Les attaques par déni de service sont de nouveau en forte augmentation. Pourtant les entreprises ne sont pas sans solution pour contrer ses attaques DDoS en bloquant l’usurpation des adresses IP et en contrôlant tout le trafic entrant…
Selon IDC, la cybercriminalité devrait coûter aux entreprises du monde entier environ 10,5 milliards de dollars par an d’ici 2025. Ainsi, avec plus de 4,4 millions d’attaques par déni de service distribué (DDoS) perpétrées au 2ème semestre 2021, ces actes malveillants doivent être considérés comme des menaces permanentes, au même titre que le phishing ou les ransomwares. Pour les entreprises, il ne s’agit donc plus de savoir si elles seront visées par une attaque DDoS, mais plutôt quand elles le seront.
Les prévisions d’attaques ne doivent plus être perçues comme une fatalité. Les entreprises et les fournisseurs de services sont en effet plus que jamais capables de bloquer 90% des attaques DDoS en deux étapes simples : bloquer l’usurpation d’adresse IP et contrôler le trafic entrant.
Elles bénéficient de modes d’action qui permettent de pallier les risques d’une attaque par déni de service distribué. Ces occurrences étant de plus en plus courantes, développer des stratégies anti-compromission devient une nécessité afin de protéger au mieux les informations sensibles. Cela doit en effet s’intégrer aux stratégies globales de sécurité.
Comprendre l’usurpation d’adresse IP
Ce type d’attaque se produit lorsqu’un périphérique falsifie son adresse source dans le but d’usurper l’identité d’un autre périphérique. Il s’agit de l’une des stratégies préférées des cyberattaquants lors de l’organisation d’attaques par réflexion ou amplification.
L’usurpation de l’adresse IP source force un service réticent à envoyer ses réponses à la victime attaquée. Cependant, il n’y a aucune raison pratique d’autoriser le trafic usurpé sur internet. Si un opérateur réseau interrompt ce type d’activité, cela n’a aucun impact sur le trafic légitime. En fait, si tous les opérateurs de réseau (entreprises, fournisseurs de services, etc.) bloquaient universellement l’usurpation d’adresse IP, cela rendrait les attaquants incapables de lancer des attaques DDoS par usurpation. Cela stopperait à leur tour toutes les attaques DDoS par réflexion/amplification. Les cyberattaquants sont donc constamment en recherche d’appareils vulnérables à l’intérieur des réseaux des entreprises, afin de lancer des attaques DDoS par usurpation.
Stopper les tentatives d’usurpation
Le blocage de l’usurpation d’adresse IP se fait en général à la périphérie internet du réseau en implémentant une simple liste de contrôle d’accès (ACL). Cela nécessite peu de ressources et garantit que seul le trafic légitime est autorisé à atteindre le réseau d’entreprise ; il s’agit donc d’une méthode efficace de lutte contre toute attaque DDoS. De même, les fournisseurs de services internet (FAI) devraient implémenter des listes de contrôle d’accès aux limites des abonnés. Cela peut donc garantir que seul le trafic entrant provenant de sous-réseaux est alloué aux clients respectifs. Il est également possible d’implémenter de tels contrôles à la périphérie entre les FAI locaux et régionaux, ce qui permet au FAI régional de contrôler le trafic provenant des FAI locaux.
Gestion et visibilité du trafic
Les entreprises utilisent internet principalement à deux fins : accéder à des services/informations et fournir des services/informations à d’autres. Mais quelle que soit la portée ou l’échelle de l’entreprise, aucune organisation ne fournit tous les services à chaque utilisateur.
En tant que tel, le trafic ne doit être limité qu’à ce qui peut être accessible. Des contrôles d’accès stricts sont facilement configurables en fonction du type de services déployés. Cela bloque efficacement la majorité des attaques DDoS avec un minimum d’efforts. Dans le cas des attaques multi-vectorielles, par exemple, lorsque la majorité des vecteurs d’attaque sont bloqués, de telles offensives ne sont pas possibles. Ces stratégies se sont avérées efficaces pour de nombreuses entreprises à travers le monde.
Malgré des cybermenaces croissantes et plus virulentes dans l’environnement numérique et sur les réseaux privés d’entreprises, il est possible de développer des techniques de protections simples permettant de minimiser les points d’entrée des cybercriminels. Alors que les cybercriminels renouvellent leurs attaques au gré des innovations technologiques, il reste encore du chemin à parcourir pour que les entreprises parviennent à se protéger complètement contre ces menaces. Toutefois, en anticipant ces risques, et en disposant d’une visibilité complète des réseaux et des actifs, les organisations auront la possibilité de se préparer aux potentielles attaques susceptibles de les cibler. Alors que de nouveaux types d’attaques continuent d’émerger, les communautés se renforcent, permettant à la lutte contre les attaques DDoS de rassembler toujours plus d’alliés. Garder une longueur d’avance contre l’attaquant devient indispensable dans le monde numérique actuel.
___________________
Par Philippe Alcoy, spécialiste de la sécurité chez NETSCOUT
puis