Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’automatisation vous fait gagner un temps précieux pendant la neutralisation d’une attaque DDoS

janvier 2018 par Eric Michonnet, Directeur Régional Europe du Sud, Europe centrale et Afrique du Nord Arbor Networks

Pendant une attaque DDoS, le temps qui s’écoule ne pardonne pas : quelques secondes peuvent faire la différence entre une neutralisation réussie et une coûteuse paralysie du réseau. Tout ce qui raccourcit votre délai moyen de détection (MTTD) et de réponse (MTTR) face à une attaque joue donc en votre faveur.

C’est d’autant plus vrai aujourd’hui dans les environnements cloud et d’entreprise, où la conjonction d’une dépendance accrue à la connexion Internet, des applications distribuées et d’un large éventail de menaces évolutives peut submerger les équipes opérationnelles réseau et sécurité. Les équipes de sécurité sont soumises à une pression croissante pour prendre en temps réel les bonnes décisions sur les mesures de neutralisation déployer pendant que le chronomètre tourne.

L’automatisation ‘intelligente’ de la lutte contre les attaques DDoS devient primordiale notamment pour s’adapter à la fréquence accrue des attaques sur des cibles plus petites. La solution adéquate permet de gagner un temps précieux en détectant ces attaques le plus en amont possible et en déployant automatiquement les contre-mesures appropriées avant qu’un impact ne se fasse sentir. Cependant, les outils automatiques doivent fondamentalement bloquer les attaques tout en laissant passer le trafic légitime d’où leur nécessaire ‘intelligence’ qui doit permettre leur mise en œuvre simple et rapide et qui doit éviter tout blocage de trafic légitime. Ils doivent également informer l’opérateur ou l’entreprise de ce qui a été bloqué et pour quel motif ; l’évolution de l’attaque et de son traitement peut ainsi être partagée avec toutes les parties concernées. En d’autres termes, pour être efficaces, les outils anti-DDoS automatiques doivent non seulement filtrer efficacement le trafic d’attaque, et informer les utilisateurs des contremesures mises en place, mais aussi les orienter vers la bonne solution si tout le trafic d’attaque n’a pas pu être entièrement traité automatiquement, préciser le contexte, permettre des analyses et des optimisations. En résumer ces outils ne doivent pas être des ‘boites noires’ qui ne savent fonctionner qu’en automatique sans aucune information fournie à l’extérieur. Les équipes sécurité doivent rester maitre de la situation surtout pendant la gestion d’une crise en cas d’attaques complexes pour prendre les bonnes décisions et en informer le reste de l’entreprise et ses clients.

Les solutions anti-DDoS d’Arbor Networks exploitent l’automatisation de trois façons

Intégration de contre-mesures – Arbor Networks APS, notre solution anti-DDoS en ligne déployée sur site, active en permanence pour les applications d’entreprise et de datacenter, intègre plus de 30 contre-mesures automatisées, chacune conçue pour détecter et contrer automatiquement des types spécifiques d’attaques en fonction de notre expérience et de notre connaissance approfondie du paysage des menaces. Lorsqu’APS détecte une attaque particulière, par exemple un assaut de type TCP Syn Flood, la présence d’hôtes inscrits sur liste noire ou de multiples tentatives de connexion provenant d’un même hôte, la solution va automatiquement activer ou désactiver les contre-mesures appropriées pour neutraliser de manière sélective ces attaques, sans affecter le trafic légitime, et fournir des analyses et des rapports détaillés sur les événements.

Si une attaque se trouve être en cours lors du déploiement initial d’APS, ses contre-mesures peuvent néanmoins s’activer immédiatement car elles ne nécessitent ni période d’apprentissage ni configuration préalable. Bien que ces contre-mesures intégrées soient conçues pour fonctionner efficacement d’emblée, nombre d’entre elles peuvent également être configurées à la demande pour se déclencher en fonction des règles de sécurité et des seuils de risque spécifiés par l’utilisateur.

Veille dynamique des menaces – L’observatoire ATLAS (Active Threat Level Analysis System) d’Arbor Networks est la plate-forme de veille des menaces la plus vaste au monde, offrant une visibilité en quasi-temps réel sur l’activité mondiale des cybermenaces. Au-delà de la simple collecte et analyse des données, l’équipe ASERT (Arbor Security Engineering & Response Team) organise et met en œuvre ces informations dans des règles destinées à lutter contre les menaces et des modèles de contre-mesures déployés via le flux AIF (ATLAS Intelligence Feed) directement dans les systèmes intelligents de neutralisation DDoS Arbor APS et SP/TMS.

AIF contient une liste de règles associées à différents types de menaces, ainsi que les niveaux de risque (élevé, moyen ou faible) pour chaque type, et actualise en continu l’installation Arbor au fur et à mesure de l’élaboration de nouvelles règles, politiques, etc. Si APS, par exemple, détecte des flux de trafic suspect répondant aux critères des règles en vigueur pour les menaces, la solution bloque automatiquement ce trafic et indique, dans des rapports en temps réel, ce qu’elle a bloqué et pourquoi.

Cloud Signaling – Les experts en sécurité préconisent de plus en plus une stratégie de protection DDoS à plusieurs niveaux ou hybride, combinant des capacités de neutralisation sur site et dans le cloud pour un maximum d’efficacité. L’entreprise dispose ainsi d’une solution de défense évolutive, à même de s’adapter à différentes sortes et tailles d’attaques. Arbor Networks propose une offre complète appliquant cette approche hybride.

Les défenses sur site peuvent immédiatement détecter et neutraliser la majorité des attaques plus compactes qui ciblent typiquement les firewalls, les systèmes de prévention d’intrusion (IPS) et les équipements à la périphérie du réseau, tandis que les attaques volumétriques de plus grande échelle sont mieux neutralisées au niveau de l’opérateur dans le cloud. Le blocage efficace de ces attaques multiniveaux nécessite deux composantes défensives fonctionnant de concert.

Cloud Signaling est le mécanisme d’Arbor Networks permettant à la composante sur site (Arbor APS) de communiquer en temps réel avec la composante cloud de l’opérateur (SP/TMS, Arbor Cloud) afin de synchroniser les données et la neutralisation des attaques. Si le volume du trafic d’attaque sur site atteint un seuil fixé par l’utilisateur, Cloud Signaling peut déclencher automatiquement une ou plusieurs contre-mesures de neutralisation dans le cloud et partager des données telles que les adresses IP bloquées et les types d’abus. Les opérateurs peuvent également activer Cloud Signaling manuellement lorsqu’ils constatent une menace grandissante. La solution hybride d’Arbor Networks offre aux équipes réseau et de sécurité une souplesse considérable pour configurer et affiner leurs règles Cloud Signaling.

Automatisation intelligente des contre-mesures

Tout est affaire de vitesse de détection et de neutralisation. L’automatisation peut vous permettre de devancer une attaque et démultiplier l’efficacité de votre équipe de sécurité, mais uniquement si elle offre le niveau adéquat de visibilité.

De nombreux solutions anti-DDoS sur le marché reposent fortement, sinon entièrement, sur une automatisation configurée une fois pour toutes (« set and forget ») qui nécessite un vaste « état des lieux » et apprentissage au départ sans pour autant, dans bien des cas, permettre de distinguer une attaque authentique d’un pic de trafic légitime ni offrir une véritable analyse de l’attaque. Cette approche présente un triple inconvénient : le déclenchement de faux positifs, le blocage de sessions clients valides et l’absence de visibilité.

Il importe de choisir une solution intelligente de neutralisation DDoS capable de faire rapidement et automatiquement la distinction entre les attaques réelles et les pics de trafic, et d’activer ou désactiver de manière dynamique les contre-mesures appropriées au fur et à mesure du déroulement d’une attaque. Il est tout aussi important de disposer de la souplesse nécessaire pour actualiser, reconfigurer et affiner les capacités de réponse automatisée face à l’évolution de la complexité et des techniques des attaques DDoS, à mesure que les entreprises en apprennent davantage sur la nature des attaques lancées à leur encontre. Les contre-mesures d’Arbor Networks, intelligentes mais à pilotage humain, ainsi que ses flux de veille des menaces en quasi-temps réel et sa technologie Cloud Signaling reposent sur la connaissance la plus approfondie du secteur des menaces DDoS, connues ou émergentes. En s’appuyant sur ces trois piliers des meilleures pratiques de la lutte anti-DDoS, les entreprises et les opérateurs pourront protéger leurs réseaux avec une efficacité et une réactivité sans précédent.




Voir les articles précédents

    

Voir les articles suivants