Protéger les institutions financières des attaques DDoS

Par Spencer Young Publié le 3 septembre 2018 à 6h55
Attaques Ddos Entreprises Piratage Informatique
54,3%Selon les donnes d'Imperva, les sites américains et hong-kongais rassemblent 54,3% de l'ensemble des attaques DDOS.

Les attaques par déni de service distribué (DDoS) constituent une préoccupation majeure pour de nombreuses entreprises et ont récemment causé d’importants dommages dans des organisations parmi les plus équipées en technologie de sécurité, allant jusqu’à bloquer leurs activités. En février dernier, les pirates ont lancé une salve d’attaques DDoS contre de nombreuses banques et agences gouvernementales néerlandaises. À peine un mois plus tard, le site web GitHub a été victime de la plus vaste attaque DDoS jamais perpétrée au monde, qui a paralysé l’ensemble de ses opérations.

Les attaques DDoS sont puissantes et continuent de représenter une menace de taille pour les entreprises et les organismes administratifs sur Internet. Pour les institutions financières, se protéger de telles attaques est également devenu un impératif de sécurité. Les organismes financiers représentent une cible de choix pour les attaques DDoS. Au 4e trimestre 2017, le secteur des services financiers a d’ailleurs pris la quatrième position sur la liste des secteurs les plus ciblés en termes de nombre d’attaques.

Les attaques ciblées et par botnet ralentissent les temps de réponse des pages web et empêchent les clients d’accéder à leurs sites de gestion de compte bancaire et d’opérations boursières. Les attaques sont également utilisées comme moyen de diversion par les hackers pour compromettre des données sensibles, effectuer des opérations frauduleuses et voler des données financières et privées.

Si le risque d’une attaque DDoS continue de peser sur les sites web et les ressources de serveur réseau, les institutions financières peuvent mettre en place différentes mesures pour neutraliser de telles attaques.

Sur-provisionner la bande passante pour absorber les pics d’activité liés aux attaques DDoS

Le sur-provisionnement de bande passante est l’une des mesures les plus couramment utilisées pour contrer les attaques DDoS, mais il s’agit probablement aussi de l’une des plus coûteuses, le trafic malveillant pouvant se révéler bien plus volumineux que le trafic Internet standard. Une autre mesure consiste à adopter un service de sécurité qui est conçu pour absorber et filtrer le trafic DDoS, mais également pour bloquer les attaques massives sans perturber les connexions Internet des entreprises.

Surveiller le trafic réseau et applicatif

Le meilleur moyen de détecter une attaque consiste à surveiller de près le trafic associé au réseau et aux applications. Lorsqu’une application devient moins performante, vous pouvez alors déterminer si le problème provient d’une défaillance au niveau du fournisseur de services ou d’une attaque DDoS. En surveillant le trafic, les entreprises peuvent également isoler les attaques du trafic légitime. Les administrateurs de la sécurité doivent pour cela analyser les niveaux de trafic, les performances des applications, les comportements anormaux, les violations de protocole et les codes d’erreur des serveurs web. Les attaques DDoS utilisant presque systématiquement des botnets, les outils de sécurité doivent être capables de faire la distinction entre les utilisateurs légitimes et le trafic robot. Grâce à une analyse précise du trafic réseau et applicatif, les administrateurs de la sécurité informatique bénéficient d’une visibilité en temps réel sur l’état des attaques DDoS.

Identifier et bloquer les utilisateurs malveillants

Deux méthodes permettent d’identifier le trafic DDoS. La première consiste à identifier les utilisateurs malveillants, et la seconde à identifier les requêtes malveillantes. Dans le cadre d’un trafic DDoS applicatif, la première méthode est souvent la plus efficace pour neutraliser les attaques. Les utilisateurs malveillants peuvent être identifiés de différentes manières :

- Identifier les sources d’attaque connues, telles que les adresses IP malveillantes qui ciblent de manière active d’autres sites web et identifient les réseaux TOR et les proxys anonymes : les sources d’attaque connues représentent un fort pourcentage des attaques DDoS. Toutefois, les entreprises doivent disposer d’une liste actualisée des sources malveillantes actives qui ne cessent d’évoluer.

- Identifier les agents robots connus : les attaques DDoS sont presque toujours exécutées via un client automatisé. Nombre de ces clients, ou agents robots, présentent des caractéristiques uniques qui les distinguent des agents de navigateur web légitimes. Les outils capables de détecter ces agents robots peuvent donc neutraliser de nombreux types d’attaques DDoS.

- Effectuer des tests de validation pour déterminer si un internaute est un humain ou un robot : Par exemple, si le navigateur utilisé par l’internaute peut accepter les cookies, exécuter des calculs JavaScript ou traiter des requêtes de redirection HTTP, il s’agit probablement d’un véritable navigateur et non d’un script robot.

- Restreindre l’accès selon des critères géographiques : Dans le cas de certaines attaques DDoS, la majorité du trafic malveillant peut provenir d’un même pays ou d’une région spécifique. Bloquer les requêtes provenant de pays « indésirables » peut donc permettre de neutraliser facilement une grande partie du trafic DDoS.

Identifier et bloquer les requêtes malveillantes

Les attaques DDoS applicatives imitent le comportement des applications web légitimes, ce qui les rend difficiles à détecter via les solutions de sécurité réseau classiques. Toutefois, en combinant des mesures de contrôle au niveau des applications à des systèmes de détection des menaces, les entreprises seront plus à même d’identifier et de neutraliser le trafic malveillant. Plusieurs mesures peuvent être mises en place :

- Détecter un nombre excessif de requêtes provenant d’une même source ou d’une même session utilisateur : bien souvent, les sources d’attaques automatisées accèdent plus rapidement aux pages web que les utilisateurs légitimes.

- Éviter les attaques DDoS réseau et applicatives connues : de nombreux types d’attaques DDoS utilisent des techniques réseau simples telles que l’envoi de paquets fragmentés, l’usurpation et des processus de connexion TCP incomplets. Les attaques plus sophistiquées, telles que les attaques de niveau applicatif, tentent quant à elles de surcharger les ressources des serveurs. Ces attaques peuvent être détectées en recherchant les comportements utilisateur anormaux et les signatures d’attaques applicatives connues.

- Identifier les attributs et les conséquences d’une requête malveillante : il est possible de détecter certaines attaques DDoS à partir de signatures ou de schémas d’attaque connus. Bien souvent, les requêtes HTTP utilisées par les attaques DDoS ne respectent pas les normes du protocole HTTP. L’attaque Slowloris, par exemple, utilise des en-têtes HTTP redondantes. Des clients DDoS peuvent également envoyer des requêtes d’accès à des pages web qui n’existent pas. Les attaques peuvent par ailleurs générer des erreurs au niveau des serveurs web ou ralentir les temps de réponse de ces serveurs.

Si les attaques DDoS représentent une menace de taille pour les institutions financières, ces dernières disposent cependant de nombreux moyens pour s’en protéger. En adoptant les mesures décrites précédemment, les entreprises pourront plus facilement identifier et neutraliser les vraies attaques DDoS avant même que celles-ci impactent leurs opérations.

Spencer Young est Vice-Président de la region EMEA chez Imperva.

Aucun commentaire à «Protéger les institutions financières des attaques DDoS»

Laisser un commentaire

* Champs requis