Les mises à niveau du réseau profitent plus que jamais aux entreprises et aux particuliers dans leur expérience de connexion et dans la gestion de leurs activités, mais ouvrent également la porte à des vulnérabilités de sécurité massives et cela risque d’augmenter encore en 2023. Philippe Alcoy, spécialiste sécurité chez Netscout, nous explique pourquoi la suppression adaptative s’impose désormais comme approche cyber.
Ces dernières années, la montée en flèche de la demande en bande passante et en débit induite par le télétravail et l’augmentation des investissements dans les initiatives numériques a contribué à augmenter la charge de travail des équipes IT et réseau. Elle est également accentuée par un paysage de l’Internet des objets (IoT) en pleine expansion avec des milliards d’appareils. Qu’il s’agisse du déploiement d’une infrastructure modernisée ou de l’accélération de la 5G, les équipes réseau se sont montrées très performantes en matière de connectivité plus rapide et à fort volume. Les menaces en ligne et les malwares IoT continuent de se multiplier de manière exponentielle. Par exemple, selon les données du 1H 2022 Threat Intelligence Report publié par nos équipes de recherches, il existe plus de 500 000 appareils compromis infectés par des malwares IoT capables de lancer des attaques par déni de service distribué (DDoS). Il ressort également que 5,5 millions d’IP adverses distinctes ont attaqué nos clients au cours premier semestre 2022. Dans l’ensemble, la menace d’attaques DDoS par des malwares et des réseaux de botnets ne cesse de croître, et l’augmentation de la surface internet ne fait qu’aggraver les problèmes potentiels.
Changer sa posture et sa façon de penser
L’évolution de l’internet et de la topologie des réseaux mondiaux entraîne en effet des changements dans les vecteurs d’attaque et les méthodologies qui permettent aux attaquants DDoS de contourner les défenses et les contre-mesures traditionnelles. Et si l’on ajoute à cela l’augmentation de la bande passante et du débit que les opérateurs réseaux se sont employés à déployer, ainsi que l’augmentation des populations de dispositifs susceptibles d’être utilisés de manière abusive, on aboutit à un nouveau type de cyber-incidents DDoS massifs. En bref, ce qui a fonctionné pour les opérateurs réseaux par le passé n’est plus une solution viable à long terme. En 2023, ils devront changer leur façon de penser, s’adapter au nouveau paysage des menaces et passer d’une posture d’atténuation des attaques DDoS par défaut à un nouveau paradigme de suppression adaptative de ces dernières.
Une nouvelle défense poussée aux limites du reéseau
Ces approches imitent le modèle des attaques DDoS, elles-mêmes devenues adaptatives, au cours desquelles les adversaires effectuent une reconnaissance approfondie du terrain d’attaque en amont, afin d’identifier des vulnérabilités exploitables spécifiques. Les acteurs malveillants utilisent également des nœuds de botnet et des réflecteurs/amplificateurs qui sont topologiquement adjacents aux cibles, ce qui minimise les frontières administratives que le trafic des attaques DDoS doit traverser et réduit les possibilités de les arrêter. Une défense adaptative contre les attaques DDoS pousse ainsi la défense jusqu’aux limites du réseau. Les équipes IT peuvent alors supprimer le trafic d’attaque DDoS dès qu’il pénètre à l’intérieur du réseau, à n’importe quel endroit, et l’arrêter avant qu’il ne s’étende à grande échelle. Face aux nouvelles formes de cyberattaques et aux mutations des techniques employées par les hackers, les opérateurs réseaux devront anticiper encore davantage les menaces. L’une des priorités en 2023 sera notamment de déployer des systèmes adaptatifs de suppression des attaques DDoS pour surpasser les techniques de compromission en vigueur et garder autant que possible une longueur d’avance sur les adversaires.