Les attaques DDoS sont connues pour leur capacité à supprimer des applications et des sites Web en inondant les serveurs et l’infrastructure avec de grandes quantités de trafic. Cependant, il existe des cibles supplémentaires pour que les cybercriminels utilisent des attaques DDoS pour pirater des données, faire du chantage ou agir politiquement ou idéologiquement. L’une des caractéristiques les plus dévastatrices des attaques DDoS est leur capacité unique à perturber et à créer des ravages dans les organisations ou les systèmes ciblés. Cela joue bien avec les mauvais acteurs qui profitent de DDoS comme écran de fumée pour des attaques plus sophistiquées, telles que le vol de données. Cela illustre les tactiques de plus en plus sophistiquées que les cybercriminels utilisent pour connecter plusieurs vecteurs d’attaque afin d’atteindre leurs objectifs.
Azure propose plusieurs produits de sécurité réseau qui aident les organisations à protéger leurs applications : Azure DDoS Protection, Azure Firewall et Azure Web Application Firewall (WAF). Les clients déploient et configurent chacun de ces services séparément pour améliorer la sécurité de leur environnement protégé et de leur application dans Azure. Chaque produit possède un ensemble unique de capacités pour faire face à des vecteurs d’attaque spécifiques, mais le plus grand avantage témoigne de la force de la relation – lorsqu’ils sont combinés, ces trois produits offrent une protection plus complète. En effet, pour lutter contre les campagnes d’attaques modernes, il faut utiliser une combinaison de produits et lier les signaux de sécurité de l’un à l’autre, afin de pouvoir détecter et prévenir les attaques multi-vecteurs.
Nous annonçons une nouvelle solution de protection Azure DDoS pour Microsoft Sentinel. Il permet aux clients d’identifier les acteurs malveillants à partir des indicateurs de sécurité DDoS d’Azure et de bloquer les nouveaux vecteurs d’attaque potentiels dans d’autres produits de sécurité, tels que le pare-feu Azure.
Microsoft Sentinel utilisé comme colle pour répondre à l’attaque
Chaque service de sécurité réseau Azure est entièrement intégré à Microsoft Sentinel, une solution cloud native de gestion des informations et des événements de sécurité (SIEM). Cependant, le véritable pouvoir de Sentinel réside dans la collecte des signaux de sécurité de ces services de sécurité distincts et dans leur analyse pour créer une vue centrale de la scène de l’attaque. Sentinel corrèle les événements et crée des incidents lorsque des anomalies sont détectées. Ensuite, il automatise la réponse pour atténuer les attaques complexes.
Dans notre exemple, lorsque des cybercriminels utilisent des attaques DDoS comme écran de fumée pour voler des données, Sentinel détecte une attaque DDoS et utilise les informations qu’il recueille sur les sources de l’attaque pour bloquer les prochaines étapes du cycle de vie de l’adversaire. En utilisant les capacités de correction du pare-feu Azure et d’autres services de sécurité réseau à l’avenir, les sources DDoS attaquantes sont bloquées. Cette découverte et ce traitement de produits de bout en bout amplifient la posture de sécurité de l’organisation, avec Sentinel comme coordinateur.
Détection et correction automatisées des attaques complexes
Notre nouvelle solution Azure DDoS Protection pour Sentinel fournit un package de solution consommable unique qui permet aux clients d’atteindre ce niveau de détection et de correction automatisées. La solution comprend les composants suivants :
- Classificateur et connecteur de données Azure DDoS Protection.
- Règles d’alerte qui aident les attaquants DDoS à récupérer la source. Ce sont de nouvelles règles que nous avons créées spécifiquement pour cette solution. Ces règles peuvent être utilisées par les clients pour atteindre d’autres objectifs de leur stratégie de sécurité.
- IP Repair Run Guide Génère automatiquement un correctif dans le pare-feu Azure pour empêcher les attaquants DDoS source. Bien que nous documentions et démontrions comment utiliser le pare-feu Azure pour la correction, tout pare-feu tiers qui inclut Sentinel Playbook peut être utilisé pour la correction. Cela offre aux clients la flexibilité d’utiliser la nouvelle solution DDoS avec n’importe quel pare-feu.
La solution a été initialement publiée pour le pare-feu Azure (ou tout pare-feu tiers), et nous prévoyons de l’améliorer pour prendre en charge Azure WAF prochainement.
Voyons deux cas d’utilisation pour la correction d’attaques multi-produits.
Cas d’utilisation n° 1 : Correction avec le pare-feu Azure
Considérons une organisation utilisant Azure DDoS Protection et Azure Firewall, et considérons le scénario d’attaque comme suit :
L’adversaire contrôle un bot piraté. Cela commence par une attaque DDoS, ciblant les ressources du réseau virtuel de cette organisation. Ensuite, ils prévoient d’accéder aux ressources du réseau avec des scans et des tentatives de phishing afin qu’ils puissent accéder aux données sensibles.
Azure DDoS Protection détecte une attaque par écran de fumée et atténue cette inondation de volume réseau. En parallèle, il commence à envoyer des signaux de journalisation à Sentinel. Sentinel récupère ensuite les adresses IP attaquantes à partir des journaux et déploie les règles de correction sur le pare-feu Azure. Ces règles empêcheront toute attaque non DDoS d’accéder aux ressources du réseau virtuel, même après la fin des attaques DDoS et l’arrêt de l’atténuation DDoS.
Cas d’utilisation n° 2 : traitement avec Azure WAF (bientôt disponible)
Considérons maintenant une autre organisation exécutant une application web dans Azure. Il utilise Azure DDoS Protection et Azure WAF pour protéger son application Web. L’objectif de l’adversaire dans ce cas est d’attaquer l’application Web et de voler des données sensibles en commençant par une attaque de fumée DDoS, puis en lançant des attaques Web sur l’application.
Lorsqu’Azure DDoS Protection détecte une attaque par écran de fumée volumétrique, il commence à l’atténuer et signale les journaux à Sentinel. Sentinel récupère les sources d’attaque et applique le correctif à Azure WAF pour empêcher de futures attaques Web sur l’application.
Commencez dès aujourd’hui avec Azure DDoS Protection
Comme les attaquants utilisent des techniques d’attaque multi-vecteurs avancées tout au long du cycle de vie de l’adversaire, il est important d’exploiter autant que possible les services de sécurité pour orchestrer automatiquement la détection et l’atténuation des attaques.
C’est pourquoi nous avons créé une nouvelle solution Azure DDoS Protection pour Microsoft Sentinel qui aide les organisations à mieux protéger leurs ressources et leurs applications contre ces attaques avancées. Nous continuerons d’améliorer cette solution et d’ajouter plus de services de sécurité et de cas d’utilisation.
Suivez nos instructions de configuration étape par étape pour savoir comment déployer votre nouvelle solution.