Les attaques par déni de service distribué (DDoS)) sont malheureusement plus courantes que nous le souhaiterions. C'est pourquoi les organisations doivent se protéger activement contre eux et contre d'autres menaces. Et bien que ces types d'attaques puissent être désagréables et avoir un impact majeur sur vos systèmes, elles sont également relativement faciles à détecter.
Dans cet article, nous examinerons les moyens de protéger vos actifs contre les attaques DDoS et passerons en revue certains produits qui peuvent vous aider.
Nous commencerons par décrire ce que sont les attaques DDoS. Comme vous allez le découvrir, leur principe de fonctionnement est aussi simple que leur impact potentiel est élevé. Nous explorerons également comment ces attaques sont souvent classées et comment différents types d'attaques diffèrent réellement. Ensuite, nous verrons comment se protéger contre les attaques DDoS. Nous verrons comment les réseaux de diffusion de contenu peuvent éloigner les attaquants de vos serveurs et comment les équilibreurs de charge peuvent détecter une attaque et éloigner les attaquants. Mais pour les rares attaques qui parviennent à atteindre vos serveurs, vous avez besoin d'une protection locale. C'est là que les systèmes de gestion des informations et des événements de sécurité (SIEM) peuvent aider. Notre prochain ordre du jour sera donc d'examiner certains des meilleurs systèmes SIEM que nous ayons pu trouver.
À propos des attaques DDoS
Une attaque par déni de service (DoS) est une tentative malveillante d'affecter la disponibilité d'un système ciblé, tel qu'un site Web ou une application, pour ses utilisateurs finaux légitimes. En règle générale, les attaquants génèrent de gros volumes de paquets ou de requêtes écrasant finalement le système cible. Une attaque par déni de service distribué (DDoS) est un type spécifique d'attaque DoS dans laquelle l'attaquant utilise plusieurs sources compromises ou contrôlées pour générer l'attaque. Les attaques DDoS sont souvent classées en fonction de la couche du modèle OSI qu'elles attaquent, la plupart des attaques se produisant au niveau de la couche réseau (couche 3), du transport (couche 4), de la présentation (couche 6) et de la couche Application (couche 7 ).
Les attaques au niveau des couches inférieures (telles que 3 et 4) sont généralement classées comme des attaques de la couche Infrastructure. Ils sont de loin le type d'attaque DDoS le plus courant et ils incluent des vecteurs tels que les inondations SYN et d'autres attaques par réflexion comme les inondations UDP. Ces attaques sont généralement volumineuses et visent à surcharger la capacité du réseau ou des serveurs d'applications. La bonne chose (pour autant qu'il y ait quelque chose de bon à être attaqué), c'est qu'il s'agit d'un type d'attaque qui a des signatures claires et qui sont plus faciles à détecter.
Quant aux attaques aux couches 6 et 7, elles sont souvent classées comme des attaques de couche Application. Bien que ces attaques soient moins fréquentes, elles ont également tendance à être plus sophistiquées. Ces attaques sont généralement de faible volume par rapport aux attaques de la couche Infrastructure, mais elles ont tendance à se concentrer sur des parties particulièrement coûteuses de l'application. Des exemples de ces types d'attaques incluent un flot de requêtes HTTP vers une page de connexion ou une API de recherche coûteuse, ou même des flots WordPress XML-RPC, qui sont également connus sous le nom d'attaques de pingback WordPress.
À LIRE : 7 meilleurs systèmes de prévention des intrusions (IPS)
Protection contre les attaques DDoS
Pour se protéger efficacement contre une attaque DDoS, le temps presse. Il s'agit d'un type d'attaque en temps réel, il nécessite donc une réponse en temps réel. Ou le fait-il ? En fait, une façon de se protéger contre les attaques DDoS consiste à envoyer les attaquants ailleurs que sur vos serveurs.
Une façon d'y parvenir est de distribuer votre site Web via un certain type de réseau de distribution de contenu (CDN). En utilisant un CDN, les utilisateurs de votre site Web (à la fois légitimes et attaquants potentiels) n'attaquent jamais vos serveurs Web mais ceux du CDN, protégeant ainsi vos serveurs et garantissant que toute attaque DDoS n'affectera qu'un sous-ensemble relativement petit de vos clients.
Un autre moyen d'empêcher les attaques DDoS d'atteindre vos serveurs consiste à utiliser des équilibreurs de charge. Les équilibreurs de charge sont des appliances qui sont généralement utilisées pour orienter les connexions serveur entrantes vers plusieurs serveurs. La principale raison pour laquelle ils sont utilisés est de fournir une capacité supplémentaire. Supposons qu'un seul serveur puisse gérer jusqu'à 500 connexions par minute mais que votre entreprise se soit développée et que vous ayez maintenant 700 connexions par minute. Vous pouvez ajouter un deuxième serveur avec un équilibreur de charge et les connexions entrantes seront automatiquement équilibrées entre les deux serveurs. Mais les équilibreurs de charge les plus avancés ont également des fonctionnalités de sécuritéqui peut, par exemple, reconnaître les symptômes d'une attaque DDoS et envoyer la demande à un serveur factice au lieu de potentiellement surcharger vos serveurs. Bien que l'efficacité de ces technologies varie, elles constituent une bonne première ligne de défense.
Informations de sécurité et gestion des événements à la rescousse
Les systèmes de gestion des informations et des événements de sécurité (SIEM) sont l'un des meilleurs moyens de se protéger contre les attaques DDoS. Leur façon de fonctionner permet de détecter presque tout type d'activité suspecte et leurs processus de correction typiques peuvent aider à arrêter les attaques sur leur élan. SIEM est souvent la dernière ligne de défense contre les attaques DDoS. Ils piégeront toute attaque qui parvient réellement à vos systèmes, ceux qui ont réussi à contourner d'autres moyens de protection.
Les principaux éléments de SIEM
Nous sommes sur le point d'explorer plus en détail chaque composant majeur d'un système SIEM. Tous les systèmes SIEM n'incluent pas tous ces composants et, même lorsqu'ils le font, ils peuvent avoir des fonctionnalités différentes. Cependant, ce sont les composants les plus basiques que l'on trouverait généralement, sous une forme ou une autre, dans n'importe quel système SIEM.
Collecte et gestion des journaux
La collecte et la gestion des journaux sont le composant principal de tous les systèmes SIEM. Sans elle, il n'y a pas de SIEM. Le système SIEM doit acquérir des données de journal à partir d'une variété de sources différentes. Il peut soit le tirer, soit différents systèmes de détection et de protection peuvent le pousser vers le SIEM. Chaque système ayant sa propre façon de catégoriser et d'enregistrer les données, il appartient au SIEM de normaliser les données et de les uniformiser, quelle que soit leur source.
Après la normalisation, les données enregistrées seront souvent comparées à des modèles d'attaque connus dans le but de reconnaître le plus tôt possible les comportements malveillants. Les données seront également souvent comparées aux données précédemment collectées pour aider à créer une base de référence qui améliorera encore la détection des activités anormales.
A LIRE AUSSI : Meilleurs services de journalisation dans le cloud testés et examinés
Réponse à l'événement
Une fois qu'un événement est détecté, quelque chose doit être fait à ce sujet. C'est à cela que sert le module de réponse aux événements du système SIEM. La réponse à l'événement peut prendre différentes formes. Dans sa mise en œuvre la plus basique, un message d'alerte sera généré sur la console du système. Souvent, des alertes par e-mail ou SMS peuvent également être générées.
Mais les meilleurs systèmes SIEM vont encore plus loin et initieront souvent un processus correctif. Encore une fois, c'est quelque chose qui peut prendre plusieurs formes. Les meilleurs systèmes ont un système complet de workflow de réponse aux incidents qui peut être personnalisé pour fournir exactement la réponse que vous souhaitez. Et comme on pouvait s'y attendre, la réponse aux incidents n'a pas besoin d'être uniforme et différents événements peuvent déclencher différents processus. Les meilleurs systèmes vous donneront un contrôle total sur le workflow de réponse aux incidents. Gardez à l'esprit que lorsque vous recherchez une protection contre les événements en temps réel tels que les attaques DDoS, la réponse aux événements est probablement la caractéristique la plus importante.
Tableau de bord
Une fois que vous avez mis en place le système de collecte et de gestion des journaux et les systèmes de réponse, le prochain module important est le tableau de bord. Après tout, ce sera votre fenêtre sur l'état de votre système SIEM et, par extension, l'état de la sécurité de votre réseau . Ils sont un élément si important que de nombreux outils offrent plusieurs tableaux de bord. Parce que différentes personnes ont des priorités et des intérêts différents, le tableau de bord parfait pour un administrateur réseau sera différent de celui d'un administrateur de sécurité, et un cadre en aura également besoin d'un complètement différent.
Bien que nous ne puissions pas évaluer un système SIEM en fonction du nombre de tableaux de bord dont il dispose, vous devez en choisir un qui possède le ou les tableaux de bord dont vous avez besoin. C'est certainement quelque chose que vous voudrez garder à l'esprit lorsque vous évaluerez les fournisseurs. La plupart des meilleurs systèmes vous permettront d'adapter des tableaux de bord intégrés ou de créer des tableaux de bord personnalisés à votre guise.
Rapports
Le prochain élément important d'un système SIEM est le reporting. Vous ne le savez peut-être pas encore et ils ne vous aideront pas à prévenir ou à arrêter les attaques DDoS, mais vous aurez éventuellement besoin de rapports. La haute direction aura besoin d'eux pour voir par eux-mêmes que leur investissement dans un système SIEM porte ses fruits. Vous pourriez également avoir besoin de rapports à des fins de conformité. La conformité aux normes telles que PCI DSS, HIPAA ou SOX peut être facilitée lorsque votre système SIEM peut générer des rapports de conformité.
Bien que les rapports ne soient pas au cœur d'un système SIEM, ils restent des composants essentiels. Et souvent, le reporting sera un facteur de différenciation majeur entre les systèmes concurrents. Les rapports sont comme des bonbons, vous ne pouvez jamais en avoir trop. Et bien sûr, les meilleurs systèmes vous permettront d'adapter les rapports existants ou d'en créer des personnalisés.
Les meilleurs outils pour se protéger contre les attaques DDoS
Bien qu'il existe différents types d'outils qui peuvent aider à se protéger contre les attaques DDoS, aucun n'offre le même niveau de protection directe que les informations de sécurité et les outils de gestion des événements. C'est ce que tous les outils de notre liste sont en fait des outils SIEM. N'importe lequel des outils de notre liste fournira un certain degré de protection contre de nombreux types de menaces, y compris DDoS. Nous énumérons les outils dans l'ordre de nos préférences personnelles mais, malgré leur ordre, tous les six sont d'excellents systèmes que nous ne pouvons que vous recommander de les essayer par vous-même et de voir comment ils s'adaptent à votre environnement.
1. Gestionnaire d'événements de sécurité SolarWinds (ESSAI GRATUIT)
Vous avez peut-être déjà entendu parler de SolarWinds . Le nom est connu de la plupart des administrateurs réseau et avec raison. Le produit phare de la société, le Network Performance Monitor est l'un des meilleurs outils de surveillance de la bande passante réseau disponibles. Mais ce n'est pas tout, l'entreprise est également réputée pour ses nombreux outils gratuits comme son Advanced Subnet Calculator ou son serveur SFTP .
SolarWinds dispose d'outils pour à peu près toutes les tâches de gestion de réseau, y compris SIEM. Bien que SolarWinds Security Event Manager (également appelé SEM ) soit mieux décrit comme un système SIEM d'entrée de gamme, il s'agit probablement de l'un des systèmes SIEM d'entrée de gamme les plus compétitifs du marché. Le SolarWinds S EM a tout ce que vous attendez d'un système SIEM. Il possède d'excellentes fonctionnalités de gestion des journaux et de corrélation, un excellent tableau de bord et un moteur de création de rapports impressionnant.
Le gestionnaire d'événements de sécurité SolarWinds vous alertera des comportements les plus suspects, vous permettant de consacrer plus de temps et de ressources à d'autres projets critiques. L'outil dispose de centaines de règles de corrélation intégrées pour surveiller votre réseau et rassembler les données des différentes sources de journaux afin d'identifier les menaces potentielles en temps réel. Et vous n'obtenez pas seulement des règles de corrélation prêtes à l'emploi pour vous aider à démarrer, la normalisation des données de journal permet de créer une combinaison infinie de règles. De plus, la plate-forme dispose d'un flux de renseignements sur les menaces intégré qui permet d'identifier les comportements provenant d'acteurs malveillants connus.
Les dommages potentiels causés par une attaque DDoS sont souvent déterminés par la rapidité avec laquelle vous identifiez la menace et commencez à y faire face. Le gestionnaire d'événements de sécurité SolarWinds peut accélérer votre réponse en les automatisant chaque fois que certaines règles de corrélation sont déclenchées. Les réponses peuvent inclure le blocage d'adresses IP, la modification de privilèges, la désactivation de comptes, le blocage de périphériques USB, la suppression d'applications, etc. Le système de réponse avancé en temps réel de l'outil réagira activement à chaque menace. Et comme il est basé sur le comportement plutôt que sur la signature, vous êtes protégé contre les menaces inconnues ou futures. Cette fonctionnalité à elle seule en fait un excellent outil de protection DDoS.
Le gestionnaire d'événements de sécurité SolarWinds est concédé sous licence par le nombre de nœuds qui envoient des informations sur les journaux et les événements. Dans ce contexte, un nœud est tout périphérique (serveur, périphérique réseau, ordinateur de bureau, ordinateur portable, etc.) à partir duquel des données de journal et/ou d'événement sont collectées. Le prix commence à 4 665 $ pour 30 appareils, y compris la première année de maintenance. D'autres niveaux de licence sont disponibles pour un maximum de 2 500 appareils. Si vous souhaitez essayer le produit avant de l'acheter, une version d'essai gratuite de 30 jours entièrement fonctionnelle est disponible en téléchargement.
2. RSA NetWitness
Depuis 2016, NetWitness s'est concentré sur les produits prenant en charge « une connaissance approfondie de la situation du réseau en temps réel et une réponse agile du réseau ». L'histoire est un peu complexe de l'entreprise: Après avoir été acquis par EMC , qui a ensuite fusionné avec Dell , le Ne tW de l'entreprise fait maintenant partie de la RSA branche de Dell , qui sont d' excellentes nouvelles que RSA jouit d' une solide réputation dans la sécurité informatique.
RSA NetWitness est un excellent produit pour les organisations à la recherche d'une solution complète d'analyse de réseau. L'outil intègre des informations sur votre entreprise qui permettent de hiérarchiser les alertes. Selon RSA , le système « collecte des données sur plus de points de capture, de plates-formes informatiques et de sources de renseignements sur les menaces que les autres solutions SIEM ». Il existe également une détection avancée des menaces qui combine l'analyse comportementale, les techniques de science des données et les renseignements sur les menaces. Enfin, le système de réponse avancé offre des capacités d'orchestration et d'automatisation pour vous aider à vous débarrasser des menaces avant qu'elles n'affectent votre entreprise.
L'un des principaux inconvénients de RSA NetWitness est qu'il n'est pas le produit le plus simple à utiliser et à configurer. Il existe cependant de nombreuses documentations complètes qui peuvent vous aider à configurer et à utiliser le produit. Il s'agit d'un autre produit de qualité professionnelle et vous devrez contacter le service commercial RSA pour obtenir des informations détaillées sur les prix.
3. Gestionnaire de sécurité d'entreprise ArcSight
ArcSight Enterprise Security Manager permet d'identifier et de hiérarchiser les menaces de sécurité, d'organiser et de suivre les activités de réponse aux incidents et de simplifier les activités d'audit et de conformité. Ceci est un autre produit avec une histoire quelque peu alambiquée. Anciennement vendue sous la marque HP , elle a désormais fusionné avec Micro Focus , une autre filiale de HP .
Le ArcSight Security Enterprise Manager est un autre outil SIEM très populaire qui a été autour depuis plus de quinze ans. L'outil compile des données de journal provenant de diverses sources et effectue une analyse approfondie des données, à la recherche de signes d'activité malveillante. Et pour faciliter l'identification rapide des menaces, l'outil vous permet de visualiser les résultats de l'analyse en temps réel.
Côté fonctionnalités, ce produit ne laisse pas grand chose à désirer. Il dispose d'une puissante corrélation de données distribuées en temps réel, d'une automatisation des flux de travail, d'une orchestration de la sécurité et d'un contenu de sécurité axé sur la communauté. Le ArcSight Security Enterprise Manager intègre également avec d' autres ArcSight produits tels que la plate - forme de données ArcSight et courtier d' événements ou ArcSight Enquêter . Il s'agit d'un autre produit de qualité professionnelle qui, comme à peu près tous les outils SIEM de qualité, nécessitera que vous contactiez l'équipe commerciale pour obtenir des informations détaillées sur les prix.
4. Sécurité d'entreprise Splunk
Splunk Enterprise Security — ou Splunk ES , comme on l'appelle souvent — est probablement l'un des systèmes SIEM les plus populaires et il est particulièrement réputé pour ses capacités d'analyse. L'outil surveille les données de votre système en temps réel, à la recherche de vulnérabilités et de signes d'activité anormale.
La réponse de sécurité est un autre point fort de Splunk ES et c'est important lorsqu'il s'agit d'attaques DDoS. Le système utilise ce que Splunk appelle l' Adaptive Response Framework ( ARF ) qui s'intègre aux équipements de plus de 55 fournisseurs de sécurité. L' ARF effectue une réponse automatisée, accélérant les tâches manuelles. Cela vous permettra de prendre rapidement le dessus. Ajoutez à cela une interface utilisateur simple et épurée et vous avez une solution gagnante. Parmi les autres fonctionnalités intéressantes, citons la fonction Notables qui affiche des alertes personnalisables par l'utilisateur et Asset Investigator pour signaler les activités malveillantes et prévenir d'autres problèmes.
Splunk ES est un produit de qualité entreprise et, en tant que tel, il est proposé à un prix adapté à une entreprise. Comme c'est souvent le cas avec les systèmes d'entreprise, vous ne pouvez pas obtenir d'informations sur les prix sur le site Web de Splunk . Vous devrez contacter le service commercial pour obtenir un devis. Mais malgré son prix, c'est un excellent produit et vous voudrez peut-être contacter Splunk et profiter d'un essai gratuit disponible.
5. Gestionnaire de sécurité d'entreprise McAfee
McAfee est un autre nom connu dans le domaine de la sécurité informatique et il ne nécessite probablement aucune introduction. Il est cependant mieux connu pour ses produits de protection contre les virus. Le McAfee Enterprise S écurité M GESTIONNAIRE est non seulement le logiciel. Il s'agit en fait d'un appareil que vous pouvez obtenir sous forme virtuelle ou physique.
En termes de capacités d'analyse, beaucoup considèrent McAfee Enterprise Security Manager comme l' un des meilleurs outils SIEM. Le système collecte des journaux sur une large gamme d'appareils. Quant à ses capacités de normalisation, il est également de premier ordre. Le moteur de corrélation compile facilement des sources de données disparates, ce qui facilite la détection des événements de sécurité lorsqu'ils se produisent, une fonctionnalité importante lorsque l'on essaie de se protéger contre les événements en temps réel tels que les attaques DDoS.
Cependant, la solution McAfee ne se limite pas à son Enterprise Security Manager . Pour obtenir une solution SIEM vraiment complète, vous avez également besoin d' Enterprise Log Manager et de Event Receiver . La bonne nouvelle est que les trois produits peuvent être regroupés dans un seul appareil, ce qui facilite quelque peu les processus d'acquisition et de configuration. Pour ceux d'entre vous qui souhaitent essayer le produit avant de l'acheter, un essai gratuit est disponible.
Les balayages de ping peuvent être utilisés à votre avantage de nombreuses façons. Continuez à lire pendant que nous discutons de la façon dont nous présentons les 10 meilleurs outils de balayage Ping que vous pouvez trouver.
Les sites Web sont importants et doivent être constamment surveillés de près pour des performances adéquates. Voici quelques-uns des meilleurs outils de surveillance des sites Web.
Le marché des logiciels de gestion de réseau est très encombré. Raccourcissez votre recherche en suivant nos recommandations des meilleurs outils de gestion de réseau.
Voici un aperçu de certains des meilleurs outils de déploiement de logiciels pour faciliter la gestion d'un nombre illimité de machines
Si vous êtes dans l'industrie de la santé ou si vous êtes impliqué d'une manière ou d'une autre dans l'informatique dans cette industrie, il y a de fortes chances que vous ayez entendu parler de la HIPAA. La portabilité de l'assurance maladie
sFlow est un protocole d'analyse de flux intégré à de nombreux périphériques réseau. Nous passons en revue les cinq meilleurs collecteurs et analyseurs sFlow gratuits.
Pour vous aider à choisir le bon, nous avons présenté les meilleurs outils de surveillance d'infrastructure sans agent et vous ont donné un aperçu rapide de chacun.
Si vous êtes un utilisateur expérimenté de Windows, vous savez probablement et comprenez comment effectuer diverses opérations sur votre PC peut avoir plus d'une approche et
La latence semble être l'ennemi numéro un des réseaux. Ces outils de mesure de la latence vous apprendront comment tester la latence pour détecter, localiser et résoudre les problèmes.
Le moniteur de réseau Windows nécessite des outils avec des exigences limitées. Aujourd'hui, nous examinions les meilleurs outils de surveillance réseau pour Windows 10.
