CM – L’approche en 4 phases adoptée par les entreprises intelligentes pour atténuer les attaques DDoS

Accueil » Cybersécurité » Sécurité des applications » L’approche en 4 phases adoptée par les entreprises intelligentes pour atténuer les attaques DDoS

Les attaques par déni de service distribué (DDoS) ont été une caractéristique importante du paysage des cybermenaces au cours des deux dernières décennies. Le rapport sur le paysage DDoS d’Imperva 2021 révèle que les attaques d’aujourd’hui évoluent constamment en termes de complexité, de volume, de taille et de fréquence. La seule constante dans les attaques DDoS est la concentration continue des attaquants sur l’infrastructure critique des organisations cibles. Le nombre d’attaques DDoS par mois augmente – les attaques ont été multipliées par quatre et depuis 2020, le volume et les paquets d’attaques sont également en augmentation deux fois et trois fois, respectivement.

Avec plus d’organisations que jamais utilisant le protocole TCP (Transmission Control Protocol), il est clair que les attaquants comprennent que les sites avec des défenses insuffisantes ou inexistantes sont des cibles faciles. Les organisations qui n’utilisent pas de défenses permanentes sont assez vulnérables aux attaques plus courtes, car les attaquants ont la possibilité de créer un maximum de perturbations avant que l’atténuation ne puisse intervenir. Lorsque les attaquants adoptent cette approche de « rinçage et répétition », il est plus difficile pour les organisations d’atténuer et de gérer les attaques.

Dans cet article, nous expliquerons le processus d’atténuation des attaques DDoS et offrirons dix compétences que votre fournisseur de solutions doit offrir aujourd’hui pour gérer la taille et la complexité des attaques DDoS.

« Atténuation DDoS » fait référence au processus de protection réussie d’une cible contre une attaque par déni de service distribué (DDoS). Un processus d’atténuation typique peut être largement défini en quatre étapes :

Détection : identification précoce des anomalies de la circulation qui peuvent être le « canari dans la mine de charbon » signalant l’accumulation d’une attaque DDoS. Les organisations peuvent mesurer l’efficacité de leur détection en fonction de la cohérence et de la rapidité avec laquelle elles peuvent reconnaître une attaque. L’objectif ultime de cette étape est d’identifier une attaque instantanément. Détournement : lorsqu’une attaque est détectée, l’organisation redirige le trafic du site loin de la cible via le routage DNS (Domain Name System) ou BGP (Border Gateway Protocol). Ensuite, une décision est prise de filtrer le trafic ou de le supprimer complètement. Le routage DNS est toujours activé, il peut donc répondre rapidement aux attaques et est efficace contre les attaques de la couche application et de la couche réseau. Le routage BGP est soit toujours actif, soit à la demande. Filtrage : le trafic DDoS est éliminé, généralement en identifiant des modèles qui distinguent instantanément le trafic légitime (c’est-à-dire les humains, les appels d’API et les robots des moteurs de recherche) et les visiteurs malveillants. La réactivité est fonction de votre capacité à bloquer une attaque sans interférer avec l’expérience de vos utilisateurs. L’objectif est que votre solution soit totalement transparente pour les visiteurs du site. Analyse : les journaux système et les analyses peuvent aider les organisations à recueillir des informations sur l’attaque, à la fois pour identifier le ou les contrevenants et pour améliorer la résilience future. La journalisation est une approche héritée, qui peut fournir des informations mais pas en temps réel. La journalisation nécessite souvent une analyse manuelle détaillée. Les techniques avancées d’analyse de sécurité sont généralement automatisées et peuvent offrir une visibilité granulaire sur le trafic d’attaque et une compréhension instantanée des détails de l’attaque.

Maintenant que nous avons défini ce qu’il faut faire, quels facteurs devez-vous prendre en compte lors du choix d’un fournisseur d’atténuation pour le faire ?

Capacité du réseau : il s’agit d’un moyen fondamental de comparer un service d’atténuation DDoS. Il reflète l’évolutivité globale dont vous disposez lors d’une attaque. Par exemple, un réseau de 1 Tbit/s (térabits par seconde) peut théoriquement bloquer jusqu’au même volume de trafic d’attaque, moins la bande passante requise pour maintenir ses opérations régulières. Soyez prudent avec les appliances d’atténuation DDoS sur site car elles sont plafonnées par défaut, à la fois par la taille du tuyau réseau d’une organisation et la capacité matérielle interne.

Capacité de traitement : cette fonction est représentée par des taux de transfert, mesurés en Mpps (millions de paquets par seconde). Imperva a récemment déjoué une attaque enregistrée à 155 Mpps, et certaines attaques peuvent générer des taux de transfert pouvant atteindre 300 Mpps. Une attaque dépassant la puissance de traitement de votre fournisseur d’atténuation renversera ses défenses, c’est pourquoi vous devez vous renseigner au préalable sur une telle limitation.

Latence : à un moment donné, le trafic légitime vers votre site Web ou votre application passera par le réseau du fournisseur DDoS : si les services DDoS sont à la demande, le trafic bascule vers le fournisseur DDoS lorsqu’une attaque se produit. Si les services DDoS sont toujours activés (ce qui présente des avantages non négligeables), tout votre trafic passera par les serveurs du fournisseur. La connexion entre votre centre de données et votre fournisseur DDoS doit être très performante, sinon elle peut entraîner une latence élevée pour vos utilisateurs.

Temps d’atténuation : la plupart des assauts peuvent abattre une cible en quelques minutes et le processus de récupération peut prendre des heures. Les recherches d’Imperva montrent une tendance vers des attaques plus courtes et plus volumineuses. La détection préemptive à l’aide de solutions toujours actives offre ici un avantage. L’atténuation quasi-instantanée protège les organisations de la première salve lors de tout assaut. Recherchez une solution capable de répondre à une attaque en quelques secondes et assurez-vous de la tester lors d’un essai de service.

Atténuation au niveau du réseau – les attaques DDoS de la couche réseau sont volumétriques – elles reposent sur un trafic à très grande échelle qui peut causer des dommages plus importants à votre infrastructure. Les fournisseurs d’atténuation DDoS doivent séparer le trafic légitime du trafic malveillant et se débarrasser des paquets malveillants tout en permettant aux paquets légitimes d’atteindre leur destination.

Atténuation de la couche application : les attaques DDoS de la couche application (couche OSI 7) sont beaucoup plus furtives que leurs homologues de la couche réseau, imitant généralement le trafic utilisateur légitime pour échapper aux mesures de sécurité. Pour les arrêter, votre solution doit avoir la capacité de profiler le trafic HTTP/S entrant, en faisant la distinction entre les robots DDoS et les visiteurs légitimes.

Protection des actifs secondaires : dans un scénario d’attaque DDoS, l’infrastructure réseau comme les serveurs Web, les serveurs DNS, les serveurs de messagerie, les serveurs FTP et les plates-formes CRM ou ERP de back-office peuvent être ciblées par un auteur. Évaluez l’ensemble des risques de votre infrastructure réseau et hiérarchisez les composants à protéger. Votre service DNS est l’une des cibles d’attaque les plus courantes et votre point de défaillance unique, alors assurez-vous que votre solution peut le protéger.

Protection des adresses IP individuelles : historiquement, les services de protection DDoS basés sur le cloud ne pouvaient protéger que des plages d’adresses IP entières, et non des adresses IP individuelles. Aujourd’hui, les services DDoS avancés peuvent protéger des adresses IP individuelles, vous permettant d’enregistrer une adresse IP publique ou un nom de domaine, d’ajouter le service DDoS à votre configuration DNS et d’activer la protection immédiate de cette adresse IP spécifique.

Assistance—Même si votre service DDoS est entièrement automatisé, ce qui est préférable car il permet une réponse rapide à une attaque, assurez-vous que votre fournisseur propose des services d’assistance professionnels. Lorsqu’une attaque se produit, vous devrez peut-être parler à votre fournisseur pour comprendre ce qui se passe et résoudre les problèmes critiques affectant votre trafic légitime. Assurez-vous que votre service d’atténuation DDoS exploite un centre d’opérations de sécurité (SOC) avec des spécialistes de la sécurité disponibles sur appel 24x7x365 pour une assistance d’urgence.

Choisissez un spécialiste (les fournisseurs axés sur la sécurité proposent des solutions plus avancées) avec des experts dédiés à la recherche continue sur la sécurité et à la surveillance 24 heures sur 24 des nouveaux vecteurs d’attaque. Les généralistes, tels que les FAI et les hébergeurs, proposent des solutions d’atténuation de base en tant que « complément » à leurs services de base, dans le but de les vendre aux clients existants. Les services d’atténuation offerts par les généralistes peuvent être adéquats pour les petites attaques simples. Mais si vos applications en ligne sont essentielles aux opérations commerciales quotidiennes, un fournisseur de protection DDoS spécialisé est le choix le meilleur et le moins risqué pour votre organisation.

L’article L’approche en 4 phases adoptée par les entreprises intelligentes pour atténuer les attaques DDoS est apparue en premier sur Blog.

*** Ceci est un blog syndiqué Security Bloggers Network de Blog rédigé par Bruce Lynch. Lisez le message original sur : https://www.imperva.com/blog/the-4-phase-approach-smart-companies-take-to-mitigate-ddos-attacks/