Defense By Design: How To Dampen DDoS Attacks With A Resilient Network

Défense dès la conception : Comment atténuer les attaques DDoS avec un réseau résilient

Par Scott Bowen

Les attaques de déni de service distribué (DDoS) ont toujours sur faire preuve d'innovation et de créativité diaboliques. Ces attaques continuent de changer de forme et de méthode, ce qui limite les tentatives visant à les empêcher.

Personne ne peut créer une protection efficace à 100 % contre les attaques DDoS. Cependant, les directeurs des systèmes d'information (CIO), les responsables des technologies de sécurité de l'information (CISO) et les spécialistes au sein des équipes ont bien des moyens efficaces de se préparer, de réagir et de se remettre d'attaques DDoS, en évaluant le risque au sein de l'entreprise et en créant un réseau résilient en adéquation : un réseau combinant une architecture et des procédures pour limiter la possibilité et les effets d'une défaillance systémique.

Defense By Design: How To Dampen DDoS Attacks With A Resilient Network
Même une brève panne ou un ralentissement peuvent nuire au chiffre d'affaires, au service à la clientèle et à la réputation.

Une attaque DDoS peut être définie par son objectif : ralentir ou arrêter l'activité commerciale en empêchant la réactivité digitale. Les attaquants utilisent plusieurs systèmes piratés pour cibler un seul système et l'inonder avec un trafic venant de toutes parts.

De telles attaques peuvent affecter des couches applicatives, empiler de fausses demandes de données ou surcharger un système avec des données indésirables. Elles peuvent aussi tromper une partie d'un système pour en surcharger une autre avec des demandes de données.

« Une attaque DDoS peut aussi agir comme un écran de fumée pour d'autres attaques se produisant simultanément, notamment des attaques d'applications Web volant des données sensibles, » explique John Summers, Enterprise Vice President et General Manager chez Akamai Technologies.

La prochaine attaque

L'énorme attaque du botnet Mirai d'octobre 2016 ne ressemblait en rien à ce que l'on avait pu voir auparavant : environ un demi-million de terminaux, notamment des magnétoscopes numériques et des webcams, transformés en une armée offensive de « bots ». Cela est exposé dans le rapport État des lieux d'Internet / Sécurité d'Akamai.

Une telle attaque géante n'arrivera pas tous les jours, selon Eugene Spafford, directeur exécutif émérite du Centre d'éducation et de recherche en assurance et en sécurité de l'information à l'Université Purdue. « Cependant, il y aura d'autres attaques de grande ampleur. Elles ne seront peut-être pas courantes ou régulières, mais elles se produiront, » affirme-t-il.

L'expansion de la « surface d'attaque » de l'Internet des objets (IoT) jouera un rôle central dans ces actions futures. « Comme il y a de plus en plus d'utilisateurs, de plus en plus de choses en ligne et que les pirates peuvent saboter un grand nombre d'entre elles et les transformer, notamment en botnet, les attaques DDoS ne feront que croître, » explique M. Spafford.

Il souligne que, à ce jour, les attaques DDoS les plus connues ont duré assez peu de temps, pour diverses raisons. Ainsi, toutes les attaques ne nécessitaient pas une résilience significative, mais ont pu être menées en faisant preuve de patience. « Je ne sais pas, avec le temps, dans quelle mesure cela continuera à être le cas, » poursuit-il.

Même une brève panne ou un ralentissement peuvent nuire au chiffre d'affaires, au service à la clientèle et à la réputation. De plus, une attaque dans une entreprise peut endommager l'ensemble du flux d'activités. Par exemple, une attaque DDoS visant un expéditeur signifie que des paquets s'empilent dans des ports. Les produits n'arrivent pas aux points de vente ou aux points de distribution. Les clients en aval cherchent ailleurs et les commerçants perdent de l'argent à cause d'un problème qui n'est pas directement le leur.

Évaluation des risques

La chercheuse en cybersécurité Wendy Nather, principale stratège en sécurité chez Duo Security, affirme que les entreprises n'ont pas toutes à se préparer à une attaque ayant la taille ou la sophistication d'une attaque géante de botnet. En fait, toutes les entreprises doivent évaluer leur risque particulier et « consulter les informations sur les menaces pour trouver qui pourrait être motivé à les attaquer et quels types d'attaques pourraient être utilisés, » explique-t-elle.

Un petit commerce, comme un magasin indépendant de vêtements, n'a pas besoin de se protéger de la même façon qu'une banque, selon Mme Nather, qui a dirigé précédemment un service régional de sécurité dans une grande banque en Europe.

Pour se préparer, un CISO devrait d'abord évaluer la taille et la nature du profil de risque d'une entreprise sur son marché principal, puis créer un plan pour contrer les types d'attaques DDoS les plus attendues.

Les risques sont souvent spécifiques aux secteurs et à leurs règlements, qui diffèrent selon le pays ou la région. M. Spafford souligne de nombreux exemples de l'impact de la réglementation sur la résilience des entreprises. Les centrales nucléaires doivent posséder la capacité informatique nécessaire pour résister à des changements non autorisés de code. Le secteur médical doit posséder des réseaux capables d'assurer la confidentialité des dossiers. Le secteur financier doit préserver et stocker ses données en toute sécurité, afin de pouvoir être correctement contrôlé.

Il n'y a pas d'approche systématique de la réglementation, selon M. Spafford. « Vous devez connaître le contexte de votre entreprise dans l'environnement réglementaire, » poursuit-il.

Architecture pour la résilience

L'architecture de réseau constitue la base de la résilience. Une entreprise souhaite éviter de fonctionner avec un réseau complètement plat, c'est-à-dire un réseau qui partage une bande passante dans toute son architecture, rendant chaque partie du système disponible. Attaquer une partie du système peut permettre l'accès à tout. « Une bonne pratique de sécurité implique de segmenter votre réseau, » selon M. Spafford.

Une entreprise devrait, en d'autres termes, être en mesure de cloisonner les différentes sections de son réseau afin d'empêcher la propagation de tout type d'attaque. La difficulté est de prendre cela en compte tandis qu'un réseau est élaboré ou développé, lorsque la création d'une connectivité entre différentes sections est souhaitée ou nécessaire, mais qu'elle représente un risque.

D'un point de vue architectural, un réseau résilient devrait également avoir une redondance dans un grand nombre de ses composants et la capacité de rediriger le trafic depuis un ensemble d'équipements vers un autre si nécessaire, selon Mme Nather.

Si un réseau dépend d'un trafic élevé entre différents niveaux d'application (par exemple, plusieurs sites Web complexes), il ne devrait pas y avoir qu'une base de données à l'arrière, précise-t-elle.

Mme Nather rappelle deux tactiques clés : Un réseau résilient devrait posséder plusieurs points de contrôle auxquels les administrateurs puissent se connecter et apporter des changements. De plus, il ne devrait pas compter sur un seul fournisseur de services Internet, mais disposer plutôt de plusieurs points d'accès potentiel par le biais de différents fournisseurs.

Préparation à l'attaque

L'élaboration d'un ensemble de procédures pour traiter une attaque ne permet pas de couvrir chaque variable possible, notamment à cause de la grande créativité dont les attaques DDoS font preuve. Cependant, disposer d'un protocole établi, documenté dans un « runbook », peut être très utile pour clarifier qui fait quoi en cas d'attaque.

En créant une procédure d'attaque, une entreprise doit désigner quelqu'un pour surveiller le trafic entrant, afin de rechercher les schémas potentiels d'attaque, et s'assurer que les membres du personnel ont la capacité de signaler leurs observations à la personne appropriée au sein de l'entreprise, selon Mme Nather.

En cas d'attaque réelle, « vous devez savoir comment inclure la haute direction, le personnel du service juridique et des relations publiques, ainsi que les entrepreneurs » explique Mme Nather. « Vous souhaiteriez peut-être impliquer les autorités policières. »

Selon M. Spafford, les exploitants d'un système devraient savoir à l'avance comment bloquer ou couper les connexions entrantes principales d'un système, puis suivre le processus de rétablissement des connexions de service requises.

En ce qui concerne les simulations d'attaque, « les entreprises qui réussissent s'y exercent régulièrement », affirme Mme Nather. Selon le scénario d'attaque, les représentants des unités commerciales et technologiques de la société devraient se réunir, lors d'une conférence téléphonique ou d'une réunion, pour déterminer le rôle et la réaction de chacun dans une attaque DDoS.

« Le fait de s'exercer est comme développer un muscle, » explique Mme Nather.

Résilience en action

Lorsqu'une attaque se produit et qu'une entreprise est suffisamment prête pour ne pas être prise totalement au dépourvu, la réaction primordiale est de répondre avec une plus grande bande passante et du matériel plus puissant, à tout moment. « Si j'ai plus de bande passante et de machines que l'attaque, je tiens la solution, » explique M. Spafford.

Cette infrastructure peut être dans le cloud. « Même les entreprises les plus importantes n'ont pas la capacité de repousser les plus grandes attaques, » avertit M. Summers. « La seule façon d'assurer une résilience est d'utiliser une couche dans le cloud pour une capacité à la demande et hautement évolutive. »

Une entreprise doit également être en mesure de modifier les adresses IP, les noms de domaine et le routage de sorte que, en fonction de la nature de l'attaque, le système ciblé puisse se déplacer vers différentes adresses et différents matériels, selon M. Spafford.

Par ailleurs, ne négligez pas la qualité du DNS (système de noms de domaine) que vous utilisez. Le DNS par défaut, proposé par votre fournisseur de services peut ne pas présenter la capacité nécessaire en cas d'attaque. Si possible, utilisez des fournisseurs DNS de secours afin de pouvoir changer de fournisseur, si le principal subit une attaque DDoS qui touche votre entreprise.

Parfois, une entreprise peut « suspendre » une attaque. Elle peut canaliser le trafic d'attaque de manière à ce que l'attaquant pense que le trafic se dirige vers la cible prévue, alors qu'il est en fait envoyé vers un espace contrôlé où il peut être analysé.

Ensuite, si vous avez des technologues dans l'équipe de votre entreprise ou que vous pouvez en contacter via un allié tiers, vous pourriez procéder à une analyse scientifique en temps réel pour trouver et tirer parti d'une faiblesse dans l'application de l'attaque elle-même, puis nuire à ses fonctionnalités ou les détruire, selon Mme Nather.

Analyse postérieure à l'action

Une fois qu'une attaque est repoussée, M. Spafford recommande une analyse postérieure à l'action, qui pose les questions suivantes :

  • A-t-on détecté l'attaque assez tôt ?
  • Avons-nous pris les mesures appropriées pour maintenir les services que notre entreprise juge essentiels ?
  • Notre réponse a-t-elle fonctionné ?
  • Y a-t-il des aspects de l'attaque que nous n'avons pas traités ?
  • Y a-t-il des types d'effets secondaires que nous n'avons pas traités ?

Partagez les informations de l'analyse postérieure à l'action avec les partenaires et alliés qui devraient les voir, comme votre service de protection DDoS ou un service de conseil en sécurité. En outre, si un allié « vous a fourni des informations avant ou pendant l'attaque, les avez-vous utilisées de façon adéquate ? » demande M. Spafford.

Avantages de la résilience

La résilience influe sur les résultats de l'entreprise, selon M. Summers. « Résister efficacement à une attaque DDoS signifie moins d'indisponibilité, ce qui se traduit par un service client et des opérations commerciales ininterrompus, ainsi que moins de risques de perte de chiffre d'affaires, » poursuit-il.

La résilience vous permet de tenir votre promesse d'une expérience client de qualité. Vos clients peuvent trouver ce qu'ils veulent rapidement, l'acheter et vaquer à leurs occupations. À une époque où les clients nés dans l'ère digitale s'attendent à des performances optimales d'e-commerce, même un ralentissement mineur peut nuire aux affaires.

Enfin, un réseau ayant prouvé sa résilience peut empêcher le nom de votre entreprise d'apparaître sur la liste des dernières victimes de DDoS. « Si votre réputation dépend de votre capacité à maintenir les opérations et les communications, alors vous avez besoin d'un réseau pouvant vaincre ou neutraliser les effets d'une attaque, » explique M. Spafford.

Scott Bowen est un écrivain et rédacteur indépendant qui a écrit pour True/Slant.com, ForbesTraveler.com et Fortune Small Business. Sa fiction a été retranscrite sous la forme d'une anthologie dans « Tight Lines: Ten Years of the Yale Anglers' Journal ».

Related CIO Content