Se protéger contre la hausse du nombre d'attaques DDoS sur la couche applicative
Améliorer la résilience de vos applications grâce à une stratégie articulée autour de trois piliers
Les attaques par déni de service distribué (DDoS) figurent désormais parmi les menaces les plus courantes envers la couche applicative. Or, ces menaces ne cessent d'augmenter en taille. Elles submergent les serveurs et les ressources réseau sous un flot de requêtes tellement massif qu'elles peuvent ralentir les logiciels, voire bloquer totalement ces derniers, et ainsi entraîner l'arrêt des opérations essentielles. Les attaques DDoS représentent aujourd'hui une part importante de l'ensemble des attaques à l'encontre du trafic des applications web. Elles totalisent de fait 37 % du trafic cumulé sur la couche applicative que Cloudflare a considéré comme malveillant et bloqué en 2024.
Il devient malheureusement de plus en plus facile pour les cybercriminels de lancer des attaques DDoS sur la couche applicative. Les pirates tirent sans cesse parti de nouveaux outils et adoptent en permanence de nouvelles tactiques pour rationaliser leurs activités malveillantes. La mise à disposition de services à la demande conçus pour « booster » les attaques DDoS et proposer des scripts hostiles soutenus par IA, par exemple, ont abaissé les conditions de mise en œuvre pour les acteurs malveillants. Les cybercriminels peuvent désormais lancer des attaques bien plus rapidement et à moindre coût. Ces derniers produisent également des attaques de plus grande ampleur et d'une plus grande sophistication, comme le montrent les nouveaux événements records que nous constatons chaque trimestre.
En parallèle, les cybercriminels améliorent leurs capacités à localiser leurs cibles et à se soustraire aux mesures de détection. Les acteurs malveillants sont ainsi de plus en plus rompus à l'utilisation de techniques de reconnaissance pour identifier les API vulnérables, par exemple. De même, ils mettent à profit leurs botnets afin d'imiter le comportement réel des utilisateurs et de contourner les outils de sécurité.
Les DSI des principales entreprises à travers le monde ont défini le renforcement des protections contre les attaques DDoS sur la couche applicative comme une priorité absolue. Pour contrer ces attaques, les équipes de sécurité doivent tout d'abord comprendre leur fonctionnement, les raisons pour lesquelles ces menaces se révèlent si difficiles à détecter et l'incidence que ces dernières peuvent avoir sur leur entreprise. Les équipes peuvent ensuite déployer un cadre stratégique doté des fonctionnalités essentielles et nécessaires au blocage des attaques et à l'amélioration de la résilience.
Comprendre l'évolution des menaces visant la couche applicative
Les attaques DDoS sur la couche applicative (également connue sous le nom de couche 7) adoptent une approche plus ciblée que les attaques DDoS classiques sur le réseau (couches 3 ou 4). Là où les attaques réseau tentent d'entraîner une perturbation généralisée, les attaques DDoS sur la couche applicative se concentrent sur la perturbation des flux de travail et des services essentiels à l'activité des entreprises. Elles peuvent ainsi viser les pages de connexion, les API ou les passerelles de paiement afin de tenter de perturber une fonctionnalité particulière, sans nécessairement affecter l'ensemble de l'infrastructure réseau.
Les attaques sur la couche applicative constituent également des événements de plus faible volume que les attaques réseau. Elles sont conçues pour apparaître comme des événements « normaux », respectant les protocoles des applications. Les acteurs malveillants peuvent ainsi concevoir des requêtes qui paraissent valides, comme des tentatives de connexion ou des requêtes de recherche, par exemple, mais dont la finalité est de surcharger des composants logiciels spécifiques. Les attaques peuvent également transmettre de petites quantités de trafic malveillant sur une longue période afin d'éviter la détection. Les attaques de type « low-and-slow » (lentes et de faible intensité) ont pour objectif de submerger le serveur ou la base de données qui soutient l'application en consommant diverses ressources, comme les cycles CPU, la mémoire et les connexions à la base de données.
C'est cette approche de faible volume qui contribue à rendre les attaques sur la couche applicative particulièrement difficiles à détecter. Ces attaques s'affranchissent ainsi des défenses réseau traditionnelles reposant sur des seuils de volume de trafic. Une solution d'atténuation efficace nécessite la mise en place d'une stratégie adaptative qui analyse la qualité, le contexte et l'intention du trafic, au-delà de la simple mesure de la quantité de trafic.
Identifier les vecteurs d'attaque courants et les techniques fréquemment employées
Les cybercriminels font appel à plusieurs techniques pour s'attaquer à la couche applicative. Certains prennent différents éléments et vulnérabilités pour cible, tandis que d'autres adoptent une approche plus distincte pour submerger les serveurs. Voici les six techniques les plus courantes :
Attaques par flood HTTP/HTTPS : ce type d'attaque submerge les serveurs web sous un volume élevé de requêtes HTTP GET ou POST, qui consomme des ressources et finit par entraîner une situation de déni de service pour les utilisateurs légitimes.
Attaques par flood de requêtes DNS : certains acteurs malveillants peuvent inonder les services sous un flot de requêtes DNS afin de provoquer des défaillances en cascade et d'entraîner l'indisponibilité de tous les logiciels et services dépendants.
Attaques « low-and-slow » : ces attaques, dont Slowloris et R.U.D.Y. sont de bons exemples, établissent et maintiennent des connexions lentes et incomplètes, dotées d'une consommation de bande passante minimale, afin d'épuiser les ressources du serveur tout en échappant à la détection.
Attaques spécifiques aux API : suite à l'essor des architectures orientées API, les cybercriminels ciblent de plus en plus certains points de terminaison d'API spécifiques pour provoquer la mise hors ligne d'un service.
Exploitation des vulnérabilités des applications : certaines attaques, comme l'injection SQL et le cross-site scripting (XSS) peuvent également exploiter les vulnérabilités pour dérober des données ou compromettre les systèmes.
Techniques émergentes : les acteurs malveillants continuent de développer de nouvelles tactiques, comme celle mise en œuvre lors de la vague d'attaques HTTP/2 Rapid Reset lancées il y a quelques années. Les pirates d'aujourd'hui font également appel à des botnets qui font appel à diverses techniques (randomiser les mouvements de la souris, conserver les cookies de session, varier les en-têtes de requête et ouvrir plusieurs pages sur un site, par exemple) afin d'imiter le comportement humain et d'échapper aux mesures de détection avant une attaque.
Certaines de ces techniques estompent la frontière entre les attaques DDoS et les tactiques plus générales employées à l'encontre de la couche applicative : on les retrouve tout aussi bien dans les tentatives d'exfiltration de données que de déni de service. Afin de lutter contre ces menaces, les entreprises doivent intégrer leur stratégie de défense anti-DDoS à la stratégie de sécurité globale de leurs applications.
Concevoir une stratégie pour bloquer les attaques sur la couche applicative
La protection contre les attaques DDoS sur la couche applicative nécessite une approche sophistiquée et multifacettes qui va au-delà des mesures de défense anti-DDoS traditionnelles, basées sur le volume. Cette approche doit combiner des fonctionnalités de détection avancées, des mesures de prévention et d'atténuation, ainsi qu'une architecture de sécurité adaptative.
Fonctionnalités de détection avancées
Les stratégies de détection modernes doivent pouvoir percer à jour les efforts de mimétisme déployés par les acteurs malveillants. Les solutions d'analyse comportementale des utilisateurs et des entités (UEBA, User and Entity Behavior Analytics) commencent par établir une base de comportements « normaux » par le biais d'une surveillance continue du trafic applicatif. Ces solutions appliquent ensuite des fonctions d'analyse comportementale et d'apprentissage automatique (Machine Learning) afin d'identifier les anomalies susceptibles de révéler la présence d'une attaque. La surveillance en temps réel des indicateurs de performances des applications (l'utilisation du processeur et la consommation de mémoire, par exemple) peut également mettre en lumière certains signes avant-coureurs d'une attaque.
Les entreprises doivent compléter ces fonctionnalités par un ensemble d'informations sur les menaces en temps réel et issues de vastes réseaux cloud mondiaux. Les équipes peuvent également identifier et bloquer les adresses IP ou les botnets malveillants de manière préventive à l'aide d'un pare-feu applicatif web (WAF, Web Application Firewall).
Prévention et atténuation
Au-delà de la seule détection, les entreprises doivent également mettre en œuvre diverses tactiques de prévention et d'atténuation pour améliorer leur résilience logicielle. Le contrôle intelligent du volume des requêtes, par exemple, empêche l'épuisement des ressources par un nombre de requêtes excessif. Les pare-feu WAF filtrent et bloquent le trafic malveillant, tandis que les passerelles de sécurité des API filtrent les appels malveillants aux API. Le déploiement d'un modèle Zero Trust permet de réduire la surface d'attaque et de contrôler l'accès aux applications, même en cas de compromission des identifiants utilisateur.
Pour atténuer les attaques, les entreprises peuvent déployer un CDN (Content Delivery Network, réseau de diffusion de contenu) qui permet de réduire le nombre de pannes en distribuant le contenu applicatif à l'échelle mondiale et en absorbant le trafic hostile à la périphérie du réseau. Une solution d'équilibrage de charge permet de répartir le trafic sur plusieurs serveurs afin d'éviter qu'un seul d'entre eux ne se retrouve surchargé, tandis que la mise à l'échelle automatique alloue les ressources de manière dynamique en fonction de la demande de trafic afin de garantir une capacité suffisante lors d'une attaque.
Architecture de sécurité adaptative
Les acteurs malveillants ne restent pas inactifs. Ils continuent de développer de nouvelles techniques et adoptent sans cesse de nouveaux outils conçus pour les aider à contourner les mesures de défense. Les entreprises ont besoin d'une architecture de sécurité adaptative non seulement capable d'apprendre de ces menaces en évolution constante, mais également de prédire les attaques et d'y répondre de manière autonome.
Essentielles à la résilience DDoS, les informations sur les menaces peuvent faire évoluer votre protection d'une approche réactive à une approche prédictive. En traitant les données sur les schémas d'attaques mondiaux, les services d'information sur les menaces permettent aux entreprises d'anticiper les vecteurs émergents (comme les nouvelles techniques d'amplification ou les campagnes lancées par les hacktivistes, par exemple) et de renforcer proactivement leurs défenses. Ces informations proposent entre autres des listes d'adresses IP malveillantes en temps réel afin d'assurer un blocage immédiat, guident les politiques granulaires de contrôle du volume des requêtes et permettent aux équipes de sécurité de distinguer rapidement les perturbations liées aux attaques DDoS des vols de données ciblés afin de mettre en place une réponse spécifique et efficace qui protège à la fois la disponibilité des services et l'intégrité des données essentielles.
L'intelligence artificielle (IA) et l'apprentissage automatique (Machine Learning) s'imposeront comme des composantes essentielles de cette architecture adaptative. Les outils basés sur l'IA et le ML analysent de vastes quantités de données réseau afin de mettre en lumière des schémas d'attaque subtils et des anomalies que les systèmes traditionnels pourraient manquer. Les informations permettent également aux outils de tirer des enseignements de chaque nouvelle attaque et d'appliquer de nouvelles politiques ou de nouvelles règles afin d'atténuer les menaces en quelques secondes.
Les équipes chargées de la sécurité doivent également mettre en place des processus agiles. La mise en œuvre d'un plan de réponse aux incidents et la conduite de simulations d'attaques DDoS réalistes sont ainsi essentielles pour identifier les vulnérabilités et valider les procédures d'atténuation. Ces plans et ces simulations se doivent d'évoluer lorsque les acteurs malveillants changent de techniques et que les entreprises identifient des vulnérabilités au sein de leurs applications.
Bloquer les attaques DDoS sur la couche applicative
Le cloud de connectivité Cloudflare propose une gamme complète de services cloud-native permettant de se protéger contre les attaques DDoS, notamment celles qui visent la couche applicative. Notre protection contre les attaques DDoS, par exemple, tire parti de la capacité de 449 Tbps Tb/s du réseau Cloudflare afin d'atténuer toutes les attaques DDoS, même les plus volumineuses, sans ralentir les performances de vos applications. Nos fonctionnalités UEBA basées sur l'apprentissage automatique vous permettent de détecter les comportements inhabituels, révélateurs de la présence d'une menace, tandis que notre service WAF bloque les attaques en temps réel. L'intégration complète de ces fonctionnalités au sein d'une plateforme unique permet à votre équipe de mettre un coup d'arrêt aux attaques sur la couche applicative et d'améliorer la résilience, sans ajouter de complexité.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions qui affectent les décideurs en matière de technologies aujourd'hui.
Approfondir le sujet
Notre e-book intitulé 5 considérations essentielles pour atténuer les attaques DDoS vous permettra de découvrir diverses techniques à mettre en œuvre pour protéger votre entreprise contre les attaques DDoS à l'encontre de la couche applicative et du réseau.
Auteur
Gregory Van den Top — @gregoryvdtop
Field CSO, Cloudflare
Conclusions essentielles
Cet article vous permettra de mieux comprendre les aspects suivants :
Les derniers vecteurs d'attaques DDoS sur la couche applicative et les techniques les plus récentes
Les raisons pour lesquelles les attaques sur la couche applicative se révèlent difficiles à détecter
La conception d'une stratégie à trois piliers pour se protéger contre les attaques DDoS