Companies Under Threat Of DNS Attacks Must Measure Risk Appetite

Les entreprises sous la menace d'attaques DNS doivent estimer le « goût du risque »

Par Mark Stone

Les cyberattaques paralysantes contre Dyn l'année dernière ont poussé de nombreuses entreprises à reconnaître la vulnérabilité des systèmes de noms de domaine, ou DNS.

Des géants comme Twitter, Netflix et Amazon ont été temporairement inaccessibles, car elles dépendaient de Dyn en tant que service DNS pour connecter leurs clients à leurs sites Web.

Dyn a subi en octobre une attaque de déni de service distribué (DDoS) qui impliquait un réseau d'ordinateurs infectés, travaillant de concert pour bombarder un serveur avec du trafic, jusqu'à ce qu'il s'effondre sous la pression.

Le botnet Mirai utilisé dans l'attaque de Dyn a été remarquable pour sa mobilisation de terminaux connectés à Internet, tels que des appareils photo et des lecteurs de DVD digitaux, révélant ce qui peut se produire lorsqu'une faille dans l'Internet des objets est exploitée.

iStock
La mesure dans laquelle vous devez vous protéger d'une attaque de type DNS dépend de la nature de votre entreprise.

Comme d'autres formes d'attaques DDoS, les attaques DNS peuvent vous nuire et être coûteuses. Pour chaque minute d'interruption, des milliers de dollars de chiffre d'affaires peuvent être perdus.

Une récente enquête de Neustar, fournisseur mondial de services d'informations, a constaté que dans 63 % des cas d'attaques DDoS, les entreprises avaient perdu au moins 100 000 dollars par heure pendant les périodes d'utilisation de pointe.

Attaque de type « Water Torture »

Il existe de nombreuses variantes d'attaques DNS. L'une d'elles, l'attaque DNS de type « Water Torture », se distingue par sa discrétion.

Martin McKeay, Senior Security Advocate chez Akamai Technologies, explique qu'elle peut surcharger un serveur DNS avec une vague de requêtes aléatoires en série, créées par des systèmes dans un botnet.

Elle fonctionne en amenant par la ruse des serveurs DNS, utilisés par des fournisseurs de services Internet dans le monde, à lancer des attaques contre des serveurs DNS de référence utilisés par les entreprises. Lorsque ces serveurs DNS d'entreprise sont inondés de demandes, ils cessent de répondre et vos clients ne peuvent accéder à votre site Web.

« Les défenses traditionnelles ne protégeront pas contre ces attaques, » explique M. McKeay. « Si votre serveur DNS a trop de charge, alors les demandes réelles ne peuvent pas entrer, les ressources sont bloquées et votre entreprise se déconnecte. »

La plupart des gens ne connaissent pas ce type d'attaque, poursuit-il, mais ils doivent s'y préparer.

Mécanismes de défense du DNS

Bien que de nombreuses entreprises reposent sur un seul fournisseur de services externes pour le DNS, l'une des meilleures mesures de prévention selon M. McKeay est de déployer deux services externes ou plus. Les attaques sur Dyn ont démontré ce qui peut se produire lorsqu'il n'existe pas de sauvegarde.

La mesure dans laquelle vous devez vous protéger d'une attaque de type DNS dépend de la nature de votre entreprise. Si le site Web ou le service basé sur Internet de votre entreprise sont d'une importance vitale, des précautions supplémentaires s'imposent. « Dans quelle mesure cela est-il nécessaire ? » est une question à laquelle les sociétés doivent répondre pour elles-mêmes, selon M. McKeay.

« Votre entreprise doit déterminer son goût du risque, » poursuit-il. « Pouvez-vous survivre à 95 % des attaques ? Ou avez-vous besoin de vous protéger de tout ? »

Les interruptions causées par une attaque de type « Water Torture » peuvent coûter extrêmement cher. Pour certaines entreprises, le coût de 15 minutes d'indisponibilité peut justifier plusieurs années de protection.

L'étude de Neustar, qui a mené une enquête auprès de 849 entreprises couvrant les secteurs du commerce de détail, des finances et de la technologie, a révélé que 2,2 milliards de dollars ont été collectivement perdus en raison d'attaques DDoS au cours des 12 derniers mois, équivalant en moyenne à 2,5 millions de dollars pour chaque société.

Pour le chef de la sécurité ou le directeur des systèmes d'information d'aujourd'hui, il est essentiel de se concentrer sur la base principale de la sécurité, que les mesures défensives soient destinées à empêcher les attaques DNS de type « Water Torture » ou d'autres menaces.

« Ne vous souciez pas du prochain grand événement ou d'acheter quelque chose qui brille, » conseille M. McKeay. « Maintenez à jour, tenez-vous au courant de ce qui se passe et faites en sorte de rester informé. »

Mark Stone a travaillé dans la technologie de l'information pendant de nombreuses années avant de décider de faire carrière en écrivant sur ce sujet. Il vit au Canada.

Related CIO Content