Haute fréquence, longue durée, attaques répétitives utilisant des outils DDoS « à louer » sont de plus en plus répandues, expliquant la chute de leur coût de mise en oeuvre.
Imperva, Inc., dédié à la protection des données des entreprises et des applications critiques sur site et dans le cloud,publie son Rapport mondial trimestriel sur les tendances DDoS. Les conclusions du rapport sont basées sur plus de 3 000 attaques DDoS désamorcées et 60 millions de bot bloqués sur les sites protégés par Incapsula. On observe une fréquence particulièrement élevée et une longue durée des attaques DDoS qui ont ciblé les entreprises entre le 1er Mars et le 7 mai 2015.
Le rapport s’est également intéressé aux attaques DDoS qui commencent à ressembler aux menaces persistantes avancées (APT), de par leur longue durée, leur répétition ainsi que par l’évolution de leurs vecteurs d’attaques pour l’évasion contre les systèmes de défense basés sur les signatures. D’autre part, nous avons remarqué l’utilisation de services de botnet peu coûteux pour mener des attaques. Avec des solutions disponibles pour moins de 19,99 $ par mois, et payables en ligne avec des Bitcoin, les freins pour monter des campagnes d’attaques ont considérablement diminué.
Les principaux enseignements du rapport :
- Certaines entreprises font face à des attaques DDoS persistantes avancées. L’attaque la plus longue observée durant l’enquête était de 64 jours, avec de nombreuses autres tentatives pour faire tomber les sites visés. Les chercheurs ont également noté un changement dans les populations de bot DDoS, avec de plus en plus de robots imitant les identités pour contourner de manière simple les solutions de sécurité basées sur les signatures. La longue durée ainsi que les méthodes pour contourner les signatures laissent penser que les DDoS commencent à ressembler à des menaces persistantes avancées, les célèbres APTs.
- Les entreprises qui ont déjà été visées par une attaque le seront probablement de nouveau. Une fois ciblé par une attaque d’application, un site web sera probablement de nouveau attaqué. Au cours des 72 jours d’analyse, il a été observé une fréquence moyenne des attaques tous les 10 jours. Par ailleurs, 17% des sites ont été attaqués plus de cinq fois, 10% plus de 10 fois, certains ont même été attaqués tous les jours.
- Les attaques DDoS peuvent s’étendre sur une période prolongée. Au cours de l’enquête, nous avons observé que 71% des attaques visant la couche réseau avaient duré moins de trois heures, et plus de 20% au-delà de cinq jours.
- Le faible prix des services de « botnet en location » expose un pourcentage croissant de l’écosystème d’Internet. Le caractère court, et unique des vecteurs d’attaques associés aux services de botnet ont été à l’origine d’environ 40% de toutes les attaques observées ciblant la couche réseau.
« A la différence des dernières années, la fréquence, la sophistication et la durée des attaques ont sensiblement progressé cette année », commente Marc Gaffan, Directeur Général du service Incapsula chez Imperva. « Les hackers professionnels conçoivent des attaques avancées qui ressemblent désormais à des menaces persistantes avancées. Nous pensons que cette sophistication accrue résulte d’une analyse plus fine par les attaquants de la manière dont les solutions d’atténuation DDoS détectent et bloquent les attaques, mettant ainsi en œuvre de nouvelles techniques pour les contourner. En conclusion, il est important pour les entreprises de toutes tailles de bien comprendre les risques que posent les attaques DDoS et de préparer un plan de réponse ».