Une attaque par déni de service distribué (DDoS) n’a rien de drôle ; elle inonde votre réseau de trafic malveillant, mettant vos applications hors service et empêchant les utilisateurs légitimes d’accéder à votre service. Les attaques DDoS entraînent fréquemment des pertes de ventes, des paniers abandonnés, des dommages à la réputation et des utilisateurs mécontents.
La première partie de cette série de blogs a abordé certaines des mesures à prendre pour se préparer à une attaque par déni de service distribué (DDoS) avant qu’elle ne se produise. Ce post abordera ce qu’il faut faire maintenant que vous subissez une attaque.
Bien que vous ne puissiez pas contrôler quand vous pourriez subir une attaque, suivre les étapes décrites ci-dessous peut vous aider à minimiser l’impact de l’attaque, vous mettre sur la voie de la récupération et vous aider à empêcher que cela ne se reproduise.
Alerter les parties prenantes clés
On dit souvent que la première étape pour résoudre un problème est dereconnaître que vous en avez un. À cette fin, vous devez alerter les parties prenantes clés au sein de l’organisation en expliquant que vous êtes attaqué, et quelles mesures sont prises pour l’atténuer.
Les exemples de parties prenantes clés comprennent le CISO de l’organisation, le centre d’opérations de sécurité (SOC), le directeur informatique du réseau, les responsables des opérations, les responsables commerciaux des services affectés, et ainsi de suite.
Comme vous aurez probablement les mains pleines pour combattre l’attaque, il est probablement préférable de garder cette alerte courte et directe.
Les informations clés – dans la mesure où vous les avez – devraient inclure :
- Ce qui se passe
- Quand l’attaque a commencé
- Quels actifs (applications, services, serveurs, etc.) sont impactés
- Impact sur les utilisateurs et les clients
- Quelles mesures sont prises pour atténuer l’attaque
Tenir les parties prenantes informées à mesure que l’événement se développe, et/ou que de nouvelles informations sont disponibles. Tenir les principales parties prenantes informées en permanence permettra d’éviter la confusion, l’incertitude et la panique, et aidera à coordonner les efforts pour mettre fin à l’attaque.
Notifiez votre fournisseur de sécurité
En tandem avec la notification des parties prenantes au sein de votre organisation, vous voudrez également alerter votre fournisseur de sécurité, et lancer toute mesure de son côté pour vous aider à faire face à l’attaque.
Votre fournisseur de sécurité peut être votre fournisseur de services Internet (FSI), votre fournisseur d’hébergement Web ou un service de sécurité dédié.
Chaque type de fournisseur a des capacités et une portée de service différentes. Votre FAI pourrait aider à minimiser la quantité de trafic réseau malveillant atteignant votre réseau, tandis que votre fournisseur d’hébergement Web pourrait vous aider à minimiser l’impact des applications et à faire évoluer votre service. De même, les services de sécurité auront généralement des outils dédiés spécifiquement au traitement des attaques DDoS.
Même si vous n’avez pas déjà un accord prédéfini pour le service, ou si vous n’êtes pas abonné à leur offre de protection DDoS, vous devriez néanmoins les contacter pour voir comment ils peuvent vous aider.
Activer les contre-mesures
Si vous avez des contre-mesures en place, c’est le moment de les activer.
Une approche consiste à mettre en œuvre des listes de contrôle d’accès (ACL) basées sur l’IP pour bloquer tout le trafic provenant de sources d’attaque. Cela se fait au niveau du routeur du réseau, et peut généralement être géré soit par votre équipe réseau, soit par votre FAI. C’est une approche utile si l’attaque provient d’une source unique ou d’un petit nombre de sources d’attaque. Cependant, si l’attaque provient d’un grand pool d’adresses IP, alors cette approche peut ne pas être utile.
Si la cible de l’attaque est une application ou un service basé sur le Web, alors vous pouvez également essayer de limiter le nombre de connexions simultanées de l’application. Cette approche est connue sous le nom de limitation de débit, et est fréquemment l’approche privilégiée par les fournisseurs d’hébergement web et les CDN. Notez cependant que cette approche est sujette à des degrés élevés de faux positifs, car elle ne peut pas distinguer le trafic malveillant du trafic légitime des utilisateurs.
Des outils de protection DDoS dédiés vous donneront la plus large couverture contre les attaques DDoS. Les mesures de protection DDoS peuvent être déployées soit sous la forme d’une appliance dans votre centre de données, soit sous la forme d’un service d’épuration basé sur le cloud, soit sous la forme d’une solution hybride combinant un dispositif matériel et un service cloud.
Dans l’idéal, ces contre-mesures entreront en action immédiatement dès qu’une attaque sera détectée. Cependant, dans certains cas, ces outils – tels que les dispositifs matériels hors chemin ou les services d’atténuation à la demande activés manuellement – pourraient nécessiter que le client les initie activement.
Comme mentionné ci-dessus, même si vous n’avez pas de solution de sécurité dédiée en place, la plupart des services de sécurité permettent un embarquement d’urgence pendant une attaque. Cette prise en charge s’accompagne souvent d’un coût élevé ou de l’obligation de s’abonner au service ultérieurement. Cependant, cela peut être nécessaire si vous n’avez pas d’autre option.
Surveiller la progression de l’attaque
Pendant toute la durée de l’attaque, vous devez surveiller sa progression pour voir comment elle se développe dans le temps.
Certaines des questions clés à essayer d’évaluer pendant ce temps :
- De quel type d’attaque DDoS s’agit-il ? S’agit-il d’une inondation au niveau du réseau ou d’une attaque au niveau de la couche application ?
- Quelles sont les caractéristiques de l’attaque ? Quelle est l’ampleur de l’attaque (à la fois en termes de bits par seconde et de paquets par seconde) ?
- L’attaque provient-elle d’une source IP unique, ou de plusieurs sources ? Pouvez-vous les identifier ?
- Comment se présente le modèle d’attaque ? S’agit-il d’une seule inondation soutenue, ou d’une attaque en rafale ? Implique-t-il un seul protocole, ou plusieurs vecteurs d’attaque ?
- Les cibles de l’attaque restent-elles les mêmes, ou les attaquants changent-ils de cible au fil du temps ?
Suivre la progression de l’attaque vous aidera également à ajuster vos défenses.
Évaluer les performances de la défense
Enfin, alors que l’attaque se développe, et que voscontre-mesures sont déployées, vous devez mesurer leur efficacité continue.
La question ici est simple : Les défenses fonctionnent-elles ou le trafic d’attaque passe-t-il ?
Votre fournisseur de sécurité doit vous fournir un document SLA (Service LevelAgreement) qui engage ses obligations de service. Deux des métriques les plus importantes de ce document sont le Time-to-Mitigate (TTM) et laConsistency-of-Mitigation.
- Le Time-to-Mitigate mesure la rapidité avec laquelle votre fournisseur s’engage à stopper l’attaque.
- La métrique Consistency-of-Mitigation, quant à elle, mesure la qualité de l’arrêt de l’attaque. Cette métriqueest généralement définie comme le ratio du trafic malveillant qui est autorisé à traverser votre réseau.
Si vous constatez que votre sécurité ne respecte pas son obligation SLA – ou pire – n’est pas en mesure d’arrêter l’attaque du tout, c’est également le moment d’évaluer si vous devez effectuer un changement.
Téléchargez le » Hackers Almanac » de Radware pour en savoir plus.
Téléchargez maintenant
.