Les services Cloud, utilisés comme hôtes pour les attaques DDoS

article

DDoS (attaque par déni de service - Distributed Denial of Service Attack) continue de faire des ravages dans diverses entreprises, services et systèmes dans le monde entier. Cela devient plus intense au fur et à mesure de la création du botnet, et la maintenance devient de moins en moins coûteuse au fil des ans, grâce aux appareils intelligents infectés et à l'Internet des objets. Le centre d'opérations de sécurité de Link11 a révélé que le nombre de botnets utilisant un serveur de cloud public avait augmenté de 35% entre juillet 2017 et juin 2018.


Microsoft Azure est le service cloud le plus utilisé pour les attaques par DDoS, 38,7% de toutes les attaques par DDoS détectées proviennent d'un serveur Azure. Amazon Web Services arrive en deuxième position avec 32,7% des attaques. Les serveurs cloud Alibaba se situent au troisième rang avec 17,9%, tandis que les services cloud de Google ont été les moins utilisés avec 10,7%.


« Les personnes à l'origine des attaques DDoS adoptent les services de cloud public pour les mêmes raisons que les organisations légitimes: ces services offrent une capacité et des ressources flexibles et à la demande, et peuvent être configurés en quelques minutes. Pour les acteurs de la menace, les avantages sont encore plus probants, car ils utiliseront souvent les détails de cartes de crédit volées et de fausses identités pour payer les services. Cela rend les auteurs presque impossibles à localiser, même si des fournisseurs tels qu'Amazon prennent des mesures énergiques contre l'utilisation abusive et demandent aux utilisateurs de signaler tout abus présumé de leurs services », a expliqué Aatish Pattni, directrice régionale de Link11 pour le Royaume-Uni et l'Irlande .


Les attaques par déni de service sont une classe d'attaques initiées par un individu ou un groupe d'individus exploitant des aspects du protocole Internet pour empêcher d'autres utilisateurs d'accéder légalement à des systèmes et à des informations. Dans le passé, les attaques DoS étaient associées aux attaques SMURF, qui visaient les routeurs. Si un attaquant peut forcer un routeur à arrêter de transférer des paquets, tous les hôtes situés derrière le routeur sont effectivement déconnectés. Récemment, cependant, plusieurs formes d'attaques sont conçues pour attaquer des serveurs Web, des serveurs de messagerie et d'autres services.


DDOS est une combinaison d'attaques DoS organisées ou exécutées de concert par différents hôtes pour pénaliser l'hôte cible. DDoS est un terme inventé lorsque la source de l'attaque ne provient pas d'une source unique, mais de plusieurs sources. Les DDoS ne peuvent pas être éliminés en filtrant simplement les adresses IP source car ils sont souvent lancés à partir de plusieurs points installés avec des agents.


Les administrateurs réseau doivent s'adapter à la nouvelle norme, le BYOD (Apportez vos propres appareils) et l'IdO (Internet-of-Things), tout en conservant les systèmes actuels. Le BYOD est poussé par les travailleurs, car leurs appareils personnels sont généralement les appareils les plus pratiques avec lesquels ils peuvent travailler, à la place des machines de l'entreprise. Et avec leur périphérique BYOD, ils contournent la politique de sécurité stricte mise en place par l'équipe informatique, principalement via l'utilisation de la liste de contrôle d'accès mise en place par Windows Active Directory ou Linux Samba.


La surveillance du trafic réseau est hautement nécessaire, car un trafic anormalement élevé à long terme signifie que quelque chose est très actif sur les nœuds. Les entreprises doivent acquérir un équipement de surveillance réseau crédible et granulaire, l'utiliser pour une couverture 24h / 24 et 7j / 7 afin de détecter les pointes inattendues sur le réseau. Un trafic anormalement élevé pendant une période prolongée sur un réseau est discutable, le premier secours contre DDoS consiste à mettre le service hors ligne.