Les attaques par déni de service distribué ont gagné en complexité en 2021 selon F5
jeu, 24/03/2022 - 13:13
Les attaques par déni de service distribué (DDoS) ont connu une légère baisse en 2021 mais ont pris de l’ampleur et ont gagné en complexité, selon une nouvelle analyse de F5. Les données recueillies auprès de F5 Silverline1 - une plateforme de services gérés basée sur le cloud qui détecte et atténue les attaques DDoS en temps réel - montrent une baisse de 3 % en glissement annuel du volume global des attaques enregistrées en 2021.
Toutefois, si le volume a pu diminuer, la gravité des attaques a nettement augmenté au cours de l'année.
Au quatrième trimestre 2021, la taille moyenne des attaques enregistrées était supérieure à 21 Gbps, soit plus de quatre fois le niveau du début de l'année 2020. L'année dernière a également connu le record de la plus grande attaque jamais enregistrée et ce, à plusieurs reprises.
“Le volume des attaques DDoS a fluctué selon les trimestres, mais la tendance indubitable est que ces attaques sont de plus en plus importantes", déclare David Warburton, directeur de F5 Labs.
"Alors que la taille maximale des attaques est restée stable tout au long de 2020, l'année dernière, nous l'avons vu grimper de manière constante. Nous avons notamment vu Silverline DDoS Protection s'attaquer à plusieurs attaques : les plus importantes que nous ayons jamais vues, en ordre de grandeur.”
Les attaques prennent de l'ampleur
Si la plupart des attaques enregistrées en 2021 étaient inférieures à 100 Mbps, il y a eu quelques exceptions notables. Après que la plus grande attaque de 2020 ait culminé à 253 Gbps, une autre, de 500 Gbps, a frappé en février 2021. Le record a encore été battu en novembre avec une attaque de 1,4 Tbps, soit plus de cinq fois le record de l'année précédente.
Ciblant un fournisseur d'accès Internet ou un hébergeur, l'attaque a atteint sa largeur de bande maximale en seulement 1,5 minute et n'a duré que quatre minutes au total, grâce à une combinaison de méthodes volumétriques (réflexion DNS) et applicatives (inondations HTTPS GET).
La complexité augmente
Les attaques volumétriques, qui utilisent des outils et des services accessibles au public pour inonder le réseau d'une cible avec plus de bande passante qu'il ne peut en supporter, sont restées la forme la plus courante de DDoS en 2021. Elles représentent 59 % de toutes les attaques enregistrées. Il s'agit d'une légère baisse par rapport aux 66 % de l'année précédente, car la prévalence des attaques DDoS de type protocole et application a augmenté, ces dernières progressant de près de 5 % en glissement annuel.
Ce léger changement a été souligné par l'évolution de l'utilisation des protocoles. En 2021, 27 % des attaques ont exploité le protocole TCP, contre 17 % l'année précédente, ce qui indique les besoins d'attaques plus complexes basées sur les applications et les protocoles.
En ce qui concerne les méthodes d'attaque spécifiques, la prévalence a connu quelques changements notables : Les attaques par requête DNS sont devenues plus courantes, avec une augmentation de 3,5 % par rapport à l'année précédente, et l'utilisation de la fragmentation UDP a diminué de 6,5 %. La réflexion LDAP a également diminué de 4,6 % et la réflexion DNS de 3,3 %.
"Parallèlement à l'évolution des types d'attaques, nous avons continué à observer une forte prévalence des attaques multivecteurs, notamment l'incident de 1,4 Tbps qui a utilisé une combinaison de réflexion DNS et de HTTPS GETS", déclare Warburton. "C'était particulièrement vrai au début de l'année, lorsque les attaques multivecteurs étaient nettement plus nombreuses que les attaques à vecteur unique. Cela illustre le paysage de plus en plus difficile pour la protection contre les menaces, les défenseurs devant employer plus de techniques en parallèle pour atténuer ces attaques plus sophistiquées et empêcher un déni de service."
Les services financiers dans le collimateur
La banque, les services financiers et le secteur de l’assurance (BFSI) ont été le secteur le plus visé par les attaques DDoS en 2021, soumis à plus d'un quart du volume total. Cela a créé une tendance qui a vu les attaques contre le secteur BFSI augmenter régulièrement depuis le début de 2020.
En revanche, le secteur de la tech, qui fut le plus ciblé en 2020, est redescendu à la quatrième position derrière celui des télécommunications et de l'éducation. À eux quatre, ces secteurs représentent 75 % de toutes les attaques enregistrées, avec derrière eux, d'autres secteurs comme ceux de l'énergie, du commerce de détail, de la santé, des transports et du juridique qui n'ont pratiquement pas connu d'activité négative.
"Si le nombre d'attaques a légèrement diminué en 2021, le problème des DDoS n'est en aucun cas en train de s'atténuer", a déclaré Warburton. “Tant la taille que la complexité de ces attaques augmentent, exigeant une réponse plus agile et à multiples facettes de la part des défenseurs.”
"Bien qu'il soit compréhensible de s'interroger sur le véritable impact d'attaques qui ne durent que quelques minutes, les acteurs de la menace savent que même une brève interruption de service peut avoir des conséquences importantes, et nuire à la marque et à la réputation.
"Au fur et à mesure que la sophistication et la variété des attaques DDoS augmentent, les organisations vont se retrouver à devoir utiliser un large éventail de mesures pour s'en prémunir et s’en protéger, notamment des contrôles en amont pour inspecter et limiter le trafic atteignant les points finaux, et des fournisseurs de services gérés qui peuvent travailler aux côtés des équipes de sécurité internes à la fois pour prévenir les attaques et agir rapidement pour atténuer celles en cours."