Radware: les attaques d'amplification DDoS augmentent et évoluent
in

Radware: les attaques d’amplification DDoS augmentent et évoluent

Le fournisseur de services de protection contre les attaques DDoS, Radware, affirme que les pirates utilisent de plus en plus d’attaques par amplification pour détruire les réseaux, tout en ciblant la couche applicative afin de nuire davantage aux entreprises.

Radware a récemment publié une étude montrant comment les types d’attaques par DDoS évoluent et augmentent.

Par exemple, les inondations HTTPS (Flood HTTPS), qui génèrent des requêtes HTTPS apparemment authentiques au niveau des serveurs et des applications Web, ont augmenté de 20% en 2018.

Les attaque par amplification DNS, qui abusent des résolveurs DNS et des attaques dites en rafales comportant des volumes massifs à intervalles souvent court.

Daniel Smith, responsable de la recherche sur la sécurité à l’équipe d’intervention d’urgence de Radware, constate que les attaques par DDoS sont de plus en plus ciblées, les attaquants utilisant moins de ressources et causant plus de dégâts.

« Les menaces des attaques DDoS évoluent de manière très intéressante », a déclaré Smith.

Quand je suis entré dans ce secteur, il s’agissait simplement d’attaques DoS et d’outils [d’attaque tels que] Low Orbit Ion Cannon.

Lors de la récente conférence SecureWorld Boston, Smith nous a parlé des menaces en constante évolution liées aux attaques par amplification et de ce qui les rend efficaces.

Il propose également des pointeurs sur l’atténuation des attaques DDoS, notamment des mesures telles que l’audit de réseau et l’utilisation de l’apprentissage automatique via IA.

Quelles sont certaines des tendances actuelles des attaques par déni de service?

Daniel Smith: Les grandes tendances actuelles sont évidentes: nous voyons plusieurs réseaux de bots bot IoT tels que Mirai et Qbot qui sont exploités sur plusieurs plates-formes et plusieurs périphériques. Vous avez des botnets contenant jusqu’à 29 exploits; c’est en gros vous dire ce qu’ils peuvent attaquer.

En dehors des botnets IoT, l’une des principales tendances en matière d’attaques serait les attaques par amplification. En 2018, nous avons vu plusieurs nouveaux vecteurs d’amplification.

Une attaque d’amplification est un peu différente d’une attaque de botnet IoT en ce sens qu’un botnet IoT a 100 000 routeurs compromis. Ils lancent tous un seul message, sur une seule cible.

Une attaque d’amplification est fondamentalement une seule personne qui interroge des informations auprès d’un service – par exemple DNS ou NTP – et cette demande sera falsifiée, de sorte que la demande d’informations ira effectivement à la cible.

Une attaque d’amplification

Le problème, c’est que le volume de la bande passante peut être élevé.

Le record du monde était une attaque d’amplification dirigée contre GitHub [enregistrée à 1,35 Tbps].

Le problème ultime est qu’avec les appareils IoT, ces réseaux de zombies sont très bruyants et il est donc très évident lorsqu’ils circulent sur un réseau, alors qu’une attaque par amplification est très silencieuse.

Vous ne savez pas ce qui s’en vient car il n’y a pas beaucoup de préparation pour la construction. C’est simplement un attaquant qui scanne et trouve des micro services tels que memcached, qui demande ces informations et qui les redirige vers les cibles.

Comment les entreprises peuvent-elles se défendre contre les attaques d’amplification ?

Smith: La même chose que n’importe quel autre type d’attaque par déni de service: il s’agit d’atténuer les effets des dispositifs sur site et sur le cloud.

Souvent, lorsque le trafic d’attaque arrive, nous cherchons à créer une base de signatures de ce trafic. Nous recherchons des modèles spécifiques. Nous signalons également les adresses IP via notre réseau de honeypot. Nous avons ainsi une liste d’adresses IP dont nous savons qu’elles lancent activement des attaques ou des adresses IP pour les serveurs et les microservices qui font l’objet d’abus.

Nous pourrions ainsi créer une simple liste noire disant «Ne recevez aucun trafic provenant de cette adresse IP connue».

Mais lorsque ces listes noires n’existent pas, nous devons analyser le trafic, créer une signature et la bloquer à partir de là.

En général, les attaques DDoS sont très pénibles à gérer: [Perdre] la disponibilité du service et le fait que votre application ne soit pas disponible est un énorme problème.

La meilleure pratique pour faire face aux attaques DDoS consiste à auditer votre réseau et à comprendre vos points faibles.

Par exemple, si vous êtes dans le secteur du commerce électronique, lorsque vous regardez les jours comme Black Friday et Cyber Monday, ces deux jours sont principalement consacrés aux attaques DDoS.

Une fois qu’une industrie comprend la nature de la menace, elle peut prévoir les types de menaces à venir. Cela donne aux opérateurs de réseau une chance de se préparer.

Vous avez besoin de matériel, mais vous avez également besoin d’informations sur les menaces. Grâce à cette combinaison, vous serez certainement en mesure de résoudre de nombreux problèmes.

Est-ce que l’IA et l’apprentissage automatique peuvent aider à arrêter ces attaques?

Smith: Je pense que l’apprentissage automatique et l’IA sont une arme à double tranchant: avec tout ce que nous faisons, c’est positif, mais il y a aussi un inconvénient.

Vous pouvez utiliser l’intelligence artificielle et l’apprentissage automatique pour arrêter les attaques.

Si vous pouvez faire appel à l’intelligence artificielle et à l’apprentissage automatique, c’est bien sûr une bonne chose, mais en même temps, pour moi, en tant que chercheur en sécurité, vous perdez cette surveillance humaine.

À la fin de la journée, vous devrez toujours faire appel à l’IA et à l’apprentissage automatique sous la surveillance d’un humain.

Une alerte, un rapport ou une notification de menace peut indiquer «cette personne est un mauvais acteur» et tout le monde pourrait penser que cette personne est un mauvais acteur.

Mais si quelqu’un comme moi, spécialiste des renseignements sur les menaces, arrive, je pourrais peut-être vous dire que ce compte est un troll et que tout a été mis en place pour vous faire croire qu’il y a une menace là où il n’y en a pas.

À long terme, nous avons besoin de l’intelligence artificielle et de l’apprentissage automatique pour attraper ces attaques avancées. Mais ce n’est qu’un outil de notre boîte à outils de surveillance.

Pour aller plus loin sur le sujet des attaques DDOS : http://ghost-academy.fr/tag/ddos/

UKFast investit massivement dans la réduction des attaques DDoS

Comment HTML5 Ping est utilisé dans les attaques DDoS

ThreatList: dernières tendances en matière de DDoS en chiffres

Rogue Waves: Préparer Internet pour la prochaine attaque de méga DDoS

La taille des attaques par DDoS chute de 85% au quatrième trimestre 2018

Sécurité : Top 12 des attaques DDoS que vous devez connaître

Written by Simon

Guide avancé du référencement naturel (SEO) - Version 2019

Guide avancé du référencement naturel (SEO) – Version 2019

Cyberattaque contre Los Angeles et Salt Lake City

Cyberattaque contre Los Angeles et Salt Lake City