ATTAQUE DDOS SUR DES APPLICATIONS WEB



Documents pareils
KASPERSKY DDOS PROTECTION. Découvrez comment Kaspersky Lab défend les entreprises contre les attaques DDoS

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

Sécurité sur le web : protégez vos données dans le cloud

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

Protection pour site web Sucuri d HostPapa

Symantec MessageLabs Web Security.cloud

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

La prévention contre la perte de données (DLP) de Websense offre à votre entreprise les outils dont elle a besoin. Websense TRITON AP-DATA

Les vols via les mobiles

UNE NOUVELLE MENACE : LA PUB-ILLICITE OU QUAND LA PUBLICITE SERT DE PASSERELLE A LA CYBER CRIMINALITE

La Gestion des Applications la plus efficace du marché

LIVRE BLANC. Vaincre les menaces persistantes avancées (APT)

Présenté par : Mlle A.DIB

Malveillances Téléphoniques

Découverte et investigation des menaces avancées PRÉSENTATION

Ateliers de formation Internet. Statistiques de site

L UTILISATEUR, CIBLE DE TOUTES LES MENACES

Les cyber risques sont-ils assurables?

Gestion des Incidents SSI

Avira Professional Security Migrer vers Avira Professional Security version HowTo

Cahier des Clauses Techniques Particulières

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

La surveillance réseau des Clouds privés

Résumé. IronPort Web Reputation : protection et défense contre les menaces à base d URL

CONDITIONS PARTICULIÈRES SERVICE CDN WEBSITE Version en date du 10/10/2013

SECURIDAY 2013 Cyber War

SOLUTIONS INTELLIGENTES DE PRÉVENTION DES FRAUDES

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

SOLUTIONS TRITON DE WEBSENSE

Menaces du Cyber Espace

Sécurité des blogs et des sites PHP : Protéger Wordpress et les sites similaires contre les pirates

Solutions de sécurité des données Websense. Sécurité des données

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

Il est recommandé de fermer les serveurs DNS récursifs ouverts

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Guide d utilisation OGGI. Gestionnaire d incidents à l usage des clients. Date de rédaction : 04/02/2013. Version : 1.0.

Notre expertise au cœur de vos projets

z Fiche d identité produit

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

Surveillance de réseau : un élément indispensable de la sécurité informatique

Conditions Générales d Hébergement et de Livraison du Cloud Oracle Date d Effet : 1er décembre 2014 Version 1.4

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en

Une passerelle SMS comme périphérique SynoZwave, et un monitoring de votre infrastructure

Groupe Eyrolles, 2006, ISBN :

Découvrir et bien régler Avast! 7

Les conseils & les astuces de RSA Pour être tranquille sur Internet

Réglement intérieur. Supélec Rézo

Fiche Technique. Cisco Security Agent

Document de présentation technique. Blocage du comportement

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

Fiche pratique. Présentation du problème. Pourquoi Rapport? Comment çà marche?

Guide de démarrage rapide. Microsoft Windows 7 / Vista / XP / 2000 / 2003 / 2008

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

Mail-SeCure sur une plateforme VMware

Conditions générales de vente de prestation de services PINGWY Monitoring (en vigueur à compter du 01/02/2012)

Michel Deruère. Conditions générales de vente

Les menaces informatiques

DÉTECTION ET NEUTRALISATION INTELLIGENTES DES MENACES

Denis JACOPINI est l auteur de ce document. Il est joignable au et sur conferences@lenetexpert.fr

Comprendre et anticiper les attaques DDoS

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

La sécurité de l'information

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

Découvrir les vulnérabilités au sein des applications Web

Bee Ware. Cible de Sécurité CSPN. Validation Fonctionnelle Validation Fonctionnelle Bon pour application AMOA BEEWARE BEEWARE

Michel TCHONANG LINZE Coordonnateur Région Afrique Centrale ACSIS - CAPDA capdasiege@gmail.com

Stratégie nationale en matière de cyber sécurité

CONDITIONS GENERALES D UTILISATION DU SERVICE DE BANQUE EN LIGNE

Modèle de cahier des charges pour un appel d offres relatif à une solution de gestion des processus métier (BPM)

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

Management de la sécurité des technologies de l information

1 LE L S S ERV R EURS Si 5

Release Notes POM v5

SARL NGP INFORMATIQUE au capital de 45059, RCS Rennes NAF 4741Z siège social 9, square du 8 mai RENNES CONDITIONS GENERALES

Aperçu technique Projet «Internet à l école» (SAI)

Fabriquant de Fabuleux logiciels

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

La voix sur IP n'est pas un gadget, et présente de réels bénéfices pour l'entreprise.

Critères d évaluation pour les pare-feu nouvelle génération

CONDITIONS GENERALES DE VENTE DE LA BOUTIQUE EN LIGNE TANGO

Trusteer Pour la prévention de la fraude bancaire en ligne

Module de sécurité Antivirus, anti-spam, anti-phishing,

Notions de sécurités en informatique

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement

CONDITIONS GENERALES DE FOURNITURE DU SERVICE DE TELEPHONIE MOBILE SIMYO

CLOUD CP3S SOLUTION D INFRASTRUCTURE SOUMIS À LA LÉGISLATION FRANÇAISE. La virtualisation au service de l entreprise. Évolutivité. Puissance.

E5SR : PRODUCTION ET FOURNITURE DE SERVICES. Durée : 4 heures Coefficient : 5 CAS RABANOV. Éléments de correction

CONDITIONS GENERALES DU SERVICE BANQUE EN LIGNE ECOBANK

IBM Tivoli Compliance Insight Manager

Outil d évaluation aux fins de la notification en cas d atteinte à la vie privée

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Une représentation complète

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Les clés pour un hébergement web réussi. Bruno Mairlot Maehdros SPRL

2 disques en Raid 0,5 ou 10 SAS

Transcription:

CHAPITRE 4 : ÉTUDE DE CAS ATTAQUE DDOS SUR DES APPLICATIONS WEB 1

ATTAQUE DDOS SUR DES APPLICATIONS WEB ENSEIGNEMENTS DE L ÉTUDE DE CAS Mieux vaut mettre en place un dispositif de protection anti-dos/ddos avant d être attaqué. CONTEXTE Client des services de sécurité managée du Groupe NTT, XYZ Corp (dénomination fictive pour préserver l anonymat du client) a récemment subi une attaque par déni de service distribué (DDoS, Distributed Denialof-Service). Selon un schéma encore assez peu répandu, cette attaque DDoS a visé une application Web à un débit inférieur à un mégabit par seconde. En ce sens, elle différait nettement de la plupart des attaques DDoS de grande ampleur que NTT traite au quotidien sur la dorsale mondiale fournie à ses clients. 2

CHRONOLOGIE DES ÉVÉNEMENTS CHRONOLOGIE DES ÉVÉNEMENTS DATE ÉVÉNEMENT 1 ER JOUR Détection d une éventuelle attaque DDoS sur une application Incident transmis au client du Groupe NTT L équipe ne constate aucun problème opérationnel provoquant des ralentissements symptomatiques d une attaque Le client demande au fournisseur d accès Internet (FAI) de lui fournir des fichiers journaux Une analyse détaillée révèle qu un pirate exploite une fonction WordPress comme vecteur de son attaque Des mesures de neutralisation sont établies, puis une nouvelle signature est créée, testée et déployée dans la foulée Le client repousse toute l attaque Les détails du trafic incriminé sont transmis au fournisseur de la solution anti-dos Durée totale de l incident : 5,5 heures Délai après réception des journaux du FAI : 1,5 heure 7 E JOUR Le fournisseur de solution anti-dos déploie sa nouvelle signature officielle DESCRIPTION DE L ÉVÉNEMENT Au printemps 2014, les analystes d un centre opérationnel de sécurité (SOC, Security Operations Center) du Groupe NTT détectent des anomalies dans les réponses de plusieurs systèmes d un même client. Pour eux, l événement présente tous les signes d une attaque DDoS. Le Groupe NTT engage alors une analyse plus approfondie, en collaboration avec XYZ Corp, son prestataire de services informatiques et son FAI. L équipe détermine rapidement qu aucune 3

opération de maintenance ni dysfonctionnement d équipement réseau ne sont en cause dans la latence constatée dans l exécution des applications. L équipe du SOC de NTT demande alors à consulter les journaux se rapportant à l incident. Un examen plus poussé révèle que les attaquants exploitent une fonctionnalité légitime de WordPress, dénommée Pingback 7, comme vecteur de l attaque DDoS. À partir de ce constat, les analystes en sécurité de NTT développent une signature, qu ils testent et déploient ensuite pour prévenir de nouvelles attaques. Une fois le problème résolu, le fournisseur de solutions anti-dos est informé de l incident et des moyens mis en œuvre par le Groupe NTT pour le neutraliser. Ce fournisseur crée et déploie alors une signature officielle qu il met à la disposition de tous ses autres clients. CAUSE RACINE Cette attaque avait pour objectif de consommer toutes les ressources de l application Web ciblée. Or, sa faible ampleur n a aucunement perturbé l accès réseau au site Web. C est précisément cette discrétion, typique des attaques visant les applications, qui les rend difficiles à distinguer du trafic Web légitime. De même, leur faible consommation de bande passante ne perturbe en rien les applications partageant le même accès Internet. Mais en exploitant cette fonctionnalité de WordPress, les attaquants pouvaient détourner des serveurs tiers de bonne réputation pour créer des requêtes HTTP considérées, à tort, comme légitimes et les envoyer aux serveurs Web de la victime. Dans le cas présent, le site Web ciblé n était pas sous WordPress. 7 https://en.support.wordpress.com/comments/pingbacks/ 4

La commande Pingback est activée par défaut sur WordPress pour établir des références croisées entre les blogs. L attaquant peut falsifier l URL de destination de manière à ce que le site WordPress contacte le site visé par l attaque pour vérifier que le Pingback en provient réellement. L attaque par Pingback repose donc sur des requêtes HTTP légitimes, mais contenant une valeur arbitraire qui change à chaque fois. Cette valeur est un élément clé de l attaque, dans la mesure où elle contraint le site Web à recharger la page à chaque demande entrante. Cette méthode contourne donc tous les dispositifs de mise en mémoire tampon ou en cache destinées à limiter la charge sur le serveur Web. Comme ces rechargements sollicitent très fortement l application, ils peuvent conduire à une situation de déni de service (DoS) du site Web visé, d autant plus vraisemblable que la page Web demandée contient de nombreux contenus et des fichiers multimédias volumineux. Dans ce cas particulier d attaque WordPress, des sites WordPress légitimes sont détournés pour frapper des victimes innocentes. Dans certains cas observés sur le terrain, plus de 160 000 sites WordPress ont été utilisés pour envoyer des demandes Pingback à une même victime. Quelques mois plus tard, des cybercriminels ont tenté le même type d attaque DDoS par WordPress contre le même client, ainsi que plusieurs établissements financiers et entreprises de transport. Le site Web d un établissement financier a été immobilisé pendant plus d une heure, tandis que d autres entreprises ont subi des perturbations à des degrés divers jusqu à 12 heures d affilée. Quant aux clients du Groupe NTT Group, ils n ont constaté aucun impact mesurable sur leur activité. 5

COÛT DE L INCIDENT Sur la base des constatations effectuées avec le client XYZ Corp, le Groupe NTT a estimé que la détection et la résolution précoces de l événement ont permis d en limiter les coûts aux seules activités de coordination, communication, documentation et retour d expérience. COÛT DE L INCIDENT POSTE DE DÉPENSES Coût réel d analyse, de résolution et de prise en charge de l incident, comme décrit plus haut Coût réel d assistance juridique et de communication externe COÛT Inférieur à 2000 $US 0 $US Pertes réelles imputables à l indisponibilité du site Web Coût total réel lié à l événement Coût total réel de la seconde attaque (une fois les signatures déployées) Faible Inférieur à 2000 $US 0 $US Source : Coût de l attaque DDoS neutralisée avec succès. SYNTHÈSE DE L ÉTUDE DE CAS Les données du Groupe NTT indiquent que les attaques par déni de service restent fréquentes et représentent toujours une menace pour toutes les entreprises présentes sur Internet. Dans ce cas particulier, XYZ Corp avait investi dans la prévention des attaques DoS/DDoS. Dès la détection de l attaque, des experts étaient prêts à intervenir immédiatement pour en limiter les effets sur l application ciblée. Les analystes du SOC ont ensuite effectué leur enquête et déployé une protection permanente et efficace. Plus tard, lorsque XYZ Corp a dû essuyer de nouvelles attaques WordPress, aucune interruption de service n a été à déplorer. 6

NEUTRALISATION DES ATTAQUES DOS/DDOS SUR LES APPLICATIONS WEB L indisponibilité d un service n est pas seulement préjudiciable aux interactions clients dans l instant : elle porte également un préjudice grave à la réputation de l entreprise victime, quel que soit son secteur d activité. Étant donné que la physionomie et le modus operandi des attaques DoS/ DDoS varient, il n existe pas de solution universelle pour les bloquer toutes. En revanche, un dispositif actif de défense multiniveau peut contribuer à prévenir ces attaques et à en limiter le pouvoir de nuisance. Nos recommandations : Établir un diagnostic de risque de l entreprise : identifiez les données et applications critiques de l entreprise, l impact potentiel qu auraient sur elles divers schémas d attaques. Si une attaque peut provoquer une indisponibilité aux conséquences mesurables sur votre activité, intégrez un dispositif anti-dos/ddos dans les plans de sécurité de votre entreprise. Rédiger un plan formel d intervention sur incident DoS/DDoS : veillez à inclure des directives de préparation et de réponse aux attaques DoS/ DDoS dans votre plan d intervention sur incident. Déployer une stratégie de défense anti-dos/ddos multiniveau : faites le tour de tous les aspects de votre environnement et évaluez les solutions locales, dans le Cloud et fournies par votre FAI. Toutes les attaques DoS/DDoS ne se ressemblent pas : la lenteur et le faible débit des attaques d applications Web imposent un mode d intervention bien différent de celui déployé lors d attaques par réflexion qui saturent la couche réseau. Cerner les options proposées par votre FAI : établissez une liste précise des coordonnées de tous vos FAI et prestataires pour les joindre immédiatement en cas de besoin. Définissez avec votre FAI les possibilités d assistance à la détection/neutralisation des attaques DoS/ DDoS avant d en avoir réellement besoin. 7

Capitaliser sur les enseignements d expériences passées : après une attaque DoS/DDoS, réussie ou non, tirez les enseignements de l incident pour mieux appréhender les attaques ultérieures. Tester votre environnement : testez les systèmes exposés pour identifier leurs limites, leurs faiblesses, et y remédier avant d être attaqué. Souscrire à des services de monitoring ou de sécurité managée : passez en revue les offres de diagnostics et de remédiation anti-dos/ DDoS proposées par votre fournisseur de services de sécurité managée. Approfondissez la question pour mieux cerner leurs possibilités et leur complémentarité avec vos autres ressources disponibles. Pour télécharger le rapport GTIR, rendez-vous sur www.nttcomsecurity.com/fr 8

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back