by Mark Harris Le 12 juillet 2017
Nous sommes pris dans l'âge sombre de la cybersécurité où les attaques DDoS (Distributed Denial of Service) se déconnectent. Même les réseaux les mieux conçus et gérés sont désormais vulnérables aux attaques DDoS. Il semble que nous soyons dans une poursuite constante du chat et de la souris puisque nous sommes incapables de répondre efficacement au volume accru d'attaques DDoS.
La tendance pour les DDoS ne semble pas bonne. Tout d'abord, la BBC a été détruite par une attaque de 602 Gbps, puis DDoS s'est mis à niveau vers 1.2 Tbps décollant de Dyn. Les botnets Miria et Leet étaient les deux principaux coupables. Ces attaques ne vont pas disparaître de si tôt, augmentant ainsi le volume par mois. Combinez le tissu non sécurisé d'Internet avec l'introduction de millions d'objets IoT non sécurisés compatibles IP. Il fournit une rampe de lancement assez imprudente, permettant une nouvelle ère d'attaques à l'échelle du téraoctet.
La sévérité de ce qui est encore à venir serait sûrement gigantesque en termes d'ampleur, que ce que nous avons déjà vu. Ce niveau n'est pas quelque chose que nous avons pu supporter et le les mécanismes de solution existants seraient considérablement insuffisants.
De quoi avons nous besoin?
Nous avons besoin d'une solution qui s'intègre pleinement, et pas seulement de détection et d'atténuation. La dernière pièce du puzzle est la dépannage de bout en bout. La collaboration en équipe est tout aussi importante que les algorithmes sophistiqués d'apprentissage automatique utilisés pour la détection avancée des anomalies.
L'ensemble du processus de cartographier un réseau et le dépannage des attaques DDoS doivent être pilotés par l'interface de programmation d'application (API) à la fois pour la détection et l'atténuation pour former une solution complète. C'est le seul moyen de lutter efficacement contre les attaques DDoS.
Qu'est-ce qu'un DDoS ?
Les saveurs de DDoS se présentent sous de nombreux déguisements différents, certains opèrent plus bas dans la pile tandis que d'autres plus haut à la couche 7. La plupart des nouveaux styles d'attaques DDoS fonctionnent en parallèle avec une combinaison d'attaques à différentes couches du modèle OSI.
Plus que souvent, ils ne sont jamais à sens unique et agissent simplement comme de la fumée en brassant une attaque par porte dérobée plus dangereuse. Un exemple d'une telle attaque pourrait être une attaque volumétrique lourde déroutant davantage les équipes d'exploitation, remplissant les tuyaux tandis qu'un protocole de transfert hypertexte (HTTP) plus lent et plus meurtrier. l'attaque fait tous les dégâts en arrière-plan.
Quel que soit le type de DDoS, ils ont tous le même objectif : mettre le service cible hors ligne afin qu'il ne puisse pas répondre aux connexions légitimes. Les attaques sont toujours visibles même les tâches initiales des BotNets l'exécution du balayage peut signaler des détections dans le système.
BotNets
Un BotNet (également connu sous le nom d'armée de zombies) est un certain nombre d'appareils connectés à Internet compromis utilisés pour lancer une attaque DDoS destructrice. Sans le savoir, les machines compromises sont regroupées pour former une grande structure d'attaque DDoS. Le botnet Mirai se compose de milliers d'appareils IoT (Internet des objets) non sécurisés tels que des routeurs mal sécurisés et des caméras IP qui atteignent des méga volumes.
Les BotNets ne peuvent rien faire par eux-mêmes et doivent se connecter à une commande via des canaux cachés et contrôler les serveurs (C2/C&C) pour obtenir une liste d'actions. Les clients infectés se connectent au serveur pour recevoir une liste de commandes telles que HOLD, TCP, UDP ou JUNK et utilisent un générateur de charge utile commutant entre ces commandes, ce qui rend la détection difficile. Récemment, un nouveau Mirai BotNet a lancé une attaque d'application contre un serveur sans pilote de l'US College. Le flux de trafic moyen était de 30,000 37,000 requêtes par seconde (RPS) avec un pic à XNUMX XNUMX RPS.
Qui amplifie les attaques DDoS ?
Qui est derrière ces attaques et pourquoi le font-ils ? Il y a deux objectifs principaux - l'un concerne les croyances politiques ou idéologiques connues sous le nom de hacktivisme, vandalisme ou cyberguerre. L'autre est purement motivé par des raisons financières connues sous le nom de DDoS-for-hire, Extorsion and Ransom.
Carte numérique DDoS
Votre Carte numérique DDoS affiche les attaques DDoS qui se produisent en ce moment et en temps réel. Les attaques sont colorées en fonction du type - connexion TCP, volumétrique, fragmentation et volumétrique. Il affiche également les pays les plus participants en fonction de la source et de la destination sous forme de lignes pointillées.
Causes primaires ?
- Poussez vers le cloud : Nous assistons à une ère où les applications évoluent rapidement tout en s'envolant vers l'ère du cloud. Les entreprises tirent parti de l'empreinte mondiale pré-créée du cloud, passant ainsi à l'approche logiciel en tant que service (SaaS) de l'informatique avec des progiciels tels qu'Office 365. Tout en déplaçant des services critiques vers le cloud, offre des avantages en termes de coûts, d'agilité, de latence réduite et la gestion du trafic. Cela change le paradigme de la sécurité et nécessite une réévaluation de la sécurité.
- Périmètre de sécurité : Le modèle du cloud modifie le périmètre de sécurité et ouvre de nouvelles voies de pénétration des attaques. Le périmètre de sécurité n'est plus statique ou confiné à une zone particulière locale. Il se propage à un nouveau tiers, ouvrant ainsi une nouvelle porte et une nouvelle surface d'attaque pour DDoS.
- IdO : L'IoT permet aux objets du quotidien de communiquer entre eux. On l'appelle la prochaine révolution industrielle et changera sans aucun doute la culture de notre communication. Les objets IP rendraient nos vies individuelles et nos villes plus efficaces. Malheureusement, bon nombre des nouveaux appareils compatibles IP ont peu ou pas de sécurité. Un petit objet comme une ampoule est si léger qu'il ne sera pas trop sécurisé. La correction régulière d'appareils éloignés qui dorment automatiquement posera également des défis. La combinaison de millions d'objets IoT, avec peu ou pas de sécurité dans un énorme Botnet amènera le DDoS à un nouveau niveau.
- Permis de gouverner : L'art de la mise en réseau introduit de nombreux types différents de conceptions de réseau. Il n'y a pas de licence ou de règle qui mène à certains réseaux conçus avec une excellente sécurité. Cela laisse des composants critiques tels que les proxys DNS largement ouverts comme porte d'entrée pour qu'un attaquant puisse pénétrer et les utiliser comme rampe de lancement. Plus souvent, nous remarquons que la passerelle de l'utilisateur à domicile et les proxys DNS ouverts sont utilisés pour lancer des attaques d'amplification DNS. Le DNS repose sur des tailles de paquets inégales, une petite requête DNS et de grandes réponses. Cela offre un terrain de jeu parfait pour un attaquant. Un attaquant peut envoyer un certain nombre de paquets plus petits à partir d'hôtes usurpés, ce qui oblige le serveur DNS à répondre avec des paquets DNS plus gros submergeant l'hôte inattendu.
Une bataille perdue d'avance ?
Si nous regardons attentivement, nous trouverons des nids-de-poule dans la sécurité partout. Les problèmes résident dans les fondements du réseau et dans la manière dont il est sécurisé. L'Internet est basé sur l'accessibilité globale et les protocoles qui construisent sa structure ont été initialement conçus sans souci de sécurité.
L'accessibilité globale signifie avoir autorité sur l'adresse IP d'une personne située dans un endroit éloigné. C'est la base de la communication et malheureusement, si vous avez l'adresse IP de quelqu'un, vous pouvez également diriger une attaque contre son système. Cela place les surfaces d'attaque sur une très grande plate-forme mondiale où n'importe qui peut planifier une attaque si on le souhaite.
Les mécanismes de sécurité ajoutés par la suite n'agissent que comme des brouilleurs sur le réseau, augmentant ainsi la complexité. IPsec est une armée suisse chargée de fonctionnalités qui viennent avec beaucoup de bagages qui pourraient être abstraits.
Comment s'en sort-on ?
Alors, quels sont les changements qui peuvent être apportés à la fois au réseau et à la sécurité pour soulager la douleur de ces pannes ? Eh bien, il existe de nombreux nouveaux mécanismes intéressants dans le domaine de la détection et de l'atténuation des attaques DDoS qui peuvent combler le vide. Vérifions quelques mécanismes qui ont été imaginés pour limiter les attaques.
Avancement dans l'atténuation des attaques DDoS
Sur le front de l'atténuation, de nouveaux concepts tels que la désagrégation de la sécurité introduisent de nouvelles techniques pour supprimer l'état des dispositifs d'atténuation. La suppression de l'état permet une protection adéquate pour cette échelle et au-delà. Le fait d'avoir un état dans une appliance de dispositif d'atténuation dégrade les performances à un niveau où il est incapable de protéger.
Avoir un état n'importe où dans le réseau inhibe les performances, mais surtout l'avoir dans une appliance qui n'en a pas besoin pour transférer des paquets, n'a aucun sens. La désagrégation de la sécurité déplace l'état à l'extérieur de l'appliance vers le transfert réel.
Avancée dans la détection DDoS
Sur le front de la détection, des techniques avancées d'apprentissage automatique contribuent à une détection rapide. Les systèmes de détection basés sur les anomalies actuels sont limités et incapables de détecter le nouveau type d'attaques. Les techniques d'apprentissage automatique telles que Marines, Bayes, C4.5, SVM, KNN, K-means et Fuzz offrent un moyen avancé de détecter les attaques. Ces changements de solutions suffiront-ils ?
Le besoin d'un dépannage efficace
Tous ces nouveaux mécanismes sont intéressants mais inutiles si vous ne parvenez pas à dépanner efficacement le problème à temps. Le dépannage n'est pas qu'une opération technique ; il s'agit d'une ressource à l'échelle de l'entreprise combinant de nombreuses équipes dans un processus rationalisé.
La solution de détection la plus avancée peut signaler un événement en quelques secondes, mais si le dépannage prend quelques heures, vous pourriez aussi bien ne pas avoir de système de détection. De même, dans le cas d'une solution d'atténuation performante, si vous ne pouvez pas dépanner, cela ne sert à rien d'avoir toute la puissance de votre réseau.
Les avancées en matière de détection et d'atténuation des attaques DDoS sont cruciales, mais nous devons également nous éloigner des approches manuelles de la cartographie du réseau et dépannage afin de s'abstenir de faire glisser toute la solution DDoS vers le bas.
Mot de la fin
Nous perdons la bataille DDoS et nous continuerons à perdre à moins que nous ne liions tous les composants ensemble. Une solution complète doit aborder la sécurité sous tous les angles. Ce n'est pas seulement du point de vue de l'appliance d'atténuation ou de détection, mais également du processus de dépannage de l'entreprise qui est nécessaire pour arrêter efficacement une attaque DDoS.