Arbor Networks Inc., la division sécurité de NETSCOUT (NASDAQ : NTCT), publie sa 12ème étude annuelle sur la sécurité des infrastructures IP mondiales (WISR, Worldwide Infrastructure Security Report), offrant les points de vue de professionnels des réseaux et de la sécurité travaillant chez les plus grands opérateurs, prestataires cloud/hébergeurs et dans les plus grandes entreprises à travers le monde. Cette étude couvre des aspects aussi divers que la détection des menaces, la réponse aux incidents, les services managés, les effectifs de personnel et les budgets. Elle se focalise sur les défis opérationnels auxquels les opérateurs Internet sont confrontés quotidiennement en raison des menaces véhiculées par le réseau, ainsi que sur les stratégies adoptées pour combattre et neutraliser celles-ci.
Cette année, l’enquête fait apparaître une évolution des enjeux pour les équipes réseau et de sécurité. Le paysage des menaces a été transformé par l’émergence de botnets exploitant l’Internet des objets (IoT). Alors que les équipements connectés à l’IoT prolifèrent sur les réseaux au bénéfice des entreprises et des consommateurs, les cybercriminels parviennent à en faire des armes grâce à leurs failles de sécurité intrinsèques. L’étude approfondit cet aspect, s’intéressant à la façon dont les auteurs des attaques recrutent des objets de l’IoT ou dont fonctionnent des botnets comme Mirai et elle prodigue des conseils pratiques sur la manière de s’en protéger.
La plus forte attaque par déni de service distribué (DDoS) signalée cette année a atteint 800 Gbit/s, soit une augmentation de 60 % par rapport aux 500 Gbit/s enregistrés en 2015. Non seulement les attaques DDoS s’amplifient, mais elles deviennent aussi plus fréquentes et complexes. Ce regain d’intensité et de complexité conduit un nombre croissant d’entreprises à déployer des solutions de protection DDoS sur mesure, à mettre en œuvre des meilleures pratiques de défense hybride et à accélérer la réponse aux incidents, autant d’évolutions positives dans un environnement des menaces qui ne laisse par ailleurs guère place à l’optimisme.
« Les participants à l’enquête se sont accoutumés à un environnement des menaces en perpétuelle évolution, marqué par un accroissement de la taille et de la complexité des attaques depuis une dizaine d’années », commente Darren Anstee, directeur des technologies de sécurité pour Arbor Networks. « Cependant, les botnets IoT changent la donne en raison du nombre d’équipements impliqués. Des milliards d’entre eux sont déployés et peuvent être facilement instrumentalisés pour le lancement d’attaques massives. La préoccupation grandissante face à l’environnement des menaces se reflète dans les résultats de cette étude, faisant état de progrès significatifs dans la mise en œuvre des meilleures pratiques technologiques en matière de réponse aux incidents. »
L’innovation et l’exploitation de l’IoT alimentent le paysage des attaques DDoS : l’émergence de botnets exploitant les failles de sécurité inhérentes aux équipements de l’IoT et la publication du code source du botnet Mirai ont renforcé la capacité des cybercriminels à lancer des attaques d’une intensité extrême.
Ampleur : l’intensification massive des attaques s’explique par le regain d’activité de tous les protocoles de réflexion/amplification et par l’instrumentalisation des équipements IoT par des botnets.
Depuis la première édition de l’enquête WISR réalisée par Arbor Networks en 2005, l’ampleur des attaques DDoS a progressé de 7900 %, soit un taux de croissance annuel cumulé de 44 %.
Au cours des cinq dernières années, la progression a été de 1233 %, pour un rythme annuel de 68 %.
Fréquence : les risques d’être frappé par une attaque DDoS n’ont jamais été aussi élevés, comme le montre les taux d’attaque accrus rapportés par les participants à l’enquête.
53 % des opérateurs indiquent avoir été victimes de plus de 21 attaques par mois, soit une hausse de 44 % par rapport à l’année précédente.
21 % des exploitants de datacenters ont enregistré plus de 50 attaques par mois contre seulement 8 % l’an passé.
45 % des participants appartenant à des entreprises, administrations ou établissements d’enseignement ont subi plus de dix attaques par mois, soit une augmentation de 17 % d’une année sur l’autre.
Complexité : des vecteurs d’attaque multiples sont de plus en plus utilisés pour cibler simultanément différents aspects de l’infrastructure d’une victime. Ces attaques multivecteurs sont répandues car elles peuvent être difficiles à parer et souvent d’une grande efficacité, soulignant la nécessité d’une défense agile, à plusieurs niveaux.
67 % des opérateurs et 40 % des entreprises, administrations et établissements d’enseignement déclarent avoir observé des attaques multivecteurs sur leurs réseaux.
Les conséquences des attaques DDoS sont manifestes : les attaques DDoS ont réussi à rendre injoignables de nombreux sites web majeurs, occasionnant ainsi des milliers voire des millions de dollars de manque à gagner. Cela a amené les dirigeants des entreprises à ériger la défense anti-DDoS au rang de priorité.
61 % des exploitants de datacenters font état d’assauts ayant totalement saturé leur bande passante.
25 % des exploitants de datacenters et prestataires cloud ont vu le coût d’une attaque DDoS de grande ampleur dépasser 100 000 dollars, et 5 % 1 million de dollars.
41 % des entreprises, administrations et établissements d’enseignement signalent des attaques DDoS supérieures à leur capacité Internet totale. Près de 60 % estiment le coût des interruptions provoquées à plus de 500 dollars par minute.
Une meilleure appréciation des risques a pour effet d’améliorer les comportements : cette année, les résultats de l’enquête indiquent une meilleure compréhension des dommages causés à l’image de marque et des dépenses opérationnelles en cas de succès d’une attaque DDoS, conduisant les entreprises à se recentrer sur les meilleures pratiques en matière de stratégies défensives. Dans tous les secteurs, on observe une utilisation accrue des solutions de protection DDoS sur mesure et des meilleures pratiques.
77 % des opérateurs participant à l’enquête sont capables de neutraliser les attaques en moins de 20 minutes.
Près de 50 % des entreprises, administrations et établissements d’enseignement se livrent désormais à des exercices de défense anti-DDoS, et environ 30 % le font au moins une fois par trimestre.
La proportion d’exploitants de datacenters et de prestataires cloud qui s’en remettent encore à des firewalls pour combattre les attaques DDoS est tombée de 71 % à 40 %.
Méthodologie de l’enquête WISR :
356 réponses ont été traitées, provenant d’un panel d’opérateurs Tier 1, 2 ou 3, d’hébergeurs, d’opérateurs mobiles, de grandes entreprises et d’autres types d’opérateurs réseau à travers le monde.
Deux tiers des participants sont des professionnels de la sécurité, des réseaux ou opérationnels.
La période étudiée va de novembre 2015 à octobre 2016.