cybercrime-hacking-and-techno-241244080

Comment se préparer à une attaque par déni de service distribué (DDoS)

Lorsqu’il est question d’attaques par déni de service distribué (DDoS), le vieil adage « mieux vaut prévenir que guérir » est tout à fait vrai. Comme nous l’avons abordé dans un billet de blogue précédent, la taille, l’ampleur et la fréquence des attaques par DDoS augmentent de plus en plus, alors mieux vaut être préparé.

Planifiez maintenant

Les attaques par DDoS sont plus fréquentes qu’elles ne l’ont jamais été. Selon un sondage mené en septembre, la fréquence des attaques par DDoS a augmenté de 40 % en 2018, et les organisations ayant été la cible d’une attaque avaient une chance sur cinq d’être touchées par une autre attaque dans les 24 heures suivant la première. En 2018, la taille des attaques par DDoS a augmenté de 500 %. Cela est dû en grande partie à la prolifération des appareils à faible sécurité liés à l’Internet des objets. Quels sont les coûts associés à une attaque par DDoS réussie pour une entreprise? 2,5 millions de dollars.

Ces statistiques qui donnent à réfléchir mettent en évidence la nécessité pour votre entreprise ou votre organisation de prévoir un plan d’atténuation complet des risques liés aux attaques par DDoS, si ce n’est pas déjà fait. Avec les attaques par DDoS, il n’est pas question de savoir si une attaque va se produire, mais de savoir quand elle va se produire.

Collaborer avec des partenaires

Il est important de mettre en place des mesures de protection sur place, comme des équilibreurs de charge et des pare-feu. Toutefois, l’ampleur et la complexité des attaques sont telles qu’il est nécessaire de collaborer avec des entreprises qui offrent des solutions de réduction des attaques par DDOS. Si vous possédez une connexion de 20 Gbit/s et que vous êtes ciblé par une attaque de 100 Gbit/s, votre réseau sera surchargé. Ce type d’attaque doit être prévenu en amont par le fournisseur de réseau.

Bon nombre de réseaux de diffusion de contenu (RDC) offrent des services de réduction des attaques par DDOS. Bien qu’ils soient mieux connus pour améliorer la disponibilité et la performance du contenu en ayant recours à un réseau de centres de données ou de serveurs mandataires ou à une combinaison des deux, les RDC peuvent fournir des défenses périmétriques et résorber les attaques par DDoS, comme les inondations de requêtes HTTP ou HTTPS.

Le déploiement rapide est un autre facteur important dont il faut tenir compte. Les attaques par DDoS peuvent désactiver un service quelques minutes. Pour mettre en œuvre des efforts d’atténuation le plus rapidement possible; il est donc essentiel de vous doter d’un plan et d’un partenaire de confiance.

Lors de la planification de la réduction des attaques par DDOS, il est judicieux de faire participer votre fournisseur de réseau, votre fournisseur de service infonuagique ou même une entreprise spécialisée dans la sécurité informatique.

Détection et surveillance

La première étape d’une bonne solution de réduction des attaques par DDOS est la détection. Peu importe les mesures que vous mettez en place, cette solution devra indiquer avec précision à quel moment vous êtes la cible d’une attaque par DDoS et déterminer les méthodes à utiliser pour la contrer. Elle devra aussi demeurer inactive lorsque vous n’êtes pas attaqué, car se défendre contre le trafic légitime peut être aussi dommageable que de ne pas se défendre contre le trafic malveillant.

Planifiez en fonction de plusieurs types d’attaques par DDoS

Dans notre dernier billet de blogue, nous avons parlé de trois principales méthodes d’attaques par DDoS et fourni des exemples pour chacune d’elles. Toutefois, il existe des dizaines de façons de lancer des attaques par DDoS, et votre plan devra en tenir compte.

Par exemple, une inondation de requêtes HTTP peut être contrée en repérant et en bloquant les adresses IP malicieuses. Si vous vous souvenez bien, nous avions comparé cette attaque à une avalanche d’appels sur la ligne téléphonique d’une pizzeria. Le restaurant aurait pu tenir une liste noire afin de réduire le nombre d’appels malicieux qu’il reçoit. Bien entendu, plus l’attaque prend de l’ampleur, moins cette option est soutenable. Une inondation de requêtes HTTP peut impliquer des dizaines de milliers d’adresses IP malicieuses, qui doivent toutes être repérées et bloquées.

Prenons maintenant le cas des attaques par amplification de DNS. Un exemple d’effort d’atténuation serait de construire un pare-feu qui reconnaît le modèle d’une attaque DNS entrante et qui laisse simplement tomber ce trafic. Vous pourriez également héberger votre architecture sur plusieurs serveurs. Ainsi, si l’un d’entre eux tombe en panne, les autres demeurent fonctionnels. Comme il était mentionné dans cet article précédent, il s’agit d’une attaque semblable à celle qui consiste à demander des quantités massives d’informations à des fournisseurs et ensuite d’amener ces fournisseurs à téléphoner à la pizzeria, surchargeant ainsi la capacité de la pizzeria. Si la pizzeria est ciblée par des attaques de ce genre, elle pourrait former les employés à ne pas répondre à certains types d’appels. Ou elle pourrait se doter de plusieurs lignes téléphoniques pour éviter que toutes les opérations cessent en raison d’une ligne qui est entièrement mobilisée.

Dans le cas des attaques par inondation de requêtes de synchronisation (SYN), les efforts d’atténuations consistent notamment à réduire la fréquence des demandes SYN-RECEIVED (c.-à-d., réduire le temps de la prise de contact), à utiliser des témoins SYN (c.-à-d., générer et inclure un numéro de séquence secret dans un paquet SYN-ACK qui vérifie la réception du ACK), ou à avoir recours à SYNPROXY (c.-à-d., ajouter des serveurs mandataires à chaque connexion tout en générant des témoins SYN). On peut comparer une inondation de requêtes de synchronisation à une pizzeria qui reçoit des commandes pour emporter : elle prépare la commande, mais elle ne complète jamais la transaction et elle se retrouve avec une tonne de pizza. Parmi les solutions possibles, la pizzeria pourrait demander un numéro de carte de crédit avant de préparer la commande.

Le point ici est que les attaques par DDoS peuvent être complexes et que les efforts pour atténuer leurs impacts peuvent l’être encore plus. Il est important de prévoir ce genre de situations complexes, et il est aussi important de pouvoir compter sur une équipe ou un fournisseur de solutions qui peut réagir aux nouvelles méthodes d’attaque au fur et à mesure qu’elles se produisent.

Attendez-vous à ce qu’on vous cible deux fois

Les chercheurs en sécurité disent qu’une cible sur cinq sera touchée par une autre attaque par DDoS dans les vingt-quatre heures suivant la première. Pourquoi? Il est logique de frapper alors que les dégâts de la première attaque sont encore à l’étude.

Méfiez-vous des attaques secondaires

Il arrive parfois que les attaques par DDoS ne soient qu’une distraction. En lançant une attaque par DDoS de faible niveau, les cybercriminels tentent de tenir occupé le personnel des TI d’une entreprise pour procéder à une autre activité encore plus néfaste, comme l’injection d’un programme malveillant.

Préparez-vous dès maintenant

Il est important de se doter d’un plan, de renforcer les défenses périmétriques et d’utiliser immédiatement des services d’atténuation des DDoS. De plus en plus puissantes et de plus en plus coûteuses, les attaques par DDoS sont un outil de choix pour les cybercriminels.

Pour en savoir plus sur les diverses façons de protéger votre entreprise contre les attaques par DDOS, cliquez ici.