Contrecarrer les attaques en déni de service distribué

La combinaison d’outils internes et cloud permet de contrecarrer les attaques en déni de service distribué et de limiter les indisponibilités provoquées par ces attaques de plus en plus complexes.

Les plans de remédiation des attaques en déni de service ne peuvent plus être ignorés. D’une fréquence et d’une complexité croissantes, ces attaques représentent désormais une menace significative pour un grand nombre d’organisations. Qui plus est, les attaques DDoS modernes combinent flux de trafic massifs, en force brute, et attaques visant la couche applicative afin de maximiser les dégâts et d’échapper à la détection.

Les attaques par DDoS qui s’appuient sur des milliers de systèmes ou de services Web compromis peuvent causer d’importants dégâts – ne serait-ce qu’en termes d’image et de perte d’activité – et cacher, de plus en plus, des attaques ciblées avancées. Heureusement, il existe de nombreux outils pour limiter l’impact de ces opérations.

Shield

Le point de départ de la remédiation des attaques DDoS est la définition de processus de réaction aux incidents qui identifient clairement les responsabilités de chacun, et les modes de coopération entre les groupes concernés. La préparation à la réponse aux DDoS appelle au regroupement des forces des équipes de sécurité avec la mobilisation des équipes opérationnelles réseaux, des administrateurs systèmes, et du support aux utilisateurs – sans oublier les conseillers juridiques et les responsables des relations publiques.

Une fois le plan de réponse aux attaques par DDoS en place, il est possible de se pencher sur les contrôles de remédiation, dans quatre domaines.

Et cela commence par se rapprocher de son fournisseur d’accès à Internet. La plupart d’entre eux disposent de services de remédiation, généralement accessibles moyennant un surcoût par rapport au tarif standard pour la bande passante. Les services des fournisseurs d’accès seront suffisamment efficaces pour les organisations de petite et moyenne taille, tout en respectant leurs contraintes budgétaires. Là, il convient de ne pas oublier que les fournisseurs de services Cloud et les hébergements entrent également dans la catégorie des fournisseurs d’accès.

Ceux qui disposent de plusieurs fournisseurs d’accès peuvent ensuite se tourner vers des prestataires tiers de remédiation des attaques DDoS. Une option parfois préférable, même si le coût peut être plus élevé. En modifiant les DNS ou les règles de routage BGP, il est possible d’envoyer le trafic malicieux vers le prestataire et, ainsi, filtrer ce trafic indépendamment des fournisseurs d’accès.

Il est également possible de déployer des appliances de remédiations des attaques DDoS, aux points de présence Internet de l’entreprise, afin de protéger ses serveurs et ses réseaux. Reste que des attaques en force brute sont susceptibles de saturer la bande passante : même si les serveurs ne tombent pas, les services sont susceptibles de rester inaccessibles.

Enfin, des équipements réseau, au sein de l’infrastructure de l’organisation – équilibreurs de charge, routeurs, commutateurs, pare-feu – peuvent aider. Mais attention : s’appuyer sur l’infrastructure opérationnelle de l’entreprise pour contenir une attaque en DDoS est une stratégie vouée à l’échec pour la plupart des attaques – à l’exception des plus maigres. Il n’en reste pas moins que ces composants peuvent jouer un rôle dans une approche coordonnée de remédiation.

La plupart des organisations auront besoin de combiner services externes et capacités de remédiation internes. Si des équipes internes compétentes sont disponibles pour détecter et analyser les menaces, il est possible de commencer par utiliser les capacités internes, avant de faire évoluer la stratégie de défense en incluant des services externes. Mais en l’absence de ressources internes appropriées, il est préférable de commencer par recourir aux services externes, avant d’ajouter, par la suite, des équipements managés au sein de l’infrastructure.

Quelle que soit l’architecture choisie en définitive, il est important de tester les contrôles de remédiation au moins deux fois par an. Avec un prestataire externe, cela implique de vérifier les changements de routage et d’enregistrements DNS pour s’assurer que le trafic va s’écouler vers le service tiers sans perturbation majeure – et de vérifier également que le retour à des paramètres normaux fonctionne. Les configurations réseau et les enregistrements DNS sont souvent modifiés même en temps normal. Il est important de suivre ces changements avant qu’une attaque par DDoS ne survienne.

Adapté de l’anglais.

John Pescatore est directeur de l’Institut SANS en charge des tendances émergentes.

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)