Table des matières de l'article :
Le paysage de la cybersécurité est en constante évolution et l’avènement du Cloud Computing a radicalement transformé non seulement les opportunités pour les entreprises, mais aussi les stratégies adoptées par les attaquants. Récemment, un cas nous a impliqué personnellement, montrant à quel point les attaques DDoS (Distributed Denial of Service) sont devenues sophistiquées et complexes.
Le cas d'un client en urgence
Un site e-commerce international vendant des produits virtuels, opérant sur différents marchés mondiaux, nous a contacté en situation d'urgence. La plateforme PrestaShop, hébergée sur une instance Cloud gérée par SiteGround, était sous attaque DDoS depuis plus de deux jours. Malgré les tentatives des techniciens pour atténuer l'attaque, le client s'est plaint d'un temps d'arrêt persistant et d'une dégradation significative des performances du site. L'impossibilité d'accéder aux privilèges root sur l'instance gérée et d'autres limitations de l'infrastructure ont empêché une réponse efficace et rapide.
En réponse, nous avons proposé une intégration rapide à notre infrastructure, offrant une stratégie d'atténuation à plusieurs niveaux.
La stratégie d’atténuation
Notre solution a été conçue avec une approche holistique, combinant des technologies avancées et des réglages personnalisés pour répondre à tous les niveaux de l'attaque :
Protection au niveau du réseau
Pour les attaques réseau (couche 3 du modèle OSI), nous nous sommes appuyés sur la protection automatique proposée par notre data center partenaire, basée sur la technologie NetScout d'Arbor Networks. Ce système a pu atténuer plus de 500 Gbit/s de trafic malveillant au cours des dix premières heures de l'attaque, démontrant une efficacité extraordinaire en minimisant les impacts sur le service client et en fournissant une protection de classe mondiale capable de gérer des pics encore plus intenses. La technologie NetScout d'Arbor Networks représente l'une des solutions les plus avancées pour atténuer les attaques DDoS. Intégrant des capacités de surveillance continue et d’analyse en temps réel, il est conçu pour identifier et neutraliser les menaces à l’échelle du réseau avec une précision extrême. Le système utilise des algorithmes avancés pour distinguer le trafic légitime du trafic malveillant, garantissant ainsi le bon déroulement des opérations commerciales. De plus, sa capacité à s'adapter à de grandes infrastructures le rend idéal pour les centres de données et les fournisseurs de cloud.
Défense de candidature
Les attaques d'applications (niveau 7) ont été contrecarrées grâce à la mise en œuvre d'un WAF (Web Application Firewall) de niveau entreprise fourni par Cloudflare. Nous avons choisi cette solution pour plusieurs raisons :
- Faibles coûts : Un choix avantageux par rapport aux solutions plus coûteuses, avec un rapport qualité-prix extrêmement compétitif.
- Flexibilité dans les règles : Cloudflare permet un contrôle granulaire des règles de filtrage et des politiques associées, permettant une personnalisation et une optimisation avancées de paramètres spécifiques, s'adaptant parfaitement à vos besoins.
- Rapports détaillés : Un système de surveillance avancé pour identifier les modèles d'attaques, offrant une vue claire et détaillée des tendances des menaces en temps réel et garantissant une réactivité inégalée.
Grâce au réglage initial, en quelques heures nous avons stabilisé le système, remettant le site en ligne sans problème de vitesse. Dans l'ensemble, nous avons réussi à atténuer plus de 7 milliards de requêtes HTTP en 24 heures, avec des pics à 800 millions de requêtes par heure, démontrant une capacité sans précédent à gérer des charges anormales de cette ampleur, tout en conservant une expérience utilisateur optimale pour les utilisateurs légitimes.
Outils locaux auto-hébergés
Nous avons mis en œuvre et configuré une série d'outils pour renforcer la sécurité et améliorer les performances du système. Voici les détails :
Fail2ban:
- Blocage en temps réel des adresses IP malveillantes identifiées via les journaux système.
- Réduction dynamique de la surface d'attaque grâce à l'analyse continue des tentatives d'accès non autorisées.
- Création automatique et constante de listes noires personnalisées en fonction des menaces détectées.
- Configurations optimisées pour différents services, tels que SSH, NGINX et Postfix, pour garantir une protection à 360 degrés.
Bloqueur de mauvais robots NGINX:
- Intégration d'un ensemble de règles avancées pour identifier et bloquer les robots connus qui consomment des ressources de manière inappropriée ou constituent une menace.
- Amélioration de la résilience globale du système en évitant les attaques par scraping ou par force brute par des robots d'exploration non autorisés.
- Mises à jour régulières des règles pour garder une longueur d'avance sur les nouvelles menaces émergentes.
- Charge du serveur réduite en empêchant les requêtes malveillantes.
Filtres spécifiques avec IPTables:
- Filtrage de niveau GEOIP, pour bloquer le trafic en provenance de pays considérés comme à risque ou non pertinents pour l'entreprise.
- Utiliser des règles basées sur ASN (Autonomous System Number), vous permettant d'exclure des blocs de réseau entiers gérés par des fournisseurs dont la réputation est compromise.
- Créez des règles granulaires pour filtrer les paquets en fonction de protocoles, de ports et d'adresses IP spécifiques, réduisant ainsi le risque d'attaques DDoS.
- Intégration avec des outils de surveillance pour analyser et adapter les règles en temps réel, maximisant la protection sans compromettre les performances du système.
Ces configurations améliorent non seulement la sécurité, mais contribuent également à réduire la charge sur les systèmes, garantissant ainsi une plus grande efficacité et stabilité opérationnelle.
Les données issues de l'attaque
L’analyse des rapports générés a révélé une tendance inquiétante et significative qui met en évidence la transformation radicale du paysage des attaques DDoS ces dernières années. Dans le passé, les principaux vecteurs d'attaque DDoS étaient représentés par les adresses IP des consommateurs, généralement liées aux connexions ADSL ou à des réseaux similaires, qui étaient massivement exploitées. Beaucoup de ces connexions provenaient de pays peu réglementés en matière de cybersécurité, comme la Chine, le Brésil, l’Iran, la Malaisie et la Russie. Ces régions ont constitué un terrain fertile pour les attaquants, grâce à une combinaison d'infrastructures moins sécurisées et de réglementations laxistes, permettant aux acteurs malveillants d'exploiter plus facilement ces réseaux pour générer du trafic malveillant.
Aujourd’hui, cependant, la situation semble avoir radicalement changé, avec un saut évolutif qui a déplacé les attaques vers des infrastructures plus avancées. La majorité des requêtes malveillantes ne proviennent plus de connexions grand public, mais plutôt d’instances hébergées sur des hyperscalers cloud commerciaux. Des fournisseurs tels qu’Oracle, Microsoft Azure, DigitalOcean, Vultr, OVH et Alibaba Cloud sont devenus les nouvelles plateformes de prédilection des attaquants. Ce changement est important, car il met en évidence la manière dont les acteurs de la menace exploitent l’énorme évolutivité et flexibilité de ces infrastructures pour lancer des attaques à grande échelle.
Un hyperscaler est un fournisseur d'infrastructure cloud conçu pour fournir des ressources de calcul, de stockage et de réseau de manière hautement automatisée et évolutive à l'échelle mondiale. Ces fournisseurs exploitent des centres de données répartis dans plusieurs régions géographiques, permettant aux utilisateurs d'accéder à des ressources virtualisées avec une latence minimale et une haute disponibilité. Grâce à des technologies avancées telles que l'équilibrage de charge, la virtualisation et l'optimisation énergétique, les hyperscalers garantissent une gestion efficace de la charge de travail, s'adaptant de manière dynamique aux besoins des clients, qu'il s'agisse de petites startups ou de grandes entreprises. Leur infrastructure contribue à réduire les coûts opérationnels et à accélérer l'innovation, en prenant en charge un large éventail d'applications, des simples sites Web aux systèmes complexes d'intelligence artificielle et d'analyse de mégadonnées.
Deux hypothèses principales
L’analyse des données suggère deux explications possibles :
- Instances compromises : Infrastructures hyperscaler, compte tenu de l'immensité des infrastructures hyperscaler et du nombre énorme d'instances actives, il est plausible que nombre d'entre elles soient vulnérables aux exploits ou aux configurations non sécurisées. Les attaquants pourraient utiliser ces actifs compromis comme tête de pont pour lancer des attaques à grande échelle. Cette approche non seulement augmente la complexité des opérations d'atténuation, mais rend également extrêmement difficile l'identification des véritables sources d'attaques, puisque le trafic malveillant est acheminé via des plateformes légitimes et distribuées.
- Approvisionnement malveillant : La nature flexible et évolutive du cloud, soutenue par un modèle de paiement à l'utilisation, donne aux attaquants la possibilité de créer et de détruire des instances virtuelles très rapidement. Cette dynamique permet à des groupes organisés de développer des scripts automatisés pour provisionner des instances dédiées aux attaques. Grâce à une coordination centralisée, ces attaquants peuvent orchestrer des opérations à grande échelle, minimisant ainsi les coûts opérationnels et maximisant l’efficacité des attaques. Ce type de stratégie introduit un niveau d’agilité opérationnelle jamais vu auparavant, qui remet en question les techniques traditionnelles de détection et de blocage. La combinaison de l’anonymat, de la vitesse et de la puissance de calcul accessible présente un défi sans précédent pour les défenseurs.
Implications pour l'avenir
Cette évolution du paysage des attaques DDoS soulève des questions importantes pour le secteur de la cybersécurité et du cloud computing :
Responsabilités des hyperscalers
Les hyperscalers du cloud doivent prendre des mesures plus strictes pour empêcher toute utilisation malveillante de leur infrastructure. Cela comprend :
- Surveillez de manière proactive les instances pour identifier les comportements anormaux, réduisant ainsi considérablement les risques d'abus à grande échelle et mettant en œuvre des systèmes de détection basés sur l'IA.
- Accent accru sur la sécurité de la configuration par défaut pour réduire les vulnérabilités, rendant plus difficile pour les attaquants l'exploitation des failles du système et empêchant l'escalade d'attaques à grande échelle.
- Collaborer avec des sociétés de sécurité pour atténuer les attaques en temps réel, créant ainsi un écosystème défensif plus robuste et plus efficace, capable de répondre rapidement aux menaces émergentes.
Stratégie défensive d'entreprise
Pour les entreprises, l’approche de la sécurité est à repenser :
- Solutions multi-niveaux : La combinaison des protections au niveau du réseau, des applications et local est essentielle pour faire face aux attaques complexes et ciblées, garantissant ainsi une couverture complète contre un large éventail de menaces.
- Collaboration avec des fournisseurs spécialisés : Les partenaires possédant une expertise en matière de sécurité et d'atténuation des attaques DDoS peuvent faire la différence dans les moments critiques, en garantissant une réponse rapide et efficace et en minimisant les temps d'arrêt.
- Préparation proactive : Réalisez des simulations d'attaques et testez les systèmes de défense avant que des situations réelles ne surviennent, améliorant ainsi la résilience globale de l'infrastructure et garantissant que les mesures sont toujours mises à jour face aux dernières menaces.
conclusion
Le cas abordé met en évidence un changement significatif dans la manière dont les attaques DDoS sont menées à l’ère du Cloud Computing. Si le cloud offre des avantages sans précédent en termes d’évolutivité et de flexibilité, il introduit également de nouvelles vulnérabilités que les attaquants sont prêts à exploiter.
Pour des entreprises comme la nôtre, spécialisées dans l'hébergement Linux et l'ingénierie système, il est essentiel de garder une longueur d'avance, en adaptant continuellement leurs stratégies de défense et en collaborant avec d'excellents partenaires technologiques. La sécurité n'est jamais statique, et seule une approche dynamique et proactive peut nous permettre de garantir la protection de nos clients dans un environnement de plus en plus complexe et exigeant, en instaurant une confiance durable grâce à la capacité de répondre efficacement aux défis de l'avenir.