Attaques DDoS : l'évolution des menaces appelle des réponses adaptées

Si vous avez été victime d'une attaque par déni de service distribué (DDoS), vous savez à quel point cela peut être une menace. Cela peut entraîner des pertes financières, des dommages à la marque et même des clients perdus. Comme de nombreuses cyberattaques, les DDoS évoluent, devenant plus sophistiquées et dangereuses. L'intelligence des menaces en temps réel est essentielle pour protéger vos actifs et vos clients.

Au second semestre 2023, il y a eu plus de 7 millions d'attaques DDoS, soit une augmentation de 15 % par rapport au premier semestre de l'année, selon NETSCOUT. Les attaques DDoS sont généralement utilisées pour extorquer de l'argent aux cibles ou pour du hacktivisme politique. Les types d'entreprises attaquées varient, avec des télécommunications, des gouvernements et des fournisseurs de cloud souvent en première ligne, mais des industries à fort trafic comme le jeu et les paris sont également de plus en plus ciblées.

La plupart des attaques DDoS tendent à être volumétriques, envoyant d'énormes quantités de trafic vers des serveurs ciblés et provoquant une congestion du réseau, une perte de paquets et des interruptions de service. La plus grande attaque par bande passante en 2023 a atteint un énorme 1,096 Tbps, mais les attaques évoluent : au second semestre 2023, 52 % des attaques DDoS comprenaient plus d'un vecteur d'attaque, rendant leur gestion plus difficile. Les experts notent que les attaques les plus dommageables combinent généralement une attaque volumétrique conçue pour attirer l'attention avec des attaques plus petites et moins détectables pour découvrir des vulnérabilités réseau ou voler des informations sensibles.

Les hackers évoluent aussi

Aujourd'hui, la plupart des attaques sont générées par quelques hacktivistes bien organisés et techniquement compétents, ainsi que par des groupes politiquement motivés. Les jours du hacker solitaire sont révolus. Les individus peuvent également exprimer leurs revendications politiques en laissant leurs PC être utilisés comme partie de botnets. Les attaques sont donc réparties sur de nombreuses sources, rendant leur contre-attaque plus difficile.

Les attaques DDoS applicatives sont en hausse

Les attaques applicatives ne sont pas un nouveau type d'attaque DDoS, mais elles augmentent en fréquence. Ces attaques sont hautement ciblées et visent généralement une application spécifique sur un site client spécifique. Elles sont de faible volume et très personnalisées, ce qui les rend particulièrement difficiles à détecter, mais pas moins dommageables.

Les cibles qui n'ont pas de systèmes de défense DDoS avancés ont du mal à différencier le trafic d'attaque entrant du trafic de navigation web légitime et d'autres activités courantes des utilisateurs finaux. Un volume relativement faible de trafic peut avoir un impact en boule de neige sur la cible initiale ainsi que sur d'autres services. Cela provoque une surcharge collective des serveurs et des infrastructures.

Intelligence des menaces pour identifier les signaux faibles

Les opérateurs disposent désormais de nombreuses protections en place, donc le spoofing - changer l'adresse IP source pour déguiser l'origine de l'attaquant - est rarement possible. Les hackers doivent donc utiliser de vraies adresses IP et ont tendance à utiliser les mêmes.

Les solutions d'intelligence des menaces en temps réel identifient et priorisent de manière proactive les botnets suspects. Elles analysent les tendances et les méthodologies d'attaque, et fournissent des recommandations exploitables sur les étapes de défense nécessaires. Ainsi, les attaques peuvent être bloquées très rapidement, réduisant la charge sur les équipements de nettoyage, minimisant les temps d'arrêt et prévenant des dommages plus importants. Ces solutions transforment les stratégies de défense d'une approche réactive à une approche prédictive.

Comment Orange Wholesale International aborde le problème

Nous avons reconnu l'évolution des menaces DDoS et avons mis en place des solutions robustes pour faire face à ces attaques :

1. Visualisation du trafic. Nous utilisons des outils avancés pour analyser le trafic régulier par rapport au trafic inhabituel ou « d'attaque », ce qui nous permet d'identifier rapidement les anomalies et les pics indiquant des acteurs malveillants.
2. Blocage du trafic à la périphérie. Nous utilisons la technologie BGP Flowspec pour déployer des listes d'accès sur les équipements d'accès réseau. Flowspec permet aux routeurs d'appliquer des règles dynamiques à des types de trafic spécifiques, en fonction de critères tels que la source, la destination, le protocole ou le port. En pratique, cela signifie que tout trafic d'un point d'entrée spécifique vers un serveur DNS atteignant un volume anormal est immédiatement identifié et bloqué à la périphérie. Bien que cela puisse signifier qu'un petit volume de trafic légitime soit bloqué, cela permet une réponse rapide qui minimise l'impact des attaques DDoS.
3. Blocage du trafic au cœur. La partie du trafic d'attaque qui n'est pas bloquée à la périphérie est ensuite redirigée vers des centres de nettoyage au cœur de notre réseau. Seules les machines sous attaque sont redirigées vers le centre de nettoyage le plus proche du point d'entrée dans notre réseau. Le client a alors accès à plus de 1 Tbs de capacité de nettoyage.
4. Collaboration avec les clients. Nous travaillons en étroite collaboration avec nos clients pour définir, tester et affiner les défenses contre tous les types d'attaques, y compris les attaques applicatives, et donner aux clients accès à notre plateforme pour les tenir aussi informés que possible. Les clients disposant de ressources de cybersécurité internes ont un maximum d'informations et une agilité accrue pour prendre des décisions rapides et précises concernant les actions défensives. 
5. Investir dans une protection DDoS et une intelligence de pointe. Nous testons un nouveau service conçu pour analyser le trafic envoyé à nos centres de nettoyage. En utilisant l'analyse de données et l'IA, nous effectuons une analyse comportementale qui peut différencier même les plus petites attaques suspectes du trafic régulier. Cette approche nous permet d'identifier quel trafic bloquer, limitant l'impact sur le trafic légitime. Le résultat est une réduction significative des faux positifs, ce qui nous donne le pouvoir de définir des seuils agressifs pour la détection des attaques.

Les attaques DDoS peuvent être complexes et difficiles à gérer, mais Orange Wholesale International prend des mesures proactives pour garder nos clients en sécurité avec les derniers outils de détection et de protection. À mesure que les attaques évoluent, elles compromettent la disponibilité des services et peuvent nuire à la confiance et à la continuité des affaires – il est crucial de rester en avance sur les menaces avec une sécurité renforcée.