Les attaques par déni de service distribuées (DDos) sont fatales pour beaucoup de services internet d’Entreprises. Le traitement de ces attaques repose pour partie sur des services managés fournis par les opérateurs de services internet (FAI). Ils permettent en effet de traiter efficacement les attaques DDOS volumétriques qui visent à saturer le lien entre l’opérateur et son client dans le but de rendre le site client inaccessible.
Par Eric Michonnet, directeur Arbor Networks pour l’Europe du Sud
Mais la taille des attaques volumétriques augmente constamment. Des activités en ligne de Microsoft, d’eBay ou encore de Yahoo! ont déjà été interrompues par des attaques de ce type de grande ampleur. Et que dire des récentes attaques des Anonymous suite à la fermeture du site Megaupload ! Aujourd’hui, certaines attaques DDoS soutenues dépassent les 100 Gbit/s. Pour donner un ordre de grandeur, c’est dix fois ce qu’achemine une artère d’un réseau Internet classique. Pour contrer des attaques DDoS de fort volume, lorsque l’opérateur utilise une technologie adaptée la continuité de service est assurée : au niveau du réseau du fournisseur d’accès internet, le trafic infecté par l’attaque volumétrique est dérouté vers une unité de traitement et seul le trafic sain est acheminé vers le site client destinataire. Si la défense contre de telles attaques se trouvait localisée uniquement au niveau des sites clients, le risque pour les clients sensibles de se trouver coupés de l’internet serait très fort !
Les entreprises ainsi protégées peuvent se concentrer sur les autres aspects de sécurité comme l’intégrité, la confidentialité et la conformité des données.
En 2011, la nature des attaques DDoS s’est spectaculairement transformée. Les attaques volumétriques sont toujours utilisées mais des attaques de moindre ampleur et plus difficiles à détecter qui visent les applications leur sont maintenant combinées ou sont lancées de manière isolée. La montée en puissance du piratage grâce à la mise à disposition d’outils DDoS peu onéreux et la disponibilité de serveurs hébergés à bas prix bénéficiant d’une bande passante conséquente expose les entreprises à ces attaques dans des proportions jamais atteintes jusqu’ici. Les RSSI découvrent à leurs dépens que l’infrastructure de sécurité existante n’est pas en mesure de protéger les ressources dont ils ont la responsabilité des attaques DDoS qui visent la couche applicative, une situation qui a entraîné la paralysie très médiatisée de quelques-unes des sociétés du classement Fortune 500 et de sérieuses perturbations, bien moins médiatisées, au sein d’entreprises européennes. Prenant conscience de la vulnérabilité des entreprises, les pirates informatiques ont multiplié les attaques sophistiquées combinant plusieurs types d’attaques applicatives avec des attaques volumétriques.
L’intégrité, la confidentialité et la conformité des données sont des aspects critiques d’une stratégie de sécurité d’entreprise ‘multi-niveaux’, mais tout commence par la préservation de la disponibilité de l’information à protéger. Si les ressources d’un centre de données ne sont pas disponibles pour les utilisateurs parce que ce centre de données est coupé de l’internet par une attaque DDOS, les autres couches de sécurité n’ont plus aucune utilité. Bref, les entreprises doivent veiller en priorité à préserver la disponibilité de leurs services WEB.
Les systèmes de prévention des intrusions et les pare-feu ne suffisent pas.
Composants essentiels d’une stratégie de défense multicouche, les systèmes de prévention des intrusions et les pare-feu sont principalement conçus pour résoudre des problèmes de sécurité radicalement différents de ceux pris en charge par les produits dédiés à la détection et à la neutralisation des attaques DDoS. Ils sont efficaces pour préserver l’intégrité et la confidentialité du réseau mais n’ont aucun effet sur la préservation de la disponibilité du réseau qui est une des cibles privilégiées des attaques DDoS. Points de passage obligés du trafic de données, ces systèmes ont un gros point faible : ils conservent des informations d’état sur chaque session établie entre un client sur Internet et le serveur correspondant du centre de données, ce qui veut dire qu’ils sont eux-mêmes vulnérables aux attaques DDoS visant à saturer leurs tables d’états. Ils deviennent une cible de choix pour des types adaptés d’attaques DDOS.
La conséquence d’une attaque par déni de service : l’indisponibilité de services web critiques, peut faire perdre des millions de dollars aux entreprises et aux opérateurs de centres de données, et menace potentiellement la précieuse relation avec les clients et les partenaires. Les équipements de sécurité ‘historiques’ sont donc vulnérables et il faut les protéger. Grâce à de nouvelles technologies, les opérateurs peuvent proposer une solution dédiée pour l’entreprise qui prend en charge la majeure partie des attaques DDoS volumétriques mais surtout qui traite immédiatement les attaques DDoS applicatives dès leur apparition.
L’implication des intégrateurs et des VARS
Parmi les acteurs qui contribuent à aider les entreprises à résoudre ces problèmes, les intégrateurs ainsi que les VARs ont un rôle important à jouer. Assurer la disponibilité des infrastructures et des applications en cas d’attaque par déni de service nécessite une solution spécifique dont l’intégration aux infrastructures des entreprises doit être maîtrisée.
Pour fournir une protection suffisante contre les attaques DDoS visant la couche applicative, il est important de déployer une solution dédiée qui garantit une protection complète capable de s’adapter aux nouvelles attaques ainsi qu’aux attaques évolutives ou utilisant plusieurs types d’attaques combinés. Une telle protection assure la disponibilité permanente des services, offre de surcroit une excellente visibilité de toute l’infrastructure réseau en même temps qu’elle détecte les menaces émergentes en analysant les événements survenant au-delà de la périphérie du réseau.
L’étude et la mise en place de ces protections nécessitent un savoir-faire que certains intégrateurs maîtrisent. Ils sont alors à même de conseiller les entreprises sur le choix des solutions qui leur sont le mieux adaptées et dans certains cas gérer l’activation et la conduite d’actions à mener en cas d’attaques par DDoS de leur client.
Les intégrateurs qui souhaitent opérer sur ce marché devront également être capables de démontrer qu’ils possèdent les aptitudes et les capacités requises pour protéger leurs clients des menaces nouvelles ou en mutation, qu’ils peuvent garantir la disponibilité des services aux clients, qu’ils ont une excellente visibilité de l’ensemble du réseau du client, et qu’ils pourront donc identifier et bloquer rapidement les attaques.
