Protection sur site, dans le cloud ou hybride? Les différentes approches de protection contre les attaques DDoS

Transcription

1 sur site, dans le cloud ou hybride? Les différentes approches de protection contre les attaques DDoS Livre blanc PARTAGER CE LIVRE BLANC

2 Sommaire Vue d ensemble... 3 Contexte actuel des attaques : la généralisation des attaques DDoS... 3 Les campagnes d attaques multivectorielles : l outil des attaquants... 3 L impuissance des solutions de sécurité réseau traditionnelles face aux attaques DDoS... 4 Les différentes solutions contre les attaques DDoS... 5 sur site... 5 dans le cloud... 6 hybride... 6 Récapitulatif... 7 Smart Network. Smart Business. 2

3 Vue d ensemble Ce document s adresse aux organisations qui ont besoin de garantir la disponibilité des services en ligne et qui souhaitent privilégier une solution dédiée pour se protéger contre les attaques par déni de service distribué (ou «DDos», Distributed Denial of Service). Il fait le point sur le contexte actuel des attaques DDoS et explique pourquoi les solutions de sécurité réseau traditionnelles, telles que les pare-feu, les systèmes IPS et les dispositifs WAF, ne peuvent pas arrêter les attaques DDoS. Les trois principales approches de déploiement de solutions dédiées contre les attaques DDoS y sont ensuite examinées et comparées. Contexte actuel des attaques : la généralisation des attaques DDoS Les trois dernières années ont été les plus actives et les plus dévastatrices de l histoire des cybermenaces. Plus sophistiquées et plus persistantes, les attaques DDoS ont eu des effets dévastateurs. En septembre 2012, certaines des plus grandes institutions financières des États-Unis, comme le New York Stock Exchange, Bank of America et la Chase Bank, ont été la cible d attaques DDoS de grande ampleur qui ont eu pour effet de perturber les transactions des clients pendant plusieurs heures. D autres attaques Anonymous ont paralysé les sites de la CIA, d Interpol, du Vatican, de la Réserve fédérale et bien d autres. Selon une étude menée par le Ponemon Institute en novembre 2012, les attaques DDoS se généralisent : au cours des douze mois qui ont précédé l étude, 65 % des organisations interrogées avait eu à déplorer en moyenne trois attaques DDoS pour un coût annuel moyen de 3 millions de dollars. D après le Rapport Radware 2012 sur la sécurité des applications et des réseaux à l échelon mondial, le mobile des attaques reste inconnu dans la majorité des cas. Cependant, lorsqu il est connu, ce mobile est de nature politique ou hacktiviste dans 50 % des cas. Viennent ensuite les demandes de rançon, la colère des usagers et les rivalités entre entreprises concurrentes. Les pirates et les hacktivistes visent principalement les institutions financières, les entreprises de commerce en ligne, les services publics et les sites de jeu en ligne, le but étant de perturber la disponibilité de ces services en ligne et ainsi d empêcher les utilisateurs d y accéder. Cela occasionne une perte de revenus, une détérioration de la réputation et d autres complications pour les organisations victimes. Les campagnes d attaques multivectorielles : l outil des attaquants Comme l ont révélé des attaques récentes, les pirates font de plus en plus souvent appel à un plus grande nombre d outils d attaques pour lancer des attaques plus complexes dont les effets sont plus durables. Lors des récentes offensives, les pirates ont programmé le Botnet (ou ont donné instruction à leurs partisans, comme dans le cas des opérations du groupe Anonymous) de façon à lancer plusieurs types d attaques en parallèle, avec pour cible plusieurs points de vulnérabilité dans les infrastructures informatiques visées : réseaux, serveurs et applications. Aujourd hui, les entreprises en ligne et les centres de données sont confrontés à plusieurs types d attaques qui touchent chaque couche de l infrastructure informatique : La couche réseau est ciblée par des attaques volumétriques par inondation du réseau, telles que les inondations UDP ou ICMP, dont le but est de consommer ou de détourner l utilisation des ressources réseau. Les attaques volumétriques par inondation peuvent saturer le canal Internet d une organisation avec pour conséquence un déni de service total. En 2012, 15 % des attaques traitées par l équipe d intervention d urgence Radware ERT avaient bloqué le canal Internet. La couche serveur est la cible d attaques par inondation SYN et d outils d attaques lentes et discrètes, qui visent à détourner l utilisation des ressources serveur. La couche applicative est la cible d attaques diverses : attaques SSL, attaques axées sur l utilisation détournée d applications et attaques applicatives de type GET ou POST. Lancer une offensive multivectorielle contre des entreprises en ligne n a rien de compliqué. Il existe en effet de nombreux services d attaque DDoS, qui offrent une grande latitude aux pirates quant aux vecteurs d attaque, aux outils d attaque et à la durée des attaques. Smart Network. Smart Business. 3

4 L impuissance des solutions de sécurité réseau traditionnelles face aux attaques DDoS Les attaques DDoS récentes ont mis en évidence l incapacité des solutions de sécurité réseau traditionnelles (pare-feu, systèmes IPS et dispositifs WAF) à les arrêter. Toutes les organisations qui ont fait l objet d attaques DDoS disposaient de pare-feu et de dispositifs IPS dans leur infrastructure. Pourtant, leur disponibilité a été mise à mal, ce qui s est soldé par une interruption de service. Bien que les solutions de pare-feu, de systèmes IPS et de dispositifs WAF jouent un rôle essentiel dans la sécurité des organisations, elles n ont tout simplement pas été conçues pour traiter les menaces DDoS d aujourd hui et peuvent elles-mêmes se muter en goulots d étranglement lors des attaques DDoS. Les dispositifs IPS ont été conçus pour empêcher les intrusions donnant lieu à une violation de données en procédant à une inspection complète de la session. Les pare-feu jouent le rôle d un agent chargé d appliquer les stratégies et de déterminer si le trafic à destination de l organisation doit être autorisé par rapport aux règles prédéfinies. Même s ils s avèrent indispensables, ces outils de sécurité n ont pas les moyens de garantir la disponibilité des services en ligne, et ce pour plusieurs raisons : Raison 1 : Les pare-feux, les dispositifs WAF et les systèmes IPS sont des dispositifs avec table d état. Autrement dit, ils assurent le suivi de toutes les connexions qu ils inspectent. Toutes les connexions sont stockées dans une table de connexions, et chaque paquet est comparé aux données de cette table de connexions pour s assurer qu il est transmis sur une connexion légitime et établie. Une table de connexions de pare-feu, de système IPS ou de dispositif WAF d entreprise standard est capable de stocker plusieurs dizaines de milliers de connexions actives, ce qui est suffisant dans le cadre d une activité réseau normale. Or, à l occasion d une attaque DDoS, un pirate envoie des milliers de paquets à la seconde au réseau ciblé. En l absence de dispositif anti-dos dédié qui protège les dispositifs de sécurité réseau traditionnels contre des trafics aussi denses, ces dispositifs sont généralement les premiers à résister à la force d une attaque DDoS sur le réseau d une organisation. Du fait de leur conception, les pare-feu et les systèmes IPS ouvrent une nouvelle connexion dans leur table de connexions à chaque paquet malveillant identifié, ce qui a pour effet de saturer ces tables de connexions en très peu de temps. Or, une fois que la capacité maximale des tables de connexions a été atteinte, plus aucune ouverture de connexion n est autorisée, ce qui empêche au bout du compte les utilisateurs légitimes d établir des connexions et d accéder ensuite aux services en ligne. Les dispositifs efficaces contre les attaques DDoS intègrent un mécanisme de protection sans état qui ne peut pas être exploité par les attaques basées sur les connexions. Ces dispositifs peuvent traiter plusieurs millions de tentatives de connexions sans consommer d entrées dans la table de connexions ni saturer les ressources d autres systèmes. Raison 2 : L impossibilité de distinguer les utilisateurs malveillants des utilisateurs légitimes. Contrairement aux tentatives d intrusion qui sont détectées et bloquées par les pare-feux et les systèmes IPS, certains vecteurs d attaque DDoS, tels que les inondations HTTP, sont constitués de plusieurs millions de sessions légitimes. Lors d une attaque DDoS, chaque session est légitime et n est conforme à aucune règle prédéfinie de système IPS ou de pare-feu. En soi, chaque session ne pose pas de problème et les systèmes IPS et pare-feux ne peuvent pas les identifier comme une menace ; toutefois, lorsqu une attaque DDoS se déclare et qu il y a plusieurs millions de sessions simultanées, la solution doit examiner toutes les sessions et analyser leur comportement. Or, les systèmes IPS et les pare-feu sont conçus non pas pour examiner toutes les sessions dans leur ensemble, mais plutôt une session après l autre. Raison 3 : L emplacement inadapté sur le réseau. Les solutions de pare-feux, de systèmes IPS et de dispositifs WAF sont déployées trop près des serveurs protégés. Elles ne sont pas déployées en première ligne de défense, là où les attaques DDoS doivent être bloquées. Résultat : les attaques DDoS traversent les centres de données protégés sans être détectées par les solutions de sécurité réseau traditionnelles. Une solution dédiée contre les attaques DDoS doit être déployée avant même le routeur d accès au niveau du transfert du FAI. Smart Network. Smart Business. 4

5 D autres raisons expliquent l inefficacité des pare-feux et des dispositifs IPS et WAF dans la lutte contre les attaques DDoS, notamment un manque d expertise DDoS, une couverture de sécurité limitée face aux menaces DDoS, l absence d une équipe d intervention d urgence disponible 24 heures sur 24 et 7 jours sur 7 pour lutter contre les attaques DDoS, etc. Au début de l année 2013, l équipe d intervention d urgence Radware ERT a publié son rapport annuel sur la sécurité. S appuyant sur les dizaines d attaques DoS et DDoS qu elle avait eu à traiter en L équipe ERT a déterminé que dans 33 % des cas, les pare-feux et les dispositifs IPS de l organisation cible avaient été les principaux goulots d étranglement lors de ces attaques DDoS. Ce chiffre élevé n étonnera guère les experts de la sécurité pour qui la nature des attaques DDoS et la conception des systèmes IPS et des pare-feux n a pas de mystère. 30 % 25 % 26 % 25 % 20 % 22 % 15 % 10 % 11 % 8 % 8 % 5 % 0 % Canal Internet Pare-feu Système IPS/IDS Répartiteur de charge (ADC) Serveur attaqué Serveur SQL Diagramme : Principaux équipements réseaux qui ont été goulots d étranglement lors des attaques DDoS Source : Rapport Radware 2012 sur la sécurité des applications et des réseaux à l échelon mondial Les différentes solutions contre les attaques DDoS Les entreprises et les organisations soucieuses de garantir la disponibilité de leurs services en ligne face aux risques d attaques DDoS doivent envisager de recourir à une solution dédiée contre les attaques DDoS, spécialement conçue pour faire face aux nouvelles menaces d aujourd hui qui nuisent à la disponibilité. Les solutions contre les attaques DDos peuvent s appuyer sur l une des trois approches suivantes : protection sur site, dans le cloud ou hybride. sur site Une solution sur site s appuie sur un dispositif dédié spécialement conçu pour détecter et bloquer les attaques DDoS. Il s agit généralement du dispositif qui est placé en première ligne dans le réseau de l organisation, avant même le routeur d accès. Il vise à protéger l intégralité du centre de données et plus particulièrement les services en ligne. Un dispositif sur site est censé protéger de nombreux types d attaques DDoS dont les suivantes : attaques par inondation de réseau UDP/ICMP ; attaques par inondation SYN ; Smart Network. Smart Business. 5

6 attaques SSL ; attaques de la couche applicative de type GET/POST HTTP ; attaques lentes et discrètes. Il est facile d ajuster les systèmes de protection déployés sur site à proximité des applications en ligne protégées de façon à les sensibiliser aux évolutions du trafic réseau et ainsi augmenter les chances de détecter le trafic suspect au niveau de la couche applicative. Toutefois, une solution sur site n a pas la capacité de traiter les attaques volumétriques par inondation de réseau qui saturent le canal Internet de l entreprise. Ces attaques doivent être bloquées depuis le cloud. Dès lors que la solution est déployée sur site, l organisation bénéficie d un dispositif de détection et de protection automatique contre les attaques. Dans les secondes qui suivent le déclenchement d une attaque, les services en ligne sont protégés efficacement et l attaque est bloquée. dans le cloud Face à la recrudescence des attaques DDoS, nombreux sont les fournisseurs d Accès Internet (FAI) et les fournisseurs de services de sécurité managés (MSSP) qui se sont mis à proposer des services de protection contre les attaques DDoS. Ces services prémunissent les organisations contre les attaques par inondation de réseau en déployant un équipement de protection sur le centre de filtrage du FAI ou du MSSP. Souvent appelé «clean pipe» (littéralement, «tuyau propre»), ce type de protection apporte la garantie que les attaques par inondation de réseau n atteindront pas l organisation, car les attaques sont bloquées avant même d atteindre la connexion entre le FAI ou le MSSP et l organisation. Le canal Internet de l organisation est ainsi à l abri de toute attaque volumétrique par inondation de réseau. Cependant, les services cloud de protection contre les attaques DDoS ne peuvent pas contrer les attaques DDoS visant les applications ni les attaques lentes et discrètes, car l équipement de protection n a pas la sensibilité suffisante pour détecter ces attaques complexes lorsqu il est déployé dans le cloud. Par ailleurs, pour détecter les attaques SSL, le MSSP doit héberger les clés SSL de l entreprise protégée. Cela pose des problèmes de conformité et de réglementation pour l entreprise protégée, qui ne peut pas fournir ses clés SSL au MSSP. Par conséquent, les attaques SSL traversent le centre de données de l entreprise sans aucune protection. Lors d une attaque, la protection cloud exige que le trafic de l entreprise protégée soit détourné vers le centre de filtrage du MSSP. Ce processus nécessite une intervention humaine qui prend au moins 15 minutes, laps de temps durant lequel les services en ligne de l entreprise ne sont pas protégés contre les assauts d un pirate. hybride Une solution hybride vise à offrir le meilleur en matière de protection contre les attaques DDoS en combinant dans une même solution intégrée les avantages de la protection sur site et ceux de la protection cloud. La solution hybride choisit l emplacement et la technique de protection en fonction des caractéristiques de l attaque, des outils d attaque et de l ampleur de l attaque. Dans la solution hybride, les opérations de détection et de protection démarrent automatiquement et sans délai en utilisant la solution de protection sur site qui empêche les diverses attaques DDoS d amoindrir la disponibilité des services en ligne. Toutes les attaques sont contrées sur site, sauf si elles menacent de bloquer le canal Internet de l organisation. En cas de menace de saturation du canal Internet, la solution hybride active la protection dans le cloud et le trafic est détourné vers le cloud, où il est filtré avant d être renvoyé à l entreprise. De même, la solution hybride partage des informations essentielles sur l attaque entre les dispositifs de protection sur site et ceux du cloud afin d accélérer et d améliorer la protection contre l attaque une fois qu elle touche le cloud. Smart Network. Smart Business. 6

7 Avec la solution hybride, les entreprises bénéficient des avantages suivants : couverture de sécurité étendue qui peut être mise œuvre par la simple combinaison de la protection sur site et dans le cloud ; temps de réponse écourté grâce à la solution sur site qui démarre automatiquement et sans délai pour bloquer l attaque ; point de contact unique lors d une attaque pour la protection sur site et dans le cloud ; détournement du trafic vers le cloud seulement en dernier recours ; système de signalement intégré fournissant des informations sur la protection sur site et dans le cloud. Le tableau ci-dessous récapitule les différentes solutions de protection contre les attaques DDoS présentées dans ce document : Portée des attaques Déviation du trafic Capacité Inondations de réseau UDP/ICMP Inondations qui saturent le canal Internet sur site dans le cloud hybride V V V X V V Attaques SSL V X V Attaques applicatives HTTP de type GET/POST V X V Attaques lentes et discrètes V X V Temps de réponse de la protection Immédiat Long (au moins 15 minutes) Immédiat Démarrage automatique Oui Non Oui Déviation du trafic avec annonce BGP ou DNS Non Pour chaque attaque Seulement en cas de menace de saturation du canal Internet Récapitulatif C est un fait, les attaques DDoS sont en recrudescence. Leur popularité grandissante auprès des pirates est la conséquence des services de location d attaque DDoS qui facilitent le lancement de ces attaques, dont l impact est significatif. Les solutions de sécurité réseau traditionnelles, telles que les pare-feux, les systèmes IPS et les dispositifs WAF, ne suffisent pas à traiter les nouvelles menaces DDoS. Dans bien des cas, elles deviennent même des goulots d étranglement lors des attaques. Les entreprises soucieuses de garantir la disponibilité de leurs services en ligne sont encouragées à privilégier les solutions de protection spécialement conçues pour contrer les attaques DDoS. Il est dans l intérêt de chaque organisation d examiner les différentes solutions décrites dans ce document (protection sur site, dans le cloud ou hybride), d évaluer celle qui correspond le mieux à ses besoins et d aller de l avant en déployant cette solution le plus tôt possible. Si vous souhaitez en savoir plus sur le déploiement de l une de ces méthodes, découvrez nos solutions de protection contre les attaques et nos offres spécialisées, telles que DefensePipe Radware, Ltd. Tous droits réservés. Radware et tous les autres noms de produits et de services Radware sont des marques commerciales de Radware déposées aux États-Unis et dans d autres pays. Toutes les autres marques commerciales et noms sont la propriété de leurs détenteurs respectifs. Smart Network. Smart Business. 7 PRD-DDoS-Mitigation-Approaches-WP /04-A4