MENACES ET PRÉVENTION GUIDE DE LA SÉCURITÉ WEB … · 2019. 3. 4. · La popularité croissante des sites Web et applications Web s'accompagne d'une explosion tout aussi impressionnante

Sécurité Web multicouche | 1

GUIDE DE LA SÉCURITÉ WEB MULTICOUCHE

MENACES ET PRÉVENTION

http://akamai.com


TABLE DES MATIÈRES

INTRODUCTION : Dans la ligne de mire ...........................................................................................4

CHAPITRE 1 - Les menaces Web actuelles ........................................................................................5

• Attaques DoS/DDoS contre le réseau ..................................................................................... 6

- Simple « inondation » ..................................................................................................... 8

- Attaques par amplification ............................................................................................. 9

- Outils de lancement des attaques DDoS ........................................................................ 10

• Attaques DoS/DDoS au niveau de la couche applicative ....................................................... 13

- Attaques utilisant une large bande passante ................................................................. 13

- Attaques utilisant une bande passante réduite .............................................................. 14

• Attaques visant à voler des données .................................................................................... 15

• Attaques DNS ..................................................................................................................... 17

CHAPITRE 2 - Une approche multicouche de la sécurisation des applications Web ...................19

• Défense contre les attaques DoS au niveau de la couche réseau .......................................... 20

• Protection des applications contre les attaques DoS et le vol de données ............................. 21


CHAPITRE 3 - Exploration de vos possibilités ................................................................................22

• Matériel sur site .............................................................................................................. 23

• Services cloud ................................................................................................................. 24

CHAPITRE 4 - Comment choisir une solution .................................................................................26

• Protection contre les attaques DoS/DDoS au niveau de la couche réseau ......................... 27

• Protection contre les attaques au niveau de la couche applicative ................................... 30

• Protection contre les attaques DNS ................................................................................. 33

CHAPITRE 5 - Bonnes pratiques de sécurité sur Internet : Failles de sécurité courantes des applications Web et solutions pour y remédier .......................34

• Quelles sont les failles de sécurité les plus fréquentes ? ................................................... 35

• Comment répondre aux failles de sécurité courantes des applications Web ...................... 36

CONCLUSION ....................................................................................................................... 40

ANNEXE : • Principaux experts en sécurité Web ................................................................................. 42

• Suggestions de lecture .................................................................................................... 43

�Retour à la table des matières Sécurité Web multicouche | 4

FINALITÉ DE CE GUIDE

Le périmètre circonscrit au centre de données appartient bel et bien au passé. Mais son souvenir continue à dicter la façon dont de nombreux services informatiques sécurisent encore leur infrastructure. L'ascension vertigineuse d'Internet a donné lieu à de nouvelles attaques en constante évolution et a complètement bouleversé les anciens modèles de protection de l'infrastructure informatique des entreprises. Auparavant, les ressources d'informations qu'il fallait protéger résidaient toutes dans une forteresse contrôlée informatiquement, à savoir un centre de données sécurisé. Les attaques provenaient généralement de l'extérieur du centre de données ou bien d'initiés abusant de leurs privilèges. Les entreprises instauraient des protections aux frontières, tels que des pare-feux, et assuraient une protection contre les attaques internes via des rôles et des privilèges d'accès stricts.

INTRODUCTION - Dans la ligne de mire

CHAPITRE 1 Analyse des types de menaces de sécurité susceptibles de survenir en ligne

CHAPITRE 2 Description des composants nécessaires à la sécurisation des applications et des sites Web

CHAPITRE 3 Présentation des solutions disponibles

CHAPITRE 4 Critères de choix d'une solution de sécurité Web

CHAPITRE 5 Explique comment réduire les failles de sécurité de vos applications et sites Web.

Or, les sites Web et les applications résident désormais de plus en plus souvent en dehors du centre de données, dans le cloud.

Comment protéger un périmètre qui n'existe plus ? Vous devez tout d'abord comprendre lesquelles de vos ressources sont les plus menacées et déterminer le niveau de tolérance au risque de votre entreprise. Ensuite, il convient de gérer ce risque en élargissant au cloud les contrôles de sécurité et en vous protégeant des types d'attaques qui sévissent sur Internet. Ce guide détaille les menaces communes aux sites et aux applications Web et explique comment les contrer.


COÛT DE LA CYBERCRIMINALITÉ Institut Ponemon, octobre 2013

1 288 710 $ Minimum

11 559 057 $ Moyenne

58 094 571 $ Maximum

Les cybercrimes les plus coûteux sont

ceux provoqués par le déni de service,

le code malveillant et les attaques

Web. Ils représentent plus de 55 %

de l'ensemble des coûts annuels de la

cybercriminalité pour les entreprises.

LIEN }

CHAPITRE 1

La popularité croissante des sites Web et applications Web s'accompagne d'une explosion tout aussi impressionnante du nombre, des types, de l'ampleur et du coût des attaques qui ciblent précisément les failles de sécurité de ces systèmes. En général, ces attaques appartiennent à deux catégories :

• Déni de service (DoS) / Déni de service distribué (DDoS)

• Piratages visant à voler des données, tels que les attaques par injection SQL et autres attaques par injection de commandes

Le CHAPITRE 1 de cet eBook définit ces attaques, leur fonctionnement et leur impact sur les systèmes et les utilisateurs.

Les MENACES WEB ACTUELLES

http://media.scmagazine.com/documents/54/2013_us_ccc_report_final_6-1_13455.pdf


La taille des attaques DoS et DDoS de masse a augmenté de manière exponentielle.

L'une des premières attaques DoS révélées au public s'est produite le 6 septembre 1996 à l'encontre de Panix, un FAI de New York. Des pirates non identifiés ont utilisé une attaque SYN pour épuiser les connexions réseau disponibles et empêcher les utilisateurs légitimes de se connecter aux serveurs Panix. Lors de cette attaque, trois ordinateurs servaient à générer un trafic réseau de 48 Kbit/s.

À l'inverse, à partir du 5 mars 2013, une organisation d'hacktivistes, connue sous le nom d'Izz ad-Din al-Qassam Cyber Fighters (QCF), a lancé une série d'attaques contre des institutions financières américaines en utilisant 3 200 « bots » pour générer des pics de 190 Gbit/s de trafic réseau.

Selon Akamai, d'ici à 2020, une attaque DDoS moyenne générera un trafic réseau de 1,5 Tbit/s.

Patrikakis, Charalampos, Masikos, Michalis, Zouraraki, Olga (déc. 2004). Attaques par déni de service distribué. The Internet Protocol Journal – Volume 7, Numéro 4. Source : http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-4/dos_attacks.html

Litan, Avivah (mars 2013). Les attaques DDoS actuelles contre les banques américaines ne sont-elles que le calme avant la tempête ? Gartner. Source : http://blogs.gartner.com/avivah-litan/2013/03/14/are-the-ongoing-ddos-attacks-against-u-s-banks-just-the-calm-before-the-storm/

Attaques DoS/DDoS contre le réseau

Les attaques DoS constituent l'une des menaces les plus courantes sur

Internet. Ces attaques saturent la bande passante du réseau afin de le rendre

indisponible pour les utilisateurs. Elles submergent le site avec suffisamment de

trafic pour inonder les connexions entre Internet et l'entreprise. Bien souvent,

en cas de déni de service distribué (DDoS), plusieurs nœuds sont utilisés pour

envoyer du trafic vers un site. Les attaques DDoS réduisent le trafic qu'un

système attaquant a besoin d'envoyer tout en augmentant l'impact pour

la cible.

Un nombre insoupçonnable d'attaques DoS et DDoS se produisent au niveau

de la couche réseau. On peut regrouper ces attaques en deux grandes

catégories : simple « inondation » et attaques par amplification. Différents

outils sont disponibles pour automatiser le processus de création de ces deux

types d'attaques : même sans aucune formation technique, n'importe qui peut

rapidement et facilement menacer le site Web de son choix.

CROISSANCE EXPONENTIELLE DE LA TAILLE DES ATTAQUES DOS/DDOS Institut Ponemon, octobre 2013


Qui lance des attaques DoS/DDoS et pourquoi ? Pour sécuriser votre infrastructure de façon stratégique, vous devez comprendre qui est le plus susceptible de vous attaquer et de quelle manière. Les différents types d'adversaires sont, entre autres, les suivants :

• EXTORQUEURS : les extorqueurs menacent de désactiver (ou désactivent vraiment) un site Web, puis demandent une rançon pour éviter (ou stopper) une attaque.

• EXFILTRATEURS : ces pirates utilisent les attaques DoS pour détourner l'attention de leur véritable objectif, à savoir voler des données qu'ils pourront monétiser, qu'il s'agisse de propriété intellectuelle ou de numéros de carte de crédit.

• HACKTIVISTES : les hacktivistes sont différents des autres types de pirates. Ils expriment leur colère et sont animés par des raisons politiques ou ils veulent braquer les projecteurs sur une cause donnée. Leurs attaques peuvent sembler aléatoires et sont souvent motivées par un sujet d'actualité précis. Mais ils sont en colère contre vous, ce qui signifie que lorsqu'ils se heurteront à vos contrôles de sécurité, il est peu probable qu'ils fassent marche arrière pour chercher une proie plus facile. Parfois, les hacktivistes servent de bouc émissaire, permettant à d'autres types d'adversaires de se cacher derrière leurs attaques à caractère politique.

• CONCURRENTS : vos concurrents peuvent désactiver votre site pour prendre l'avantage. Ils peuvent aussi utiliser le « screen scraping » (capture de données d'écran) pour obtenir des informations sur votre site, par exemple pour déterminer vos tarifs et devenir plus compétitifs.

« Si vous connaissez vos ennemis et que vous vous connaissez vous-même, mille batailles ne pourront venir à bout de vous... Si vous ne connaissez ni votre ennemi ni vous-même, chaque bataille représentera un grand danger. »

Sun Tzu, L'art de la guerre

En 2013, la moitié des entreprises ayant participé à une récente enquête de l'Institut Ponemon avaient subi une attaque par déni de service, une augmentation de 29 % par rapport à 2012.

Les attaques DoS représentaient 21 % du coût total annuel de la cybercriminalité.

ENQUÊTE SUR LE COÛT DE LA CYBERCRIMINALITÉ EN 2013 : États-Unis

Institut Ponemon, octobre 2013

LIEN vers le rapport }

Si votre entreprise a été la cible d'une attaque DDoS, vous avez une chance sur quatre (25 %) de subir une nouvelle attaque dans les 3 mois et plus d'une chance sur trois

(36 %) d'être ciblé une nouvelle fois dans l'année.

- Akamai Research

�Retour à la table des matières

http://media.scmagazine.com/documents/54/2013_us_ccc_report_final_6-1_13455.pdf


Simple « inondation »La plupart des attaques DoS inondent le réseau ou l'infrastructure. Ces attaques profitent de protocoles spécifiques, tels que TCP, ICMP ou UDP, pour envoyer un grand nombre de requêtes à une cible et surcharger les capacités du réseau.

Voici, entre autres méthodes, comment les attaques DoS peuvent semer le chaos :

• Utilisation jusqu'à épuisement de la bande passante du réseau• Débordement des ressources informatiques disponibles, mémoire, espace

disque ou temps processeur• Perturbation des informations de configuration, comme les informations

de routage• Interruption des informations d'état, par exemple en réinitialisant des

sessions TCP

Attaques DNS FloodLe DNS (Domain Name System) est devenu une cible privilégiée pour les attaques DoS. Il convertit les noms de domaine, compréhensibles par l'humain, en adresses IP utilisées par les ordinateurs pour localiser les ressources nécessaires. Chaque fois que vous accédez à un site Web, un serveur DNS recherche automatiquement l'adresse IP du nom de domaine correspondant. Il existe deux types de serveurs DNS : les serveurs autorisés qui contiennent une base de données des adresses IP et les serveurs récursifs qui interrogent le serveur autorisé pour le compte du client. Bien souvent, les entreprises ne déploient qu'un nombre restreint de serveurs DNS. De ce fait, le DNS est particulièrement vulnérable aux attaques de masse. Lorsque des pirates inondent le DNS, ils n'ont pas besoin de s'en prendre aux serveurs Web. Au lieu de cela, ils mettent le serveur DNS hors ligne, ce qui empêche les utilisateurs de trouver les sites Web qu'ils recherchent.

TCP SYN Flood est un

exemple bien connu

d'attaque par simple

« inondation ». Lors

d'une attaque TCP

SYN Flood, le système

attaquant envoie à un

hôte une requête TCP

SYN utilisant une adresse

IP source usurpée. Alors

que ces requêtes TCP

SYN semblent légitimes,

l'adresse usurpée

renvoie à un client

inexistant si bien que le message ACK final n'est

jamais envoyé à l'hôte victime. Il en résulte des

connexions semi-ouvertes sur le site victime. Une

file d'attente backlog stocke ces connexions semi-

ouvertes, bloquant les ressources du serveur de sorte

qu'aucune nouvelle connexion légitime ne peut être

effectuée, ce qui provoque un déni de service.

SYN-ACK

SYN

?

SYN

Anatomie d'une attaque par simple « inondation »


Attaques par amplification Les pirates recherchent sans cesse des façons d'augmenter la taille de leurs attaques. Deux méthodes couramment utilisées pour optimiser les attaques tirent parti des protocoles DNS et NTP :

Attaques par amplification et par réflexion DNSTrois caractéristiques des serveurs DNS les rendent particulièrement vulnérables aux attaques par réflexion et par amplification :

• Certains serveurs récursifs répondent aux requêtes de n'importe quel client.

• Le DNS repose sur le protocole UDP (Universal Datagram Protocol), un protocole sans connexion qui ne valide pas les adresses IP sources ; celles-ci sont donc faciles à falsifier.

• Une petite requête DNS peut solliciter de grands volumes de données dans la réponse.

Pour mener une attaque, un adversaire envoie un ensemble de requêtes DNS au serveur récursif, en remplaçant l'adresse source des requêtes par celle de la cible choisie. Les requêtes sont conçues pour que la réponse soit bien plus volumineuse, envoyant près de huit fois plus de trafic vers la cible que ce qu'elles ont reçu. Pour plus d'informations sur les attaques par amplification et les attaques DrDoS (déni de service distribué par réflexion), veuillez vous reporter à l'étude de cas du Rapport mondial sur les attaques DDoS au 3e trimestre 2013 établi par Prolexic. Consultez le rapport ici.

Attaques NTP par amplificationDébut 2014, les attaques NTP sont apparues comme un outil incontournable de l'arsenal DDoS. NTP (Network Time Protocol) est le protocole que les machines connectées à Internet utilisent pour régler leurs horloges. Tout comme DNS, NTP est un protocole UDP simple qui est exposé aux attaques par amplification parce qu'il est capable de répondre à un paquet utilisant une adresse IP source usurpée et que l'une de ses commandes intégrées envoie une longue réponse à une brève requête. La commande monlist, qui peut être envoyée à un serveur NTP à des fins de surveillance, peut renvoyer les adresses des 600 dernières machines (maximum) avec lesquelles le serveur NTP a été en interaction. Si un serveur répond avec le nombre maximum d'adresses, une requête de 234 octets peut générer une réponse de 100 paquets pour arriver à un total de plus de 48 Ko, soit une multiplication par 206.

En février 2014, des pirates ont utilisé une attaque NTP par réflexion pour lancer l'une des attaques DDoS les plus importantes jamais enregistrées, atteignant 400 Gbit/s.

LIEN }

Lucian Constantin, « Ensemble des mécanismes utilisés dans le cadre des plus grandes attaques DDoS », PC World, 11 février 2014.

http://www.prolexic.com/knowledge-center-dos-and-ddos-attack-reports.html

http://www.pcworld.com/article/2096720/attackers-use-ntp-reflection-in-huge-ddos-attack.html


Outils de lancement des attaques DDoSLe lancement d'une attaque DDoS est quasiment à la portée du premier venu, et en quelques secondes seulement, grâce à l'un des nombreux outils simples d'utilisation qu'il est facile de se procurer. Ces outils peuvent être utilisés pour lancer aussi bien des attaques par simple « inondation » que par amplification.

BotnetsUn botnet est un ensemble de PC infectés par des logiciels malveillants et contrôlés de manière centralisée par un botmaster. Le botmaster dirige ces machines esclaves à l'aide d'un serveur de commande et de contrôle, un point central duquel les machines infectées reçoivent les instructions. Dans un botnet, les machines infectées peuvent facilement se compter par milliers ou par dizaines de milliers. Le botmaster peut toutes les exploiter pour soumettre autant de requêtes que possible à un seul et même service ou ordinateur connecté à Internet, le surchargeant et l'empêchant de traiter les requêtes légitimes.

Low Orbit Ion CannonLOIC (Low Orbit Ion Cannon) a été développé par Praetox Technologies comme outil de test de stress de réseau Open Source et est par la suite entré dans le domaine public. Avec LOIC, le montage d'une attaque DoS devient simple et rapide. Le logiciel offre aux pirates potentiels une interface utilisateur graphique intuitive. Les hackers utilisent l'interface utilisateur graphique pour saisir une URL, sélectionner une méthode d'attaque (TCP, UDP, HTTP) et soumettre la requête. Il ne

Un botnet attaque sa victime

LIEN }

Victime

Pirate

Maîtres

Esclaves

http://www.insecure.in/images/ddos.gif


faut pas plus de 60 secondes pour télécharger l'outil, l'utiliser pour ouvrir plusieurs connexions au serveur cible et envoyer une séquence de messages permanente. Cet outil a été l'arme de prédilection du fameux groupe de hackers Anonymous, qui a revendiqué la responsabilité des attaques contre Sony, le FBI et d'autres agences de sécurité américaines. LOIC a également été utilisé pour les attaques très médiatisées contre PayPal, MasterCard et Visa.

High Orbit Ion CannonHOIC (High Orbit Ion Cannon) est une version largement améliorée de LOIC. Au lieu d'utiliser à répétition la visite unique d'un faux utilisateur sur un site, HOIC cible les sous-pages. Les faux utilisateurs de HOIC visitent les pages d'accueil, les pages d'aide, les pages d'articles et autres pages sur le site victime. Cette tactique empêche certains pare-feux d'identifier ces événements comme une attaque. Même si le pare-feu comprend, il aura du mal à fermer la connexion car HOIC envoie plusieurs faux utilisateurs sur plusieurs pages d'un domaine. Un rapport sur les menaces HOIC peut être téléchargé sur le site d'Akamai }

BrobotL'Operation Ababil, une initiative DDoS supposée avoir été perpétrée par le groupe d'hacktivistes Izz ad-Din al-Qassam Cyber Fighters, utilise un outil de script russe modifié appelé Brobot pour cibler les banques américaines. Le groupe identifie les extensions logicielles vulnérables sur les ordinateurs liés à des sites Web utilisant une large bande passante et des centres de données d'hébergement Web. Puis, il perturbe et contrôle ces ordinateurs

DDOS SUR LE PLAN ÉCONOMIQUE

Lorsqu'un fournisseur de services de cloud héberge votre application, l'infrastructure de cloud peut être étendue pour traiter les pics de trafic lors d'une attaque DDoS. En général, vous payez en fonction de la bande passante que vous utilisez. Si une attaque DDoS utilise des ressources considérables, il se peut que vos serveurs restent en place, mais vous n'aurez peut-être pas les moyens de garantir leur fonctionnement. Le coût du processeur ou de la bande passante dans les environnements hébergés, comme Amazon Web Services, peut être énorme.

http://www.prolexic.com/knowledge-center-dos-and-ddos-threat-advisories.html



en insérant du code intégré, quasiment invisible, dans le HTML des extensions. Ces ordinateurs esclaves du botnet à large bande passante peuvent ensuite bombarder les sites Web des banques avec des attaques DDoS pouvant atteindre 190 Gbit/s. Un rapport sur les menaces de l'outil itsoknoproblembro, incluant des règles de détection permettant d'identifier les serveurs Web infectés (bRobots), peut être téléchargé ici }

Les 10 plus grandes tendances

DDoS pour 2013

2013 a enregistré une activité record en termes d'attaques par déni de service distribué

(DDoS), comme l'indique ce résumé graphique des

tendances DDoS. Par rapport à l'année précédente, le volume

d'attaques DDoS a augmenté de 32 %,

selon les études de Prolexic.



Les clients Akamai ont signalé 768 attaques de couche applicative en 2012 et 1 153 en 2013, une augmentation de 50 % d'une année sur l'autre.

Pour plus d'informations, voir le rapport État des lieux de l'Internet publié par Akamai : http://www.akamai.com/stateofthe internet/

LIEN }

Selon Veracode, trois entreprises sur quatre seront un jour victimes d'un programme malveillant ciblant leurs applications Web et les applications Web représentent 54 % du total des actes de piratage portant atteinte à la protection des données.

DuPaul, Neil (juillet 2013). Résumé graphique du coût réel d'un vol de données. Source : http://www.veracode.com/

blog/2013/07/the-real-cost-of-a-databreach-infographic/

La couche réseau n'est plus la seule cible des attaques DoS. De plus en plus populaires, les attaques de couche applicative ressemblent à des requêtes légitimes, mais entraînent un déni de service en épuisant les capacités des serveurs d'applications Web. À cause de ces attaques, le serveur peut se retrouver à utiliser des ressources informatiques considérables pour chaque requête, à fonctionner de manière décevante ou à renvoyer des résultats différents pour chaque requête afin d'éviter la mise en cache sur le serveur.

Attaques utilisant une large bande passanteEn règle générale, les attaques de couche applicative à large bande passante bombardent les pages mobilisant des ressources considérables avec des requêtes GET ou POST et réinitialisent la connexion à répétition pour épuiser la capacité de mémoire et la session du serveur. Elles peuvent aussi faire des requêtes complexes et nécessitant des calculs intensifs ou demander des fichiers volumineux au site Web, tels que des fichiers PDF. Il en résulte une surconsommation des ressources qui écrase les serveurs et les empêche de répondre au trafic légitime. On peut par exemple citer les attaques qui :

Attaques DoS/DDoS au niveau de la couche applicative

http://www.akamai.com/stateoftheinternet/


efficaces que celles visant à submerger le réseau car elles demandent beaucoup moins de nœuds d'attaque et de bande passante. De plus, comme les pirates exploitent souvent des fonctionnalités d'application légitimes, il n'est pas toujours évident de distinguer une attaque du trafic légitime. De ce fait, il est beaucoup plus difficile de se défendre.

Parmi les exemples d'attaques utilisant une bande passante réduite, on peut citer celles qui laissent les ressources ouvertes et celles qui utilisent le panier d'achats :

Attaques laissant les ressources ouvertes Certaines attaques laissent les ressources ouvertes sur le serveur en vue d'épuiser les ressources et les pools de connexion serveur. Cette approche est bien plus efficace que l'attaque GET Flood. Elle ne nécessite que quelques centaines de requêtes à intervalles réguliers plutôt que des milliers en continu et un seul terminal peut ébranler un site important. Par exemple :

• Slowloris fournit lentement des en-têtes de requêtes, forçant le serveur Web à laisser les connexions ouvertes sans terminer les requêtes. Le pool de connexion du serveur s'en trouve rapidement épuisé.

• Slow HTTP POST fournit le corps du message lentement afin d'épuiser les ressources du serveur Web.

• Slow Read rétrécit la fenêtre TCP côté client. Le serveur est alors contraint d'envoyer très lentement les données au client. Le serveur doit laisser les connexions et autres ressources ouvertes afin de garantir l'envoi des données, ce qui signifie qu'il peut rapidement saturer.

• exploitent SSL : pour certaines pages, telles que la page de connexion, le trafic doit être chiffré avec la technologie SSL afin de protéger les informations d'identification des utilisateurs en mouvement. Neuf étapes permettent d'établir une poignée de main SSL. Parmi elles, nombreuses sont celles qui nécessitent des opérations cryptographiques et de génération de clés complexes. Si des pirates utilisent un botnet pour établir simultanément plusieurs sessions SSL, l'application devient indisponible car le système reste coincé sur le traitement des requêtes précédentes.

• saturent la base de données : lorsqu'une page repose sur une base de données, par exemple un localisateur de magasin, elle doit atteindre la base de données pour toute requête. En général, cela implique de nombreuses transactions de base de données différentes ou complexes ainsi qu'une validation des champs et d'autres techniques permettant de se défendre contre d'autres attaques de couche applicative. L'envoi de ce type de requêtes à répétition sature le serveur de base de données.

• attaquent une page de formulaire : les pages de formulaire doivent accéder à une base de données pour toute requête. Les pirates peuvent provoquer des traitements inutiles pour la base de données, par exemple en utilisant des nombres aléatoires au lieu de codes postaux réels ou en soumettant des mots de passe démesurés.

Attaques utilisant une bande passante réduite De nombreuses attaques de couche applicative exploitent les connaissances dont les hackers disposent sur l'application et sur la façon de la détruire. Ces attaques peuvent être beaucoup plus


Lors d'une attaque de grande envergure, un groupe

d'hacktivistes a utilisé l'injection SQL pour dérober

les informations de plus de 1,6 million de comptes

appartenant à des organisations gouvernementales

américaines, notamment la NASA, le FBI et le Pentagone.

VII. Newton, Casey (déc. 2012). GhostShell revendique le vol de 1,6 million de comptes au FBI, à la NASA, et autres. Source : http://news.cnet.com/8301-1009_3-57558338-83/ghostshell-claims-breach-of-1.6m-accounts-at-fbi-nasa-and-more/

Les attaques DoS sont parfois utilisées conjointement avec les attaques sur les données, faisant diversion pendant que les pirates volent des données. La Counter Threat Unit de Dell SecureWorks a signalé l'existence d'un outil DDoS appelé Dirt Jumper utilisé pour détourner l'attention des employés de banque de tentatives de virements frauduleux pouvant s'élever à 2,1 millions de dollars.

Brenner, Bill (août 2013), Les attaques DDoS : une couverture pour d'autres crimes

LIEN }

Attaques exploitant le panier d'achats Des pirates peuvent placer plusieurs articles dans un panier d'achats, le mettre de côté quelque temps, puis y revenir et actualiser le panier, reportant l'expiration de la session et forçant la base de données à recharger le panier. Si les pirates placent un grand nombre de produits dans le panier, des ressources considérables sont utilisées.

Attaques visant à voler des données Alors que les attaques DoS/DDoS rendent votre site inutilisable, les attaques cherchant à voler des données peuvent également avoir un impact direct sur vos résultats. Les entreprises sont confrontées à une croissance exponentielle des attaques visant à voler des données. Ces attaques profitent généralement des failles de sécurité des applications Web et peuvent être difficiles à détecter car elles génèrent un trafic applicatif perçu comme légitime par les outils de sécurité de la couche réseau traditionnels.

Les tentatives de vol de données se présentent très souvent sous la forme d'attaques par injection de commandes. Lors des attaques de ce type, les hackers injectent des commandes dans une application vulnérable. Ils peuvent ensuite exécuter ces commandes pour afficher des données, les supprimer ou prendre possession de la machine. Les failles d'injection se produisent lorsque l'application ne dispose pas d'une validation correcte des données saisies, ce qui permet aux pirates de manipuler les saisies pour inclure des données non fiables dans une commande ou une requête. Parmi les types d'attaques par injection de commandes les plus courants figurent l'injection SQL, l'inclusion de fichiers à distance et l'inclusion de fichiers locaux :

https://blogs.akamai.com/2013/08/DDoS-Attacks-Used-As-Cover-For-Other-Crimes.html


Injection SQL L'injection SQL tire parti d'un codage incorrect des applications Web pour permettre aux hackers d'injecter des commandes SQL dans ce qu'on pourrait appeler un formulaire de connexion qui leur permet d'interroger directement les données d'un site Web. Les fonctionnalités telles que les pages de connexion, les formulaires de support et de demande de produits, les formulaires permettant de laisser des commentaires, les pages de recherche et les paniers d'achats sont toutes sujettes aux attaques par injection SQL.

Inclusion de fichiers à distance RFI (Remote File Inclusion) est une faille de sécurité de site Web qui permet aux pirates d'utiliser un script pour inclure un fichier à distance sur le serveur Web. Les hackers peuvent alors faire tout ce qu'ils veulent, depuis l'exécution de code sur le serveur Web pour voler des données temporaires jusqu'à la prise de contrôle d'un serveur vulnérable.

Inclusion de fichiers locaux LFI (Local File Inclusion) ressemble à une faille de sécurité Remote File Inclusion, mais au lieu de fichiers à distance, seuls des fichiers locaux, c'est-à-dire des fichiers situés sur le serveur en cours, peuvent être inclus.

Attaques de type « account checker » Les attaques « account checker » (contrôle des comptes) sont également bien connues et ciblent les données des clients. Ces attaques ont lieu lorsque des cybercriminels utilisent des scripts et

des outils d'attaque automatisés appelés « account checkers » pour déterminer des combinaisons ID utilisateur/mot de passe valides. Une fois le compte piraté, les malfaiteurs recueillent les données personnelles et les informations de cartes de crédit de l'utilisateur et s'en servent pour d'autres fraudes. Les pirates masquent leurs attaques en parcourant toute une liste de serveurs proxy ouverts. Les attaques de type « account checker » peuvent également donner lieu à une condition d'attaque DDoS lorsque les pirates ne parviennent pas à configurer correctement leurs outils. Ces derniers testeront des noms d'utilisateur et des mots de passe le plus rapidement possible, surchargeant les serveurs cibles.


Au troisième trimestre 2013, l'Armée électronique

syrienne (Syrian Electronic Army, SEA), un groupe

d'hacktivistes qui soutient le régime du président

syrien Bashar Hafez el-Assad, a revendiqué la

responsabilité d'une série d'attaques par phishing

lancées contre les registres DNS de plusieurs

entreprises. L'une de ces attaques a ébranlé le compte

d'administration d'un moteur de découverte de

contenu tiers. Dans le cadre de cette attaque, du code

malveillant a été injecté dans le contenu proposé aux

clients. Ces attaques ont permis à la SEA de rediriger

le trafic de domaines légitimes vers un domaine sous

leur contrôle. Chaque visiteur du site Web affecté était

redirigé sur syrianelectronicarmy.com, une page de

propagande de la SEA.

Rapport État des lieux de l'Internet au troisième trimestre 2013 d'Akamai

LIEN }

Attaques DNS Le système DNS présente une faille de sécurité Web. Outre les attaques DDoS et les attaques par amplification, le DNS est exposé à des menaces incluant le détournement de registre ainsi que la redirection et la corruption de cache.

Détournement de registreLe registre de noms de domaine gère la réservation des noms de domaine Internet. Les attaques par détournement de registre utilisent l'ingénierie des réseaux sociaux contre le personnel des équipes d'assistance client de l'organisme de registre des noms de domaine. Si des pirates peuvent utiliser une attaque par phishing pour pirater le compte d'une entreprise avec son registre des noms de domaines, ils prennent le contrôle du nom de domaine et peuvent alors le rediriger vers les serveurs de leur choix, y compris des serveurs de noms, des serveurs Web, des serveurs de courrier électronique, etc. Le domaine peut même être transféré à un nouveau propriétaire.

Redirection et corruption de cacheLors des attaques de redirection DNS, les pirates redirigent les requêtes de noms DNS vers des serveurs qui sont sous leur contrôle en affichant un faux protocole de routage qui redirige le trafic vers leurs serveurs. Les pirates peuvent également polluer le cache d'un serveur DNS avec des données DNS erronées qui dirigent les futures requêtes vers des serveurs qui sont sous leur contrôle.



1,5TBIT/S SELON AKAMAI, D'ICI À 2020, UNE ATTAQUE DDOS MOYENNE GÉNÉRERA UN TRAFIC RÉSEAU DE


Les attaques DoS/DDoS qui visent la couche

réseau et la couche applicative utilisent des

techniques différentes. Votre entreprise doit

se défendre contre chacune d'elles. Quel que

soit l'outil utilisé par votre entreprise, vous devez

adopter une approche multicouche afin de sécuriser

les applications Web contre les attaques par déni

de service et le vol de données. Les efforts visant

à réduire les failles de sécurité de vos applications

vous protégeront aussi bien des attaques DoS au

niveau des applications que des tentatives de vol

de données.

CHAPITRE 2

Une approche multicouche

de la SÉCURISATION DES APPLICATIONS WEB


Pour se défendre contre les attaques DoS au niveau de

la couche réseau, il convient de s'appuyer sur une double

approche. Tout d'abord, vous devez disposer d'une bande

passante réseau suffisante pour traiter les grands volumes de

trafic. Vous avez également besoin d'un filtrage qui permettra

d'autoriser le trafic légitime tout en écartant le trafic des

attaques.

Défense contre les attaques DoS au niveau de la couche réseau


De nombreuses failles de sécurité de la couche applicative peuvent être supprimées par l'adoption de bonnes pratiques de sécurité pour les applications Web et par l'utilisation d'un cycle de développement de logiciels sécurisé. Par exemple, vous devez renforcer chaque application par une configuration sécurisée et par l'application de correctifs et mises à jour en temps opportun. Les développeurs doivent garder la sécurité à l'esprit pendant toutes les phases de définition des exigences, architecture et conception de l'application. Ils doivent également instaurer des protections de sécurité au sein même des logiciels. Par exemple, il peut s'agir de fournir une validation des saisies suffisante pour garantir que l'application ne puisse pas faire l'objet d'attaques par injection de commandes. L'ensemble des configurations et applications doivent être minutieusement testées de manière à détecter les failles de sécurité. Pour plus d'informations sur l'adoption de bonnes pratiques de sécurité pour les applications Web, voir le Chapitre 5.

Quoi qu'il en soit, ces mesures sont rarement suffisantes. Il est donc judicieux de se prémunir contre les failles de sécurité non

Protection des applications contre les attaques DoS et le vol de données

protégées en utilisant aussi un pare-feu d'application Web (WAF). Le WAF peut permettre l'application de correctifs virtuels : vous pouvez programmer des règles dans le WAF de manière à vous protéger des nouvelles failles de sécurité jusqu'à ce que vos équipes informatiques puissent appliquer le véritable correctif. Par ailleurs, le WAF offre une autre ligne de défense contre les attaques menaçant les données (telles que les attaques par injection SQL qui exploitent les failles de sécurité de la couche applicative) et contre les attaques DoS au niveau de la couche applicative (telles que la manipulation de session de type Slowloris). De toute évidence, un WAF seul est tout aussi susceptible d'être submergé par une attaque DoS que n'importe quel autre terminal ; le WAF a donc également besoin de fonctionnalités anti-DoS et de protections architecturales pour se protéger des attaques en force. Pour plus d'informations sur les caractéristiques à rechercher dans un WAF, voir le Chapitre 4.


Les solutions de sécurité ne sont pas universelles.

Il est important de comprendre vos atouts et les risques

auxquels vous êtes exposé afin de trouver la solution

adaptée à votre entreprise. Des solutions commerciales

existent pour traiter les divers aspects de la sécurité des

applications Web décrits dans le Chapitre 2 de ce guide.

Il s'agit notamment du matériel sur site et des services

cloud.

CHAPITRE 3

Exploration de VOS POSSIBILITÉS


La plupart des entreprises s'appuient sur le matériel, installé sur site dans leurs centres de données, par exemple des pare-feux réseau, une protection DDoS et un WAF, pour assurer leur sécurité. L'installation et la mise en œuvre de ces terminaux sur site demandent des dépenses d'investissement initiales considérables avec, en général, un cycle de vie du matériel et un amortissement sur deux à trois ans. Au vu de la pénurie de compétences actuelle, il peut être difficile et coûteux d'embaucher des experts dotés des compétences nécessaires à l'utilisation optimale de ce matériel afin de contrer ces attaques.

La protection contre les attaques de couche applicative peut mobiliser énormément de ressources. Les WAF exigent des ressources informatiques et des capacités de traitement considérables, ce qui peut réduire leurs performances.

La plupart des terminaux constituent un point de défaillance unique ; ils sont incapables d'absorber les attaques DDoS sans problème. De plus, par définition, le matériel sur site ne tente de mettre fin à une attaque DDoS qu'à partir du moment où elle s'est déjà introduite dans le centre de données. Il s'agit donc d'un point de défaillance unique contre l'une des menaces de sécurité les plus fréquentes dans

cet environnement. Par ailleurs, si votre entreprise ne dispose pas d'une liaison Internet suffisamment importante, l'attaque pourra saturer la bande passante disponible, provoquant une panne pour le centre de données tout entier. Une attaque peut également mettre hors-service d'autres infrastructures de centre de données telles que des routeurs, des pare-feux réseau ou des dispositifs d'équilibrage de charge. Même lorsque les solutions contrent les attaques, les attaques exigeantes en bande passante peuvent altérer les performances pour les utilisateurs légitimes. La portée des attaques DDoS allant croissant, les entreprises devront continuer à prévoir davantage de bande passante pour s'assurer d'une capacité de montée en charge suffisante ; si elles disposent de plusieurs centres de données, les coûts peuvent augmenter de manière exponentielle.

Matériel sur site


Les services cloud résident hors du centre de données de l'entreprise pour sécuriser le trafic avant qu'il n'atteigne l'infrastructure de l'entreprise. Il existe deux principaux types de services cloud anti-DoS/DDoS : les services qui redirigent le trafic suspect vers un point centralisé destiné à filtrer le trafic malveillant, et les services de protection de sites Web qui utilisent des réseaux de diffusion de contenu (CDN) pour absorber et inspecter le trafic malveillant à travers un réseau distribué de serveurs afin de protéger les sites Web et les applications de l'entreprise.

Fournisseurs de services de protection contre les attaques DDoSLes fournisseurs de services de protection contre les attaques DDoS gèrent des « centres de nettoyage » qui combinent l'équipement, les règles techniques et l'interaction humaine directe pour assurer une protection contre les attaques DoS et DDoS. Ces centres de données privés sont dotés d'une large bande passante pour traiter les attaques entrantes et assurer la disponibilité des sites.

Ces entreprises offrent l'une des protections les plus complètes contre les attaques DoS/DDoS car elles traitent tout type d'attaque, des attaques par simple « inondation » aux attaques

exploitant les applications HTTP/S, FTP et autres applications non-Web.

Ces services fonctionnent de manière permanente ou à la demande.

• Les services permanents surveillent sans cesse votre trafic à la recherche d'une activité suspecte qui signalerait une attaque. La protection permanente sert d'amortisseur : elle évite au réseau du client de prendre le premier coup lors d'une attaque DDoS. Par conséquent, elle offre une meilleure protection contre l'indisponibilité coûteuse d'un site.

• Les options à la demande offrent de meilleures performances et sont plus abordables. À l'aide de protocoles de routage IP standard, rien de plus simple que d'intercepter et d'inspecter le trafic entrant en recherchant les anomalies via des services de protection hors-bande. Le trafic sortant n'est pas inspecté et peut suivre son cours normalement. Le trafic légitime est identifié et acheminé tandis que le trafic malveillant des attaques est écarté ou « nettoyé ».

Ces deux types de services posent des problèmes potentiels qu'il convient de prendre en compte. Les services permanents

Services cloud


d'un centre d'opérations de sécurité (SOC) sont plus coûteux et l'inspection du trafic en continu contribue à détériorer les performances de site. Si vous utilisez une solution à la demande, votre entreprise doit déterminer à quel moment il convient d'activer le service et contacter le fournisseur pour l'activer. Par ailleurs, les solutions à la demande ne sont pas à même de détecter les attaques qui se produisent au fil du temps, telles que les injections SQL. Les entreprises restent donc exposées aux attaques centrées sur le vol de données ou la détérioration de l'image de marque.

Services de protection de site Web Les fournisseurs de services de protection de site Web utilisent des CDN pour assurer la sécurité de couche applicative et de réseau des applications et sites Web. À la manière d'un proxy cloud, ces réseaux résident en amont de votre infrastructure informatique et assurent le trafic entre vos utilisateurs et vos applications et sites Web. La plate-forme de cloud examine le trafic réseau pour détecter les schémas d'attaque connus et transmet uniquement le trafic légitime à l'application Web.

Ces solutions fonctionnent en ligne afin d'assurer la protection permanente de votre entreprise sans aucune intervention humaine. Elles sont en mesure de contrer les attaques nouvelles et jamais rencontrées jusque-là. Certains services incluent la technologie WAF et protègent des attaques visant les applications, telles que l'injection SQL.

Par nature, les CDN présentent une architecture distribuée, c'est-à-dire qu'ils sont constitués de serveurs répartis dans le monde entier. Pour qu'une attaque DoS aboutisse, il faudrait qu'elle cible et submerge chacun de ces serveurs simultanément. Les CDN sont spécifiquement conçus pour gérer de grands volumes de trafic, ce qui complique la tâche des pirates. Dans le même temps, ces solutions proposent des services d'accélération pour réduire l'impact sur les performances tout en améliorant les performances de bout en bout de l'application Web.

Les CDN peuvent néanmoins poser un problème : certaines de ces solutions proviennent de fournisseurs plus petits qui ne disposent pas de l'infrastructure requise pour une protection au niveau mondial et/ou pour la protection contre les attaques DDoS de grande envergure. Ces dernières années, plusieurs fournisseurs ont connu des pannes majeures et les clients ont été touchés par de grandes attaques DDoS contre d'autres clients. En cas de support client limité ou inexistant, les clients risquent de se retrouver seuls à gérer leur riposte aux attaques. Par ailleurs, certains CDN n'incluent pas la technologie WAF, et ceux qui l'incluent n'assurent pas forcément une protection suffisante contre bon nombre d'attaques de couche applicative.


Comment choisir UNE SOLUTION

CHAPITRE 4

Chaque entreprise est différente. Vous devez

trouver la solution qui vous convient. Cette section

sert de guide pour vous aider à vous poser les bonnes

questions et à prendre les bonnes décisions pour

votre entreprise.


IDG Research estime qu'il faut compter en moyenne dix heures avant qu'une entreprise commence à résoudre une attaque DDoS. En moyenne, une attaque DDoS n'est détectée que 4,5 heures après avoir démarré, et il s'écoule encore 4,9 heures avant de pouvoir commencer à la contrer. Les coûts d'interruption s'élevant en moyenne à 100 000 dollars de l'heure, une attaque DDoS peut déjà coûter 1 million de dollars à une entreprise tributaire d'Internet avant que celle-ci ne commence à la bloquer.

Source : http://www.infosecurity-magazine.com/view/35238/a-ddos-attack-could-cost-1-million-before-mitigation-even-starts

LIEN }

Pour se défendre contre les attaques DoS de masse qui se produisent au niveau de la couche réseau, il faut disposer d'une architecture réseau résiliente capable d'absorber d'importants pics de trafic et de filtrer l'ensemble du trafic de manière à n'autoriser que le trafic Web sur le réseau. Voici les principaux points à examiner :

La solution offre-t-elle une protection positive ?De nombreuses attaques DDoS au niveau du réseau peuvent être bloquées en autorisant uniquement le trafic HTTP légitime sur le réseau (par ex. Port 80 (HTTP) ou Port 443 (HTTPS)). La solution doit écarter tout trafic non applicatif, par exemple les paquets TCP SYN excessifs, les attaques de paquets ICMP ou les paquets UDP sans charges applicatives.

La solution absorbe-t-elle l'ensemble du trafic des attaques ?Les attaques ne ciblent pas toutes des services ou applications Web. Certaines tenteront de s'introduire via le FTP ou des ports non-Web. Pour bénéficier d'une protection complète, recherchez une solution qui pourra évaluer l'ensemble de votre trafic.

La solution est-elle activée en permanence ?Les contrôles de sécurité ne protègent votre site Web ou application que lorsqu'ils sont opérationnels. Vous devez déterminer le niveau de disponibilité promis par la solution et la façon dont il est fourni. Avez-vous besoin d'acheter plusieurs versions redondantes d'un contrôle de sécurité pour garantir sa disponibilité ? Le fournisseur de la solution garantit-il cette disponibilité par un accord de niveau de service (SLA, Service Level Agreement) ?

Protection contre les attaques DoS/DDoS au niveau de la couche réseau

http://www.infosecurity-magazine.com/view/35238/a-ddos-attack-could-cost-1-million-before-mitigation-even-starts


La solution offre-t-elle une bande passante évolutive pour gérer le volume de l'attaque ?Une attaque DDoS ordinaire peut générer le volume de trafic qu'un site reçoit généralement en deux ans. Pour que le site reste disponible, la solution doit gérer tout ce trafic. Même si vous ne pouvez pas acheter la capacité suffisante par vos propres moyens parce qu'elle resterait inutilisée la plupart du temps, de nombreux fournisseurs de services cloud vous donnent accès à la bande passante supplémentaire nécessaire pour absorber une attaque lorsqu'elle survient. Demandez au fournisseur quels pics il peut gérer.

La solution contre-t-elle les attaques DDoS en plafonnant les frais liés aux pics de trafic ?Lorsque les fournisseurs de services cloud offrent une bande passante supplémentaire pour contrer une attaque DDoS, ils facturent souvent ce trafic supplémentaire. De ce fait, même si votre fournisseur de services cloud est capable de protéger votre site, vous ne pourrez peut-être pas vous le permettre financièrement. Recherchez un fournisseur de services qui plafonne les frais de service.

La solution bloque-t-elle les attaques avant qu'elles n'atteignent votre centre de données ?Imaginez l'impact potentiel d'une attaque sur votre centre de données tout entier. Les solutions cloud sont conçues pour bloquer une attaque avant même qu'elle n'atteigne votre centre de données. Vous n'avez donc pas à craindre l'impact des attaques DDoS sur votre centre de données. En revanche, les terminaux sur site vous protègent à partir du moment où l'attaque a atteint le terminal. Autrement dit, l'attaque va envahir votre centre de données. Si vous disposez d'une solution sur site, vous devrez prévoir suffisamment de ressources dans toute l'infrastructure de votre centre de données (bande passante réseau, routeurs et pare-feux) pour résister à une attaque.

Les attaques DDoS sont devenues

l'une des causes les plus courantes

des pannes des centres de données,

étant à l'origine de 18 % des

pannes subies dans les 67 centres de

données américains qui ont participé

à une enquête de l'Institut Ponemon

réalisée en décembre 2013. En 2010,

lorsque l'Institut Ponemon avait

interrogé les centres de données au

sujet des pannes, les attaques DDoS

n'en représentaient que 2 %.

Source : http://www.networkcomputing.com/next-generation-data-center/news/servers/ddos-attacks-wreak-havoc-on-data-centers/240164503

LIEN }

http://www.networkcomputing.com/next-generation-data-center/news/servers/ddos-attacks-wreak-havoc-on-data-centers/240164503


La solution a-t-elle un impact sur les performances ?Les applications d'e-commerce et de streaming multimédia exigent d'excellentes performances. Néanmoins, de nombreux contrôles de sécurité nécessitent de trouver un compromis entre la sécurité et les performances. Par exemple, un pare-feu d'application Web examine l'ensemble du trafic applicatif entre chaque utilisateur et l'application. Plus le trafic et les types d'attaques sont nombreux, plus vous avez besoin de règles et de matériel pour traiter les paquets sans compromettre les performances. Pour conserver de bonnes performances, recherchez une solution conçue pour assurer performances et sécurité.

La solution est-elle en ligne ?Les solutions en ligne travaillent en permanence à surveiller les attaques et à vous protéger, que vous ayez connaissance des attaques ou non. Néanmoins, pour réduire l'impact des contrôles de sécurité sur les performances,

certaines entreprises choisissent une solution hors-bande qui passe à l'action uniquement lorsque vous réalisez qu'une attaque est en cours. Ces solutions n'empêchent pas de manière proactive une attaque de nuire à vos systèmes. Par ailleurs, comme ces solutions ne sont pas toujours disponibles, elles ne parviennent pas non plus à vous protéger des attaques moins évidentes, telles que l'insertion de code malveillant dans les systèmes pour voler des données.

Quel est le coût total de possession ?Bien souvent, les responsables de la sécurité se focalisent sur le prix d'une solution mais pas sur son coût total de possession. Pour déterminer le coût total de possession, tenez compte du coût du terminal, du coût des systèmes redondants pour garantir la disponibilité et des coûts de gestion de la solution. Considérez également les dépenses liées à un vol de données par rapport à l'efficacité de la solution permettant de vous protéger de ces attaques.

OVUM, cabinet d'analyse spécialisé britannique, a récemment publié un livre blanc intitulé « Une protection efficace contre les attaques DDoS ». L'auteur Andrew Kellett, Principal Analyst (Sécurité), a constaté que les solutions de sécurité ne sont pas toutes capables d'offrir le niveau de protection requis contre les attaques DDoS. Il conseille aux entreprises d'évaluer les fournisseurs de services de protection contre les attaques DDoS sur 10 critères :

1. Niveau d'expérience 2. Capacité réseau de blocage des attaques

dédiée 3. Compétences avérées et ressources

disponibles à l'échelle mondiale pour contrer les attaques Internet les plus importantes et les plus complexes

4. Innovation dans les technologies de protection contre les attaques DDoS

5. Expertise humaine en première ligne des attaques DDoS

6. Rapidité de protection et SLA (Service Level Agreement) garantis

7. Protection au niveau de la couche SSL 8. Prestation de services flexible 9. Informations sur les menaces 10. Visibilité sur le réseau en temps réel


Protection contre les attaques au niveau de la couche applicative

La protection contre les attaques de couche applicative demande une approche plus nuancée que pour les attaques au niveau de la couche réseau. Beaucoup d'attaques au niveau de la couche applicative, qu'il s'agisse d'attaques DoS ou de tentatives de vol de données, s'appuient sur le trafic légitime. Par exemple, les attaques DDoS au niveau de la couche applicative et les transactions d'applications légitimes commencent par une simple requête applicative.

La plupart des entreprises bloquent ces attaques de l'une des manières suivantes :

1. Suppression des failles de sécurité des applications par le respect d'un cycle de développement de logiciels sécurisé et par l'adoption de bonnes pratiques de sécurité sur Internet, comme indiqué au Chapitre 5.

2. Utilisation d'applications frontales avec un WAF.

Notre recommandation ? Faites les deux.Bien entendu, un WAF peut être ciblé et submergé comme n'importe quel autre composant du réseau. Il nécessite donc toutes les fonctionnalités anti-DoS et protections architecturales décrites dans la section précédente.Il convient de vous familiariser avec les caractéristiques et fonctionnalités de votre WAF (qu'il s'agisse d'un dispositif en interne ou d'un service géré par votre FAI) et de savoir comment se comportera le pare-feu à l'égard des différents vecteurs d'attaques. Vous devez également savoir ce qui se passera au niveau des performances du réseau si vous utilisez l'inspection dynamique de paquets, par exemple les cookies SYN, plutôt que le blocage statique sur votre pare-feu sur site. Gardez à l'esprit qu'un pare-feu offre généralement une protection limitée contre les attaques UDP et ICMP et qu'il n'assure aucune protection contre une attaque SYN de 2 ou 3 Gbit/s ou des attaques de couche applicative. De même, les pare-feux fournissent peu ou pas de

protection contre les attaques de couche applicative lentes qui impliquent des requêtes HTTP et HTTPS à travers le pare-feu. En outre, la protection fournie par un pare-feu de FAI dans le cloud est limitée. Les pare-feux de FAI ne peuvent pas tous gérer les différents types d'attaque DDoS et certaines listes de contrôle d'accès peuvent être défaillantes, en particulier si elles sont déployées sur un petit nombre de terminaux proches de votre serveur.Que vous disposiez d'un pare-feu sur site ou que vous utilisiez des listes de contrôle d'accès au niveau du FAI, la gestion des pare-feux dans le cadre d'une stratégie de défense interne contre les attaques DDoS est un processus difficile qui nécessite d'apporter des modifications de règles nombreuses et complexes lors d'une attaque DDoS. En déplaçant l'ensemble de ces processus complexes vers un service de lutte contre les attaques DDoS dans le cloud, les processus chronophages que sont la reconfiguration de pare-feu et les interactions avec votre FAI lors d'une attaque DDoS appartiennent au passé.


1. Quelles sont la flexibilité et l'étendue des règles WAF ?Les WAF inspectent en profondeur les paquets des requêtes et réponses HTTP/S ainsi que leur charge utile pour identifier et assurer une protection efficace contre les attaques telles que les injections SQL, RFI, etc. Les règles WAF examinent les formats des requêtes et des adresses et déterminent s'ils correspondent à certains schémas d'attaque connus. Si le WAF identifie ces schémas, il les signale et/ou les bloque. Recherchez un WAF qui propose les types de règles suivants :

}Règles identifiant les problèmes connusDe nombreuses attaques sévissent depuis longtemps et sont bien définies, telles que les attaques par injection SQL ou les requêtes issues d'outils automatisés n'utilisant pas de navigateurs. La plupart des solutions incluent des règles pour les attaques connues.

}Règles pour les attaques émergentesLes attaques sont en constante évolution. Aucune entreprise dotée d'un site Web ne peut voir toutes les attaques et développer des règles afin de lutter contre toutes ces attaques émergentes. Mais certains fournisseurs de services cloud observent des volumes de trafic considérables et peuvent donc détecter les nouveaux types d'attaques dès leur apparition, créer de nouvelles règles pour diagnostiquer ces attaques et les mettre à la disposition de tous leurs clients à travers le monde.

}Règles personnalisées/application de correctifs virtuelsLes entreprises doivent toujours installer les nouvelles versions et les correctifs de leurs logiciels. Néanmoins, ces correctifs doivent être testés avant d'être installés, ce qui peut prendre du temps. Une solution permettant de créer des règles personnalisées peut servir de « correctif virtuel » et empêcher les pirates d'exploiter la faille de sécurité jusqu'à ce que vous puissiez mettre en place le correctif.

}Règles WAF pour une compréhension de la situationDans certains cas, vous ne souhaitez pas forcément bloquer une activité particulière, mais celle-ci peut devenir suspecte et demander une étude plus approfondie dès lors qu'elle est associée à d'autres actions. Il est alors souhaitable que des règles soient en place pour vous avertir de ces événements. Imaginons que vous connaissiez une application d'e-commerce qui présente une faille de sécurité sur basket.php. Alors qu'une recherche Google normale n'éveillera aucun soupçon, il sera intéressant de savoir si une recherche Internet cible « nurl:basket.php » car cette recherche pourrait signaler qu'un pirate cherche à exploiter la faille de sécurité basket.php. Il vous sera possible de configurer le pare-feu de manière à autoriser une personne qui a effectué une recherche Google inoffensive et à bloquer une personne qui a recherché « nurl:basket.php ».

Voici certains points à examiner pour choisir un WAF :


2. Quels sont les types de contrôles au niveau de la couche réseau proposés par le WAF ? Le WAF fournit-il des contrôles au niveau de la couche réseau pour accepter ou rejeter les requêtes provenant de certaines adresses IP afin de protéger le serveur d'origine des attaques au niveau de la couche applicative ? Recherchez un WAF qui fournit les types de contrôles suivants :

}Listes noiresDans le cadre d'un modèle de sécurité négatif, « est accepté tout ce qui n'est pas explicitement refusé ». Le WAF vous permet-il de définir une liste d'adresses IP à bloquer ?

}Listes blanchesDans le cadre d'un modèle de sécurité positif, « est refusé tout ce qui n'est pas explicitement autorisé ». Le WAF permet-il de définir une liste d'adresses IP ou des plages d'adresses IP à autoriser ?

}Blocage géographiqueLe blocage géographique filtre le trafic en provenance de localisations

géographiques spécifiques afin de contrer les attaques DDoS localisées. Dès lors que des adresses IP spécifiques sont identifiées, le trafic en provenance de ces adresses IP peut être bloqué ou ralenti avant d'atteindre l'application. Le WAF prend-il en charge le blocage géographique ?

3. Le WAF propose-t-il des contrôles comportementaux ?La plupart des WAF bloquent le trafic en fonction de signatures ou règles spécifiques. Mais les règles WAF basées sur le comportement étudient et réagissent au comportement d'un demandeur, d'une adresse IP ou d'un utilisateur, tant au moment présent que sur la durée. Par exemple, vous pouvez écrire une règle basée sur le comportement pour étudier le nombre de requêtes effectuées par un utilisateur sur une période donnée et bloquer les utilisateurs qui dépassent un certain nombre de requêtes sur cette durée. Vous pouvez également bloquer les utilisateurs qui dépassent le nombre spécifié de requêtes donnant lieu au message d'erreur 404 Page non trouvée.

4. Propose-t-il la dissimulation de l'origine ?Pour accéder à un serveur Web par la « porte dérobée », il suffit de connaître son adresse IP et d'y entrer directement. Lorsqu'une solution propose la « dissimulation de l'origine », elle protège d'Internet le site Web ou le serveur d'applications, empêchant les utilisateurs de s'y connecter directement. Au lieu de cela, le fournisseur de services n'autorisera que le point d'origine à se connecter directement aux serveurs sur le propre réseau du fournisseur. Les listes de contrôle d'accès définies sur le WAF du client déterminent quels serveurs sont autorisés à envoyer du trafic vers le point d'origine.


Vous pouvez répondre aux attaques DDoS contre les serveurs DNS et aux attaques par amplification et par réflexion DNS à l'aide des mêmes contrôles de sécurité que ceux qui contrent toute autre attaque DDoS de réseau. Toutefois, pour traiter la corruption de cache et le détournement de registre, deux fonctionnalités supplémentaires sont nécessaires :

La solution prend-elle en charge la sécurité DNS ?Les pirates qui utilisent des attaques de corruption de cache/redirection peuvent pirater n'importe quelle étape du processus de recherche DNS et prendre le contrôle d'une session, par exemple, pour diriger les utilisateurs vers leurs propres sites Web mensongers afin de récupérer leur compte et leur mot de passe. La solution consiste à déployer de bout en bout les extensions de sécurité DNS (DNSSEC). Le protocole DNSSEC doit être utilisé pour

signer des données numériquement afin d'assurer leur validité et il doit être déployé à chaque étape du processus de recherche pour garantir que l'utilisateur se connecte au site Web ou service qui correspond bien à un nom de domaine spécifique. Pour tirer parti du DNSSEC, vous avez besoin d'un système interne de gestion des clés ou d'un fournisseur de services proposant une gestion des clés et pouvant fournir un trafic DNSSEC.

Le fournisseur de services utilise-t-il un registre fiable ?De nombreux registres ne disposent pas de processus d'entreprise infaillibles pour se protéger des attaques par phishing ; le site est alors supprimé du registre. Recherchez un fournisseur de sécurité des applications Web dans le cloud proposant ses propres services de registre, assortis de contrôles stricts pour éviter les attaques d'ingénierie sociale.

Pour en savoir plus sur les WAF :

1. Cloudification des attaques DDoS sur le Web : https://blogs.akamai.com/2014/04/

cloudification-of-web-ddos-attacks.

html/

2. L'attaque Web aux yeux de l'équipe des services professionnels d'Akamai : https://blogs.akamai.com/2014/03/

what-a-web-attack-looks-like-to-

akamais-professional-services-team-

lessons-from-the-defense-of-a-rec.

html/

3. Liste de contrôle en cas d'attaque DDoS : https://blogs.akamai.com/2014/03/a-

ddos-checklist.html/

Protection contre les attaques DNS

https://blogs.akamai.com/2014/%2003/what-a-web-attack-looks-like-to-akamais-professional-services-team-lessons-from-the-defense-of%20-a-rec.html/












https://blogs.akamai.com/2014/03/a-ddos-%20checklist.html/





CHAPITRE 5

Aucune solution de sécurité ne peut relever tous les

défis en matière de sécurité. Vous devrez adopter une

approche multicouche. Les solutions de sécurité Internet

optimales associent l'acquisition de solutions de sécurité

à des mesures internes afin de réduire les failles de sécurité

de vos applications et sites Web.

BONNES PRATIQUES DE SÉCURITÉ SUR INTERNET : Failles de sécurité courantes des applications Web et solutions pour y remédier


Pour traiter les failles de sécurité des applications Web, la première étape consiste à comprendre leur origine et à identifier celles qui sont le plus susceptibles d'affecter vos systèmes. On trouve des failles de sécurité aussi bien dans les applications personnalisées (développées en interne) que dans les logiciels tiers.

Failles de sécurité des applications personnaliséesLes entreprises qui développent leurs propres applications s'exposent aux failles de sécurité dues à une conception ou à une implémentation non sécurisée. Ces failles sont appelées failles de sécurité inconnues ou spécifiques aux applications car elles sont inconnues des hackers tant que ceux-ci n'entrent pas en interaction avec l'application.

Failles de sécurité des logiciels tiersLes hackers pourraient rechercher les failles de sécurité des logiciels personnalisés, mais il est bien plus facile de s'en prendre à celles des logiciels tiers. La plupart des applications Web utilisent certains logiciels standard, tels que les plug-ins, les logiciels de forum Web ou les

logiciels de blog, qui présentent des failles de sécurité. Les chercheurs dans le domaine de la sécurité décèlent des points faibles sur ces produits célèbres, avertissent le fournisseur, puis diffusent un avis public sur le problème.

N'importe qui, y compris les hackers, peut avoir accès à ces publications. Les hackers reprennent ces problèmes connus et recherchent sur Internet les machines concernées, en particulier les failles d'injection SQL, Remote File Inclusion et Local File Inclusion. Comme les administrateurs et les propriétaires de sites attendent généralement quelque temps avant d'appliquer les correctifs à leurs sites, les pirates trouvent toujours des machines vulnérables.

Les hackers ont récemment découvert qu'il était plus judicieux de prendre possession de serveurs Web (plutôt que des ordinateurs des utilisateurs), car ils disposent de davantage de bande passante et peuvent être utilisés ultérieurement pour générer des volumes d'attaques plus conséquents.

L'OWASP (Open Web Application Security Project) est une communauté ouverte dont la vocation est de permettre aux entreprises de développer, d'acheter et de gérer des applications fiables. L'OWASP a défini une liste des 10 risques les plus critiques auxquels sont confrontées les entreprises aujourd'hui.

1. Injection

2. Violation de gestion d'authentification et de session

3. Cross-Site Scripting (XSS)

4. Référence directe non sécurisée à un objet

5. Configuration inadéquate de la sécurité

6. Exposition des données sensibles

7. Manque de contrôle d'accès au niveau fonctionnel

8. Falsification de requête inter-site (CSRF, Cross-Site Request Forgery)

9. Utilisation de composants vulnérables connus

10. Redirections et renvois non validés

Quelles sont les failles de sécurité les plus fréquentes ?


Afin de minimiser les failles de sécurité de vos applications Web, il est important d'améliorer les mesures que vous prenez pour assurer votre sécurité sur Internet. Il faut pour cela appliquer les meilleures pratiques recommandées en termes de conception, d'implémentation, de configuration, de test et de gestion des applications : Mettez vos logiciels à jour et installez les correctifs les plus récentsNul code n'est parfait. Tôt ou tard, des anomalies vont apparaître. Parmi elles, les plus graves concernent les problèmes de sécurité. Votre première ligne de défense contre les attaques malveillantes est de disposer de la version la plus à jour de vos logiciels de serveur d'applications et serveur Web et d'installer les correctifs de sécurité le plus rapidement possible.

Les plug-ins logiciels et les modules complé-mentaires (tels que les plug-ins WordPress) peuvent être particulièrement vulnérables car ils sont souvent développés par des programmeurs inexpérimentés ou proviennent de sources qui ne respectent pas toujours les règles de codage. N'utilisez que les plug-ins dont vous avez besoin et vérifiez qu'ils sont à jour.

Définissez des configurations sécurisées Des erreurs de configuration de la sécurité peuvent avoir lieu à tout niveau de la couche applicative, y compris la plate-forme, le serveur Web, le serveur d'applications, la base de données et le code personnalisé. Les développeurs et les administrateurs système doivent travailler main dans la main pour s'assurer que la couche applicative tout entière est correctement configurée.

Points à prendre en considération pour une configuration sécurisée :• Utilisation appropriée du chiffrement pour

les données en mouvement et les données au repos

• Suppression des comptes inutiles• Désactivation ou suppression des services

inutiles• Respect du principe de privilège minimal On

peut facilement commettre des erreurs de configuration d'un serveur Web et permettre à des utilisateurs malveillants d'avoir accès à des informations qu'ils n'étaient pas censés atteindre : pages d'administration, répertoires, des éléments que les utilisateurs normaux ne devraient pas voir et qui permettent aux hackers d'élaborer une attaque plus

importante. Un système bien configuré doit permettre aux utilisateurs d'accéder uniquement à ce qui leur est absolument nécessaire.

Développez une configuration standard et un processus de durcissement reproductible pour accélérer et faciliter le déploiement de systèmes et assurez-vous qu'ils sont correctement verrouillés. Les environnements de développement, d'assurance qualité et de production doivent tous être configurés de la même manière, à l'aide d'un processus automatisé, pour minimiser les efforts nécessaires à la configuration d'un nouvel environnement sécurisé. Effectuez périodiquement des analyses et des audits pour détecter les erreurs de configuration.Écrivez du code sécuriséGardez la sécurité à l'esprit aussi bien lorsque vous développez des logiciels de toutes pièces que lorsque vous écrivez des modules d'extension pour des logiciels existants. Il est moins coûteux de trouver les problèmes de sécurité et d'y remédier au tout début du cycle de développement que de corriger le code une fois que l'application est en production.

Comment répondre aux failles de sécurité courantes des applications Web


Exigences

Déploiement Conception

Test Codage

Vous pouvez éviter la plupart des anomalies et des points faibles par la mise en œuvre attentive et systématique de la sécurité au cours des phases de définition des exigences, architecture et conception de l'application. Par exemple, modélisez les menaces en amont pour identifier les pages présentant le plus de logique, et donc des temps de chargement plus longs, et qui pourraient justifier un système de défense supplémentaire contre les attaques DoS. Veillez à former le personnel chargé de diffuser les applications Web à l'intégration de la sécurité dans le cycle de développement des logiciels et mettez en place des processus pour orienter ses efforts.

Parmi les protections les plus efficaces qu'il convient d'intégrer dans les logiciels, vous devez mettre en œuvre les éléments suivants :

• Validation des saisies. La plupart des failles de sécurité sont provoquées par un manque de validation et de sécurisation des saisies de l'utilisateur. Méfiez-vous toujours des saisies de l'utilisateur. Intégrez une validation des saisies sur les champs de formulaire afin de contrer les attaques par dépassement de tampon, par injection de code et autres attaques capables de détruire la logique d'application.

• Chiffrement. Chiffrez aussi bien les données en mouvement que les données au repos, en utilisant les dernières normes de chiffrement du secteur.

Un cycle de développement de logiciels sécurisé

Source : http://resources.infosecinstitute.com/intro-secure-software-development-life-cycle/

Pour garantir la sécurité de

vos applications, il est bien

plus efficace d'intégrer la

sécurité dès le départ. Prenez

en compte la sécurité pendant

chacune des phases du cycle

de développement de logiciels

présenté ci-contre.


Analysez le code et les plug-insAussi soigneux qu'aient été la conception et le développement d'une application, le code présentera toujours des faiblesses. Celles-ci ne sautent pas toujours aux yeux et bon nombre sont propagées au moment où les développeurs intègrent des extraits de code existant dans plusieurs applications. L'analyse des failles de sécurité permet de détecter les portes dérobées de l'application, le code malveillant et les autres menaces pouvant exister dans les logiciels achetés et les applications développées en interne.

Deux types d'analyse des failles de sécurité sont disponibles : le test statique et le test dynamique.

• Test statique : il scrute le code source de l'application et vous indique à quel niveau l'application est vulnérable aux entrées malveillantes telles que l'injection SQL. Le test statique examine chaque ligne de code et identifie l'emplacement exact de chaque point faible. Les outils automatisés peuvent même fournir des recommandations en termes d'atténuation, ce qui réduit le temps

de recherche. Néanmoins, les résultats sont très théoriques et ont tendance à inclure aussi bien des faux négatifs que des faux positifs. Autrement dit, vous obtiendrez une longue liste de failles de sécurité qui échapperont probablement aux hackers, et il est possible que les outils passent à côté de certaines autres.

• Test dynamique : il identifie les failles de sécurité dans l'environnement d'exécution en imitant le mode opératoire d'un hacker. Ce type d'analyse parcourt les sites Web, remplit des formulaires, envoie des requêtes et examine la structure de l'application. Il commence ensuite à bombarder l'application d'entrées malveillantes à la recherche de failles de sécurité. Ce type de test a pour avantages de détecter de véritables failles de sécurité et d'identifier des failles de sécurité qui auraient pu échapper à des outils statiques. En revanche, il est limité. Les applications Web sont très complexes et l'analyse peut difficilement parcourir l'application dans son intégralité ; la couverture est donc moins importante qu'avec un test statique.

Pour détecter la plupart des failles de sécurité, sinon toutes, la meilleure solution est de combiner ces deux types d'analyse. Certains fournisseurs de services d'analyse proposent ces deux fonctionnalités dans une seule et même solution.

Installez un WAFL'installation d'un WAF vous donne plus de temps pour corriger les failles de sécurité. Un WAF permet d'appliquer des correctifs virtuels sur l'application en développant une règle destinée à bloquer la nouvelle faille de sécurité jusqu'à ce que vous puissiez apporter une correction permanente.

Lors de la mise en œuvre d'un WAF, veillez à tester, surveiller et mettre à jour la configuration par défaut avec des règles adaptées à votre environnement d'application spécifique. N'oubliez pas qu'aucun outil de sécurité n'est destiné à être installé et laissé en l'état. Conformément aux bonnes pratiques, vous devez examiner et mettre à jour votre ensemble de règles au moins tous les trimestres et idéalement tous les mois.


Analysez la précision du WAFVeillez à analyser la précision du WAF. Évaluez-le en termes de capacité à bloquer les attaques et à autoriser le trafic légitime. Pour cela, déterminez :

• le nombre d'attaques réelles qui ont été bloquées (vrais positifs)

• le nombre de requêtes valides qui ont été autorisées (vrais négatifs)

• le volume de trafic légitime qui a été bloqué de façon inappropriée (faux positifs)

• le nombre d'attaques qui ont été autorisées (faux négatifs)

• Découvrez le coefficient de corrélation de Matthews et comment l'appliquer à votre WAF (http://en.wikipedia.org/wiki/Matthews_correlation_coefficient).

Recherchez (ou créez) une solution de test de WAF pour évaluer la précision de votre déploiement. Cet outil doit envoyer du trafic légitime et des attaques réelles et vous permettre d'ajouter facilement des cas d'essai de trafic légitime et d'attaques. Il doit recueillir des statistiques précises et vous donner de précieuses informations sur chaque test, notamment la requête complète, la réponse, le comportement attendu et la nature de la requête. Il doit également offrir des fonctions de reporting.

http://en.wikipedia.org/wiki/Matthews_correlation_coefficient

http://en.wikipedia.org/wiki/Matthews_correlation_coefficient


À l'heure où vos données et vos services sont de plus en plus hébergés sur Internet, vous ne pouvez plus compter sur un périmètre de protection solide pour assurer la sécurité de vos systèmes et de vos données. Il vous faut des solutions spécialement conçues pour lutter contre les menaces de sécurité susceptibles de survenir sur Internet, en particulier les attaques DoS/DDoS au niveau de la couche réseau et de la couche applicative ainsi que les tentatives de vol de données.

Cet eBook a présenté les types de menaces qui mettent à mal les ressources Internet, les éléments indispensables d'une solution et les possibilités qui s'offrent à vous. Quelle que soit la solution choisie, profitez d'une approche multicouche fournissant suffisamment de bande passante au niveau de la couche réseau et n'autorisant que le trafic HTTP sur le réseau. Au niveau de la couche applicative, respectez les processus de développement sécurisés et adoptez de bonnes pratiques en matière de sécurité sur Internet. Implémentez aussi un WAF complet pour gérer les attaques qui pourraient passer au travers des mailles du filet. Par la mise en place d'un ensemble complet de contrôles de sécurité, votre entreprise peut minimiser les risques liés au maintien de sa présence sur

Internet.

Pour obtenir les informations les plus récentes sur le paysage des menaces DDoS, téléchargez le dernier rapport trimestriel sur les attaques Pour plus d'informations sur le paysage Internet et la sécurité en général, téléchargez le rapport État des lieux de l'Internet publié par Akamai

CONCLUSION

http://www.prolexic.com/knowledge-center-dos-and-ddos-attack-reports.html%20



Lancez dès à présent votre plan de sécurité des applications Web !

Suivez ces 5 étapes pour améliorer votre profil de sécurité des applications Web :

1. Évaluez les risques de sécurité les plus susceptibles d'avoir un impact sur vos sites Web et applications Web.

2. Dressez l'inventaire de vos contrôles de sécurité existants et déterminez les contrôles de sécurité supplémentaires indispensables pour atténuer ces risques.

3. Évaluez les failles de sécurité de vos applications Web et appliquez les bonnes pratiques de la sécurité sur Internet pour y remédier.

4. Recherchez les possibilités qui s'offrent à vous.

5. Mettez en œuvre votre solution multicouche.

Le paysage de la cyber-sécurité est en évolution constante.

Akamai restera au fait des tendances du marché et ne

manquera pas de vous informer des dernières innovations.

Pour consulter les commentaires quotidiens sur le secteur de la sécurité, CONSULTEZ NOTRE BLOG }

http://blogs.akamai.com

Si vous souhaitez vous entretenir avec un représentant, APPELEZ LE 1.877.425.2624 ou

CONTACTEZ NOTRE ÉQUIPE DE VENTE } dès aujourd'hui à l'adresse : http://www.akamai.com/html/forms/sales_form.html ?utm_campaign=error-pages&utm_source=404&utm_content=email-us



http://www.akamai.com/html/forms/sales_form.html


http://www.akamai.com/html/forms/sales_form.html?utm_campaign=error-pages&utm_source=404&utm_content=email-us




RESSOURCES PRÉCIEUSES :12 experts en sécurité à connaître - Vous avez besoin d'aide pour mieux comprendre les toutes dernières tendances de la cyber-sécurité ? Les experts présentés ci-après comptent parmi les plus grands noms du secteur et sont très présents sur les réseaux sociaux.

Suivez-les pour faire le plein d'actualités sur la sécurité informatique, et appréciez leur humour.

ANDY ELLIS ....................................................................... Chief Security Officer, Akamai .................................................................................. Twitter : @CSOAndy

ANDREW JAQUITH ....................................................... CTO, SilverSky ................................................................................................................. Twitter : @arj

BILL BRENNER ................................................................. Security Evangelist, Akamai ........................................................................................ Twitter : @BillBrenner70

BRIAN KREBS ................................................................... Journaliste d'investigation .......................................................................................... Twitter : @BrianKrebs

CHRIS HOFF ........................................................................ VP Stratégie et planification, Juniper Networks .................................................. Twitter : @Beaker

JACK DANIEL ..................................................................... Technical Project Manager, Tenable ......................................................................... Twitter : @jack_daniel

JOSHUA CORMAN ....................................................... CTO, Sonatype ................................................................................................................ Twitter : @JoshCorman

MARTIN MCKEAY ......................................................... Security Evangelist, Akamai ........................................................................................ Twitter : @Mckeay

MICHAEL SMITH ............................................................ CSIRT Director, Akamai ................................................................................................. Twitter : @rybolov

MIKE ROTHMAN ........................................................... President, Securosis ....................................................................................................... Twitter : @securityincite

RICH MOGULL .................................................................. CEO, Securosis ................................................................................................................ Twitter : @RMogull

STEPHANIE BALAOURAS .......................................... VP et Research Director, Forrester Research ......................................................... Twitter : @sbalaouras

ANNEXE 1


SUGGESTIONS DE LECTURE Rapport mondial sur les attaques DDoS Restez au fait des tendances en matière de cyber-sécurité.

Études de cas Découvrez comment d'autres entreprises protègent leurs sites Web des

attaques DDoS.

Alertes de sécurité PLXsert Découvrez les menaces DDoS actuelles et les mesures à prendre pour se

protéger.

L'homme, la machine et la protection contre les attaques DDoS Découvrez pourquoi l'expertise humaine en matière de cyber-sécurité est

indispensable dans le contexte actuel des menaces.

Ovum : une protection efficace contre les attaques DDoS Lisez le rapport de cet analyste et vous saurez pourquoi la protection

contre les attaques DDoS doit faire partie de votre plan de réponse en matière de sécurité.

ANNEXE 2

http://www.prolexic.com/knowledge-center-dos-and-ddos-attack-reports.html

http://www.akamai.com/html/ms/security.html



http://www.prolexic.com/knowledge-center-white-paper-man-machine-and-ddos-mitigation.html

http://www.prolexic.com/knowledge-center-analyst-report-ovum-delivering-effective-ddos-protection.html


© 2014 Akamai. Tous droits réservés.

http://www.akamai.com

Documents

MENACES ET PRÉVENTION GUIDE DE LA SÉCURITÉ WEB … · 2019. 3. 4. · La popularité croissante des sites Web et applications Web s'accompagne d'une explosion tout aussi impressionnante