Aujourd'hui, nous allons nous pencher sur un type typique d'attaque DDOS : une attaque par inondation TLS. Les attaques par inondation TLS (Transport Layer Security) peuvent submerger la plupart des solutions de protection DDoS. Donc si vous utilisez la mauvaise solution, votre application web court de grands risques !
Aujourd'hui, Fire Umbrella Cloud vous fera découvrir ce que sont les attaques par inondation TLS et comment elles fonctionnent, puis Fire Umbrella Cloud partagera quelques conseils pratiques sur la façon de protéger vos applications Web contre cette menace croissante.
1. Risques cachés du trafic TLS
TLS peut fournir une protection solide contre de nombreux types d’attaques réseau, mais il n’est pas à l’abri des attaques DoS (Denial of Service). Une attaque DoS est un type d'attaque DDoS conçu pour surcharger une application Web en envoyant de grandes quantités de trafic crypté. Ce type d'attaque est légal du point de vue de la logique du système, mais il s'agit en fait d'un abus de requête pour perturber l'utilisation normale de l'application. Les pirates créeraient des connexions TLS logiques au système et répondraient même correctement aux défis de couche 4 et de couche 7 envoyés pour confirmer l'identité de l'utilisateur. Les attaquants lancent des attaques plus fréquentes et plus soutenues sur les sites Web ciblés, et ils peuvent inonder le site Web de flux CPS (connexions par seconde) ou RPS (requêtes par seconde) et les mettre hors ligne.
Selon le rapport d’analyse des menaces mondiales 2022-2023, la fréquence des cyberattaques augmente, mais leur ampleur diminue. Les attaquants utilisent des attaques à plus petite échelle et les combinent avec d'autres vecteurs d'attaque pour maximiser leur impact,
Voici quelques risques potentiels supplémentaires qui peuvent se cacher derrière les attaques sur le trafic TLS :
Logiciels malveillants : les pirates peuvent utiliser le cryptage TLS pour masquer le trafic de logiciels malveillants, ce qui rend plus difficile leur détection et leur arrêt par les mesures de sécurité.
Vol de données : les pirates peuvent utiliser TLS pour voler des données transmises sur Internet, qui peuvent inclure des informations sensibles telles que des informations de connexion, des informations financières et des données personnelles.
Attaques de l'homme du milieu (MitM) : TLS est conçu pour empêcher les attaques MitM, mais il n'est pas infaillible, et si les attaquants peuvent intercepter le trafic TLS, ils pourront peut-être décrypter et lire les données, voler des informations sensibles ou manipuler communications.
2. Défis liés à la détection et à l'atténuation des attaques d'inondation cryptées
Détecter et atténuer les attaques crypto-inondations peut être difficile pour un certain nombre de raisons.
Les principales difficultés sont :
Difficulté à identifier le trafic malveillant (faux positifs/faux négatifs) . Comme mentionné précédemment, le chiffrement TLS peut rendre difficile l'identification et le blocage du trafic malveillant. Les attaques par inondation chiffrées peuvent générer un grand nombre de faux positifs, ce qui peut conduire à des alertes de sécurité inutiles et affecter les performances des solutions de sécurité. Une détection précise de ces attaques nécessite menaces avancées Une solution de détection capable de distinguer le trafic légitime du trafic malveillant.
Énorme consommation de ressources . Le décryptage du trafic nécessite, entre autres ressources, une puissance de traitement et une mémoire importantes. Si une attaque DDoS inonde un serveur de trafic déchiffré, elle peut rapidement submerger les ressources du serveur et le rendre incapable de gérer le trafic légitime.
Énorme quantité d'informations transférées . Une attaque DDoS Flood génère beaucoup de trafic, bien plus qu'un serveur ne peut gérer, et si ce trafic est également déchiffré, cela peut encore augmenter la latence et la charge sur le serveur, ce qui rend plus difficile l'atténuation de l'attaque.
question de coût . Détecter et atténuer les attaques par crypto-inondation peut s'avérer coûteux, en particulier dans les environnements cloud où les clients paient pour le traitement, et il peut s'avérer coûteux pour les organisations d'investir dans des solutions et une infrastructure de sécurité avancées pour se protéger contre ces attaques.
3. Préparez vos appareils aux attaques par inondation de cryptomonnaies
La plupart des solutions DDoS sur le marché aujourd'hui nécessitent 24*7*365 jours de décryptage complet pour détecter et atténuer les attaques d'inondation cryptées.
Et il reste encore quelques problèmes à résoudre :
Les clients ne souhaitent pas partager leurs informations d'identification et/ ou n'y ont pas accès , ce qui rend la détection et l'atténuation basées sur le décryptage irréalisables.
Le décryptage du trafic 24*7*365 jours pour détecter les attaques n'est pas recommandé en raison de l'impact sur les performances, de la latence (expérience utilisateur), des problèmes de confidentialité, des défis techniques et du coût .
Voici les recommandations de Huo Umbrella Cloud sur la manière de protéger efficacement votre environnement contre les attaques par inondation de cryptomonnaies :
La solution sans déchiffrement est un mécanisme comportemental basé sur l'apprentissage automatique (ML) qui détecte et atténue les inondations chiffrées sans décryptage, une fonctionnalité clé en particulier pour les inondations CPS et RPS chiffrées.
Avec la solution de décryptage partiel conçue pour optimiser l'expérience utilisateur en minimisant la latence, cette technologie innovante décrypte le trafic après la détection d'une attaque et uniquement sur les sessions suspectes, laissant intact le trafic légitime. Après détection, le moyen le plus efficace consiste à décrypter uniquement la « première requête HTTPS » et à vérifier la source. Vous pouvez décrypter la session suspecte et atténuer l'attaque avec les protections traditionnelles.
Lorsque le décryptage du trafic maximise la consommation du processeur, une solution évolutive doit être utilisée . Dans ce cas, la solution doit disposer d'un matériel d'accélérateur TLS prenant en charge TLS v1.3 pour prendre en charge le processeur en déchargeant le processus de décryptage. Prise en charge de TLS v1.3 . Si vous choisissez cette solution, vous comprenez déjà l'importance de TLS v1.3, assurez-vous simplement que votre environnement prend en charge le protocole et peut décrypter le trafic TLS v1.3 si nécessaire.
4. Veuillez configurer une stratégie de défense multicouche pour votre système
Dans l’ensemble, il est important de disposer d’une stratégie de défense à plusieurs niveaux, qui doit inclure l’utilisation d’une protection DDoS spécialisée capable de détecter les modèles suspects sans décryptage, d’atténuer automatiquement les attaques par inondation de chiffrement et de rendre vos sites Web et applications accessibles aux utilisateurs. fourni par Fire Umbrella Cloud prend en charge les solutions de protection DDoS multicouches L3/L4 à L7, bienvenue pour consulter et comprendre.