont si importants pour gérer l’entreprise », explique Graham-Cumming.

Il ajoute que si l’atténuation du DDoS a toujours été très coûteuse, la prévalence croissante de l’informatique en nuage a fait baisser le coût pour le rendre beaucoup plus abordable.

« Le modèle précédent d’atténuation DDoS était très axé sur le matériel super-spécialisé dans un nombre limité d’endroits, de sorte qu’il était très coûteux de mettre en place – le cloud a rendu cela beaucoup plus abordable », dit-il.

Stratégies d’atténuation

Selon Graham-Cumming, les entreprises devraient commencer le processus de mise en œuvre des mesures d’atténuation en effectuant une diligence raisonnable approfondie de l’ensemble de leur domaine numérique et de l’infrastructure qui y est associée, parce que c’est ce que font les attaquants.

« a réalité est, en particulier pour les gens ransomware, ces gens sont de comprendre ce que dans votre organisation vaut la peine d’attaquer, dit-il.

« Ce n’est peut-être pas la porte d’entrée, ce n’est peut-être pas le site Web de l’entreprise, car cela pourrait ne pas en valoir la peine – il pourrait s’agir d’un lien essentiel vers un centre de données où vous avez une application critique en cours d’exécution, alors nous voyons des gens faire de la reconnaissance pour comprendre ce qu’est la meilleure chose à attack est.

« aites une enquête sur ce que vous avez exposé à l’Internet, et qui vous donnera une idée de l’endroit où les attaquants pourraient aller. Ensuite, regardez ce qui doit vraiment être exposé à l’Internet et, si c’est le cas, il ya des services là-bas qui peuvent aider.

Cela est confirmé par Goulding chez Nominet, qui affirme que même si la plupart des entreprises raisonnablement matures auront déjà envisagé l’atténuation du DDoS, celles qui n’ont pas pu commencer par identifier les actifs dont elles ont besoin pour maintenir leur disponibilité et l’endroit où elles sont situées.

Une fois que les entreprises ont identifié leurs points faibles, Gould ajoute qu’elles devraient ensuite régulièrement mettre en pratique leurs réponses aux incidents afin qu’elles comprennent comment cela affecterait l’organisation et ses actifs.

Ces séances de pratique peuvent aider les organisations à se remettre d’une attaque réelle et s’assurer que le déni de service n’est pas utilisé comme écran de fumée pour d’autres cyberattaques.

« e qui se passe après une attaque DDoS, c’est que les gens essaient de ramener leurs services à nouveau. Les routeurs et les pare-feu, par exemple, prennent tous des longueurs de temps différentes pour démarrer et, à moins que vous ne suiviez dans l’ordre prescrit, vous pouvez vous retrouver avec un trou pendant quelques minutes », explique Meeus. « C’est souvent là que les chevaux de Troie sont mis dans le réseau pour essayer de l’exploiter. »

Choisir les fournisseurs et le rôle du cloud

Compte de cette compréhension de leurs actifs et de la façon de les remettre en ligne, les entreprises devraient faire des recherches et approcher des fournisseurs potentiels pour déterminer ce qui conviendrait le mieux à leurs besoins.

Ce processus, selon Graham-Cumming, devrait commencer par les organisations de fournisseurs préexistants pour voir ce qui est déjà en place ou payé, avant de passer à des entreprises plus spécialisées si nécessaire.

« Une autre chose que je recherche si vous allez chercher un fournisseur, c’est la rapidité avec laquelle ils atténuent réellement une attaque », dit Graham-Cumming.

« Ne vous attendez pas à ce que vous ayez besoin de vous faire. Je chercherais quelqu’un qui peut arrêter ça en quelques secondes.

Il existe deux types de fournisseurs pour l’atténuation DDoS – ceux qui font « oujours sur l’atténuation DDoS, par lequel tout le trafic passe par leur réseau tout le temps pour détecter les problèmes, et ceux qui ne « ur demand », par lequel une entreprise attaquée doit les contacter pour obtenir l’atténuation a commencé.

« La demande était très courante, mais « toujours allumé » est devenu plus courant parce que c’est beaucoup plus facile pour l’utilisateur final car il n’a rien à faire. L’atténuation se produit immédiatement, ce qui réduit les temps d’arrêt », dit-il.

Pour Meeus, l’atténuation efficace du DDoS commence dans le cloud, ce qui peut se faire soit via un réseau de diffusion de contenu (CDN), soit par la mise en place d’un centre de nettoyage du trafic.

« e CDN est efficace quand il est juste la protection d’un site Web, donc pour beaucoup de nouvelles organisations qui comptent sur l’hébergement en nuage, ou n’ont qu’une seule adresse IP parce qu’ils sont comme un site de commerce électronique et tout fonctionne à travers eux, puis CDN est une excellente plate-forme parce qu’il ya beaucoup de couches de sécurité que nous pouvons mettre en cela pour faire le DDoS atténué , dit-il.

Toutefois, pour les entreprises anciennes, y compris les entreprises qui ont beaucoup de centres de données disparates ou une configuration hybride avec des services et l’hébergement dans différents endroits, puis les centres de nettoyage sont la meilleure option.

Ces centres peuvent protéger l’espace IP total d’une entreprise et travailler en examinant tout le trafic pour déterminer ce qui est « propre » et peut être laissé passer.

« Il s’agit de s’asseoir devant le client dans le nuage, au bord d’Internet, et de se débarrasser de toutes les mauvaises choses avant qu’elles ne pénètrent dans l’espace du client », explique M. Meeus.

« i le tuyau de la connexion que vous avez à l’Internet est d’un gigabit par seconde [Gbps], une attaque DDoS de 1,1 Gbps va vous mettre hors ligne – c’est aussi simple que cela. De façon réaliste, vous devez déplacer la protection DDoS loin de vous et la déplacer sur le bord. »

Gould ajoute qu’il est important de mettre en place l’entreprise pour être en mesure d’enregistrer le trafic réseau, de sorte que lorsqu’une attaque DDoS se produit, l’information peut être donnée à la police et utilisée pour analyser l’événement médico-légale pour comprendre comment il s’est produit et mettre en place d’autres mesures d’atténuation.