A10 Networks DDoS Threat Report : En raison de la pandémie, plus de cibles d'attaque que jamais auparavant. Un nombre croissant d'outils d'attaque DDoS et de botnets massifs permettent aux cybercriminels de lancer des attaques DDoS dévastatrices.
L'actuel rapport DDoS Threat Intelligence d'A10 Networks montre que la pandémie a non seulement eu des conséquences sociales de grande envergure, mais a également eu un impact immense sur la situation des menaces dans l'espace numérique. En particulier, en raison du nombre sans cesse croissant d'outils d'attaque DDoS et des botnets en constante expansion, il est possible pour les cybercriminels de mener des attaques DDoS étendues. Avec de nombreux secteurs, fournisseurs de services, éducation et soins de santé contraints de déplacer leurs opérations vers l'espace numérique, les cybercriminels ont plus de cibles que jamais.
Les botnets agissent comme un catalyseur pour les attaques DDoS
Une autre conclusion du rapport est l'influence croissante de la nouvelle norme de communication mobile 5G sur la situation générale des menaces. Alors que les appareils intelligents se connectent plus rapidement et mieux, les cybercriminels continuent de disposer de nouvelles façons de fusionner les botnets. Il en résulte des attaques aux conséquences parfois dévastatrices pour les entreprises.
En surveillant en permanence les attaques DDoS, les vecteurs d'attaque et l'activité des logiciels malveillants associés, A10 Networks a constaté une augmentation constante de la fréquence, de l'intensité et de la sophistication de ce type de menace au cours du second semestre 2020. Dans le rapport sur l'état des armes DDoS, A10 Networks a constaté une augmentation de plus de 12 % du nombre d'outils d'attaque DDoS potentiels sur Internet. En chiffres absolus, 12,5 millions d'appareils terminaux compromis ont été découverts et peuvent être utilisés à mauvais escient par des criminels à leurs fins. L'impact de cette évolution peut être dramatique.
Attaque sur Amazon avec 2,3 Terabit/s
Par exemple, en juin 2020, Amazon a enregistré une attaque DDoS sur son cloud public qui, à 2,3 térabits par seconde (Tbps), était presque deux fois plus importante que toute attaque précédemment enregistrée. Peu de temps après, Google a révélé les détails d'une attaque DDoS encore plus importante qui a culminé à 2,5 Tbps. Étant donné que l'origine des attaques ne peut pas être clairement identifiée, il est presque impossible de clarifier le contexte, des mesures préventives et une préparation complète à d'éventuelles attaques DDoS sont essentielles. C'est la seule façon de développer une stratégie de défense efficace.
Élargir le spectre des attaques avec des logiciels malveillants
La base de ces énormes capacités d'attaques DDoS sont souvent des botnets alimentés par des terminaux compromis. D'énormes botnets ont émergé à mesure que les méthodes de prise de contrôle furtive des ordinateurs, des serveurs, des routeurs, des caméras et de divers autres appareils IoT ont évolué, parallèlement à l'utilisation sophistiquée des logiciels malveillants. Ce sont des outils essentiels dans le portefeuille d'un pirate pour faire des ravages. En ce qui concerne les emplacements de ces agents de botnet, A10 Networks pourrait identifier des points focaux clairs en Inde, en Égypte et en Chine, où se trouvent environ les trois quarts de la capacité de ces outils.
Une observation particulière d'A10 Networks est l'augmentation du nombre de ces outils d'attaque en Inde en septembre 2020. Plus de 130.000 XNUMX adresses IP au comportement unique ont été identifiées. La souche de malware Mirai est soupçonnée d'en être la cause.
Le rapport aide à la nouvelle stratégie
"Les informations du rapport A10 sur les menaces DDoS sont un atout clé pour établir une stratégie de défense contre les menaces potentielles", a déclaré Heiko Frank, ingénieur système principal chez A10 Networks. « Pour se protéger, les organisations doivent bloquer et mettre sur liste noire le trafic provenant d'adresses IP potentiellement compromises. Il est important de veiller à ce que les exceptions à cette procédure soient définies par des droits restreints et des débits de données faibles. De plus, la base de référence automatisée du trafic et l'intelligence artificielle peuvent aider à détecter et à atténuer plus rapidement les attaques zero-day. Les anomalies et écarts par rapport aux accès historiques peuvent ainsi être mieux localisés et rendus inoffensifs. De plus, les entreprises doivent maintenir tous les appareils connectés au réseau à jour avec les dernières versions logicielles et empêcher autant que possible les connexions sortantes.
Attaques d'amplification avec un facteur d'amplification supérieur à 30
L'amplification, une technique qui exploite la nature sans connexion du protocole UDP, peut être utilisée par les cybercriminels pour augmenter considérablement la portée des attaques DDoS. Pour le dire simplement, les attaquants prétendent être la victime désirée en falsifiant l'adresse IP cible. À l'aide de cette adresse IP, ils lancent alors un grand nombre de requêtes vers des serveurs exposés, qui répondent également à des adresses IP non authentifiées. Les applications et les protocoles sur ces serveurs, qui remplissent une fonction d'amplification, déclenchent une vague de requêtes vers la cible réelle via des réponses plusieurs fois plus importantes que les requêtes d'origine. Les attaques par réflexion d'amplification, qui peuvent exploiter des millions de services DNS, NTP, SSDP, SNMP et CLDAP UDP non protégés, ont conduit à des attaques volumétriques record et représentent désormais la majorité des attaques DDoS.
Avec un facteur de gain supérieur à 30, SSDP est considéré comme l'un des outils d'attaque DDoS les plus puissants. La protection la plus simple contre de telles attaques consiste à bloquer le trafic du port 1900 provenant d'Internet, sauf s'il existe un cas d'utilisation spécifique pour l'utilisation de SSDP sur Internet. Le blocage du trafic SSDP à partir d'emplacements géographiques spécifiques où une activité élevée de botnet a été détectée peut également fournir une protection efficace.
Accédez directement au rapport sur A10Networks.com
À propos des réseaux A10 A10 Networks (NYSE : ATEN) fournit des services d'application sécurisés pour les environnements sur site, multi-cloud et edge-cloud à des vitesses hyper-évolutives. La société permet aux fournisseurs de services et aux entreprises de fournir des applications critiques qui sont sécurisées, disponibles et efficaces pour la transformation multi-cloud et 5G. A10 Networks permet de meilleurs résultats commerciaux qui prennent en charge la protection des investissements, de nouveaux modèles commerciaux et une infrastructure évolutive, permettant aux clients d'offrir une expérience numérique sécurisée et disponible. Fondée en 10, A2004 Networks est basée à San Jose, en Californie, et sert des clients dans le monde entier. Visitez www.a10networks.com et @A10Networks pour plus d'informations.