Principales tendances en matière de sécurité réseau pour 2010-2011

Par Christophe Leblanc, Directeur Technique EMEA de Radware

Les menaces émergentes : les attaques non liées à une vulnérabilité
Le cybercrime utilise à présent un nouveau type d’attaque : les attaques non liées à une vulnérabilité. Ces attaques n’exploitent pas les vulnérabilités applicatives mais plutôt les transactions applicatives légitimes à des fins malveillantes. Ainsi, elles ne peuvent pas être détectées par les outils standards de sécurité réseau. Il s’agit, par exemple, des attaques de type brute force qui vont saturer le système d’authentification d’une entreprise et empêcher les utilisateurs légitimes de se connecter, mais également les attaques reposant sur des débordements de page HTTP, ayant pour origine des réseaux de bots et ciblant massivement les ressources de serveur d’applications, ou bien encore du piratage d’applications Web qui consiste à analyser un site Web pour trouver des pages vulnérables.

Les attaques DDoS menacent toujours les entreprises en ligne
Les cyberattaques de juillet 2009 contre les sites Web commerciaux et gouvernementaux des États-Unis et de la Corée du Sud nous rappellent que les attaques DDoS constituent une menace majeure pour les activités en ligne : les sites d’e-commerce, les infrastructures critiques et les administrations. Plusieurs autres cas ont été recensés ces trois dernières années, tels que les attaques DoS contre l’Estonie en 2007, et contre la Géorgie en 2008 et l’attaque liée à la protestation contre les élections en Iran en 2009. On devrait voir tout autant d’attaques DDoS survenir en 2010 et 2011 qu’on a pu le voir entre 2007 et 2009. Cependant l’on s’attend à une évolution très forte sur l’ampleur de ces attaques. Les attaques de juillet 2009 se sont terminées à un volume de quelques gigabits par seconde mais ce chiffre devrait largement dépasser les 10 gigabit par seconde en 2010-2011.

Les attaques affectant les entreprises : le phénomène du « faux utilisateur »
De nouvelles sortes d’attaques, telles que l’utilisation détournée d’applications, sont créées par des adresses IP bien réelles. Ce sont les utilisateurs qui ne le sont pas ! Ce phénomène vise les entreprises en ligne au travers différentes tactiques allant des attaques DoS avancées contre la couche applicative, de la surveillance concurrentielle, des « robotic gambling » (robots parieurs), des bots publicitaires, du vol d’informations, du spam, du Spit (Spam over Internet Telephony) à une utilisation malveillante générale des ressources en mémoire et processeurs des applications. Ces activités malveillantes ont un impact négatif immédiat sur le chiffre d’affaires des entreprises.  

Protéger l’entreprise : une sécurité complètement intégrée
Les outils de sécurité réseau reposent pour la plupart sur une technologie de détection de signature. Cependant, cette technologie est apparue il y a près de 20 ans et avait été conçue dans le but de détecter des attaques exploitant des vulnérabilités applicatives connues. Les pirates l’ont compris et déploient désormais des attaques non liées à une vulnérabilité, ainsi indétectables par la technologie de signatures statiques.

La seule réponse adaptée repose sur la technologie d’analyse comportementale qui établit un profil des utilisateurs légitime, des transactions applicatives et des caractéristiques de la bande passante réseau. Un moteur comportemental peut détecter en temps réel les activités de cybercriminels qui lancent des attaques via l’utilisation malveillante des ressources applicatives et réseau ou par l’exploitation de vulnérabilités applicatives récemment découvertes. Il créé ensuite automatiquement une signature en temps réel qui caractérise précisément le profil de l’attaque pour filtrer les activités malveillantes, sans impact sur le trafic utilisateur légitime ni sur la disponibilité des services sur Internet.

De plus, comme de nombreuses applications business reposent sur le web, il est également primordial de déployer un WAF (Web Application Firewall, pare-feu pour les applications Web). Le WAF vient complèter la détection de signature standard pour prévenir les attaques applicatives basées sur des failles connues et la technologie d’analyse comportementale (NBA, Network Behavior Analysis) qui prévient les attaques inconnues et non liées à des vulnérabilités. Le WAF établit une protection contre les attaques Web classiques comme la vulnérabilité d’applications Web, les scripts intersites (XSS) et l’injection de code SQL en détectant l’utilisation anormale des applications.
En outre, l’utilisation des outils mentionnés ci-dessus est impérative pour se conformer aux normes PCI DSS.