Posté le mai 13, 2020 à 13:43
DES STRATÉGIES QUI ON FAIT SES PREUVES POUR SE PROTÉGER CONTRE LES ATTAQUES ZERO DAY ET DDOS EN 2020
Alors que les cybercriminels continuent d’améliorer leurs attaques par déni de service distribué (DDoS) avec des outils plus sophistiqués, les entreprises doivent disposer de moyens plus rigoureux pour assurer la sécurité de leur système. Dans le cas contraire, si un réseau est pris d’assaut par une attaque zero day ou une attaque DDoS, cela pourrait entraîner plusieurs répercussions négatives pour l’entreprise.
Une attaque DDoS est simplement une tentative malveillante de surcharger ou de perturber un réseau afin de le rendre inaccessible à l’utilisateur auquel il est destiné. Elle est lancée dans le but de suspendre ou interrompre temporairement les services de son serveur d’hébergement. L’organisation affectée peut perdre sa crédibilité et ses clients, ce qui finit par entraîner une perte financière.
Il devrait y avoir une puissante mesure de sécurité en place qui permettra de découvrir la vulnérabilité zero day à temps et de prendre les mesures nécessaires pour empêcher toute aggravation de l’attaque. Ainsi, si vous cherchez une raison de renforcer votre réseau contre les attaques DDoS, il y en a plusieurs.
Notre objectif ici est d’identifier et d’expliquer les méthodes efficaces utilisées dans pour prévenir les attaques DDoS, car il est toujours préférable de prévenir que d’atténuer. Mais d’abord, il convient de se concentrer sur l’essentiel.
Que signifie vulnérabilité zero-day ?
Une vulnérabilité zero-day est une faille de sécurité d’un logiciel méconnue du fournisseur et qui expose le logiciel à une attaque. Ce type d’attaque est très difficile à atténuer ou à arrêter car le fournisseur n’a aucune idée de la vulnérabilité et il n’existe pas encore de correctif.
Ainsi on entend par « zero day » le fait que le développeur dispose de « zéro jour » pour corriger la vulnérabilité qui a été compromise par les hackers. Une fois que la vulnérabilité est découverte, le fournisseur du logiciel doit développer un correctif pour protéger ses utilisateurs.
Cependant, le fournisseur de logiciels peut ne pas être en mesure de développer et de publier le correctif à temps avant que les hackers n’infiltrent le système par le biais du correctif. Lorsque cela se produit, on parle d’attaque « zero day ».
Types d’attaques zero day et DDoS
Avant de connaître la solution à un problème particulier, il est important de savoir exactement à quoi vous avez affaire et quelles formes elle prend. Examinons les différents types d’attaques zero day et DDoS afin de comprendre comment les traiter au mieux.
Plus généralement, il existe trois formes principales d’attaques DoS et DDoS. Il s’agit des attaques de couche application, des attaques de protocole et des attaques basées sur le volume.
Attaques de couche d’application
Les attaques de cette nature sont constituées de demandes innocentes et légitimes. Une fois la demande accordée, les acteurs font planter le serveur et rendent le réseau indisponible. Parmi les exemples de ces types d’attaques, on peut citer les attaques qui ciblent Apache, les inondations GET/POST et les vulnérabilités d’OpenBSD ou de Windows.
Les attaques de protocole
Les attaques de protocole consomment les ressources du serveur, contrairement à d’autres formes d’attaques. Elles consomment également des équipements de communication immédiats comme les balances de charge et les pare-feux. On peut citer par exemple le Snurf DDoS, le Ping of Death, les attaques par paquets fragmentés, les inondations SYN, et d’autres encore.
Attaques basées sur le volume
Le but principal de cette attaque est de dépasser la capacité de bande passante du réseau attaqué, ce qui amène le site à rejeter les demandes provenant du trafic réel. Ces types d’attaques comprennent les inondations ICMP, les inondations UDP et d’autres inondations par paquets usurpés.
Comment mettre fin à une attaque zero day et à d’autres attaques DDoS
Le plus souvent, les attaques zero day sont perpétrées avant même qu’une solution à la vulnérabilité ne soit trouvée. C’est pourquoi elles sont très dangereuses, car les hackers peuvent atteindre tous leurs objectifs avant que les utilisateurs ne reçoivent les correctifs de vulnérabilité.
Cependant, il existe des méthodes permettant de découvrir la vulnérabilité d’un logiciel et de la corriger avant que les attaquants ne la découvrent. Ces méthodes comprennent l’analyse de la vulnérabilité, la gestion des correctifs, ainsi que la validation des données. Il s’agit de méthodes efficaces pour détecter et bloquer les attaques zero day imminentes.
La recherche de vulnérabilité
L’analyse de vulnérabilité est une méthode populaire de détection des vulnérabilités avant que les hackers ne les découvrent par eux-mêmes. Les entreprises de sécurité peuvent vous aider à stimuler les attaques de code logiciel et à effectuer des examens de code. L’objectif est de découvrir si une vulnérabilité est apparue après la mise à jour du logiciel.
Cette méthode est un moyen efficace de détecter certaines vulnérabilités au sein du réseau, mais elle n’est pas à toute épreuve. Certaines vulnérabilités peuvent rester dans le réseau même après l’utilisation du scanneur de vulnérabilités.
Même après que l’analyseur a détecté une vulnérabilité, les hackers pourraient encore tenter leur chance pour infecter le système par le biais de la vulnérabilité. Après la découverte de telles vulnérabilités, il est important de nettoyer le code et de le réviser pour empêcher les hackers d’exploiter les vulnérabilités.
La gestion des correctifs
La gestion des correctifs est la mesure la plus courante prise par les entreprises lorsqu’elles découvrent une vulnérabilité du système. Lorsque la vulnérabilité est analysée et découverte, l’étape suivante consiste à obtenir des correctifs logiciels pour la vulnérabilité.
Cependant, cette méthode est le plus souvent utilisée pour minimiser l’étendue des dommages causés aux systèmes après une attaque, plutôt que de stopper une attaque. Dans de nombreux cas, les correctifs de sécurité n’interviennent pas immédiatement après une attaque. Parfois, l’attaquant peut avoir compromis certaines données avant que le correctif ne soit développé. Mais avec le correctif, l’organisation peut bloquer toute exposition supplémentaire du réseau.
Cette approche pourrait fonctionner correctement pour d’autres formes d’attaques DDoS, mais elle est inappropriée pour les zero days car il peut falloir plus de temps pour obtenir un patch pour une attaque zero day. Plus le fournisseur met de temps à trouver un correctif, plus le réseau compromis reste exposé. C’est pourquoi les zero days sont l’une des formes les plus dangereuses de cyber-attaques dans le monde.
Assainissement et vérifications des entrées
Lorsqu’il s’agit de bloquer les attaques zero day, l’une des méthodes les plus efficaces est connue sous le nom de validation d’entrée. Il s’agit d’une approche proactive qui permet de tenir le hacker à l’écart.
L’organisation peut installer un pare-feu d’application web (WAF) sur son réseau. Le principal objectif du pare-feu est d’examiner minutieusement tout le trafic entrant susceptible d’explorer les failles de sécurité. Il filtre également les entrées malveillantes qui sont envoyées pour explorer les faiblesses du réseau. Dès que le pare-feu découvre une activité suspecte sur une ligne de trafic, il bloque immédiatement le trafic. Ce type de contrôle de sécurité pourrait parfois faire fuir le trafic authentique, mais il s’agit d’une méthode éprouvée pour maintenir le trafic malveillant hors de portée.
Par conséquent, l’attaquant ne sera pas en mesure de découvrir les vulnérabilités, même si elles existent.
La validation des données est plus efficace que les méthodes d’analyse de la vulnérabilité et de gestion des correctifs pour prévenir une attaque zero day. Lorsque les organisations appliquent des correctifs à leurs systèmes et assainissent leurs codes, la validation des données assure la protection et la couverture de l’organisation jusqu’à ce que l’analyse de vulnérabilité soit terminée.
Ainsi, si l’analyse de vulnérabilité et la gestion des correctifs sont deux moyens importants de sécuriser votre réseau, ils ne constituent pas le meilleur moyen de bloquer une attaque zero day. Mais grâce au travail de protection du logiciel WAF, le trafic malveillant ne sera pas autorisé à accéder au système tant que la vulnérabilité n’aura pas été corrigée.
Il existe différents types de logiciels de pare-feu WAF que les entreprises peuvent utiliser pour renforcer leur sécurité contre le trafic zero day malveillant.
Stratégies pour bloquer les attaques DDoS
Bien qu’il soit important de déployer un système automatisé pour répondre aux attaques, il est également vital d’utiliser des stratégies qui peuvent assurer une disponibilité régulière des services aux véritables utilisateurs.
Ces stratégies comprennent la réputation, la reconnaissance des modèles et le suivi des anomalies.
Stratégie de réputation
Il s’agit d’une stratégie de blocage basée sur la source qui utilise les renseignements sur les menaces fournis par les chercheurs du réseau de zombies DDoS. Elle permet également d’obtenir des informations et d’examiner les données provenant de millions de serveurs vulnérables utilisés dans des attaques par amplification réfléchies. Elle conserve les enregistrements de toutes les adresses IP dont les chercheurs en sécurité ont découvert qu’elles étaient utilisées par les acteurs de la menace pour mener des attaques de type zero day et DDoS.
Une fois que le système recueille les données de renseignement, il les utilise pour bloquer toute adresse IP de sa base de données qui a été utilisée précédemment pour des attaques DDoS.
Suivi de l’anomalie
Cette stratégie est utilisée pour observer régulièrement le trafic, pour découvrir quel trafic est normal et lequel doit être considéré comme une menace.
Fondamentalement, un système de défense peut analyser le taux de requête ou le débit de données de différentes caractéristiques pour découvrir quel trafic est authentique et lequel constitue une menace pour le réseau. Le système de défense peut découvrir un trafic usurpé ou des robots lorsqu’ils ne sont pas capables de répondre aux demandes critiques.
La reconnaissance des modèles ou le pattern recognition
Ce type de stratégie fait appel à l’apprentissage machine pour découvrir des modèles de comportement bizarres couramment démontrés par les botnets DDoS et des modèles d’attaques en temps réel.
Chaque fois qu’une attaque DDoS ou une attaque zero day se produit, le système étudie les modèles utilisés ou déployés par le réseau de zombies pour infiltrer les systèmes. Il stocke ces informations et les utilise pour juger d’autres attaques potentielles.
Si l’algorithme d’apprentissage de la machine découvre un modèle unique entre le trafic actuel et une attaque précédente du réseau de zombies, il bloque complètement le trafic. C’est l’une des méthodes les plus efficaces pour prévenir les attaques zero day et DDoS car la plupart des botnets utilisés dans les attaques DDoS suivent des schémas similaires.
Conclusions
Une chose à propos de ces stratégies de blocage des DDoS est le fait qu’il s’agit de mesures sophistiquées et qu’elles nécessitent plus de capacités informatiques que la protection d’une destination aléatoire. Elles sont très efficaces pour les organisations qui veulent prévenir ou bloquer les attaques zero day et DDoS, mais qui autorisent le trafic d’utilisateurs légitimes.
Avec la forte augmentation des attaques DDoS sur les organisations, la protection des réseaux contre les attaques DDoS n’a jamais été aussi importante qu’aujourd’hui. Lorsque les organisations adoptent la bonne approche proactive et repèrent à temps les attaques potentielles, elles continuent à offrir des services sans interruption à leurs utilisateurs.
Vous devez être connecté pour poster un commentaire.