Le démasquage des attributs de Fastly

Feuille de données du démasquage des attributs

La technique adaptative optimise la protection de Fastly DDoS Protection (déni de service distribué)

La technique adaptative de démasquage des attributs de Fastly détecte, identifie et atténue automatiquement les attaques de déni de service distribué visant les applications et les API. Cette technique exclusive est extrêmement précise et peut atténuer les attaques de DDoS (déni de service distribué) en quelques secondes. Il s’agit de la principale technique constituant la Fastly DDoS Protection (déni de service distribué) ; elle repose sur trois principes de base :

1. Tout commence par la détection rapide et précise du trafic malveillant

2. La priorité est d’éviter les faux positifs afin d’exécuter les mesures d’atténuation en toute sécurité

3. Les tactiques de défense doivent être en trompe-l’œil afin de réduire la quantité de données à la disposition des hackers

Détection rapide et précise du trafic malveillant

La rapidité de la détection est au cœur du démasquage des attributs. La plupart des attaques évoluent rapidement de zéro requête par seconde (RPS) à plusieurs millions ou centaines de millions de RPS et s’achèvent moins d’une minute plus tard. En étudiant les attaques que Fastly a observées pendant plus de 90 jours de données, on constate que l’attaque est souvent déjà terminée au moment où un humain en prend connaissance et est équipé pour réagir. (Image 1) : 

Image 1 : Durée des attaques observées en secondes

• 90 % des attaques durent 150 secondes ou moins

• 50 % des attaques durent moins de 52 secondes

Pour atténuer les attaques le plus rapidement possible, Fastly DDoS Protection (déni de service distribué) exécute un processus de démasquage des attributs et de prise de décision au niveau de la périphérie mondiale, plutôt qu’au travers d’une fonction centralisée qui dispose de moins de capacités et se transformera inévitablement en goulot d’étranglement. Notre réseau défini par logiciel élimine les dépendances aux matériels spécialisés et aux autres composants comme les routeurs. Le démasquage des attributs dispose ainsi de la puissance et de la flexibilité nécessaires pour traiter, analyser, diagnostiquer et réagir rapidement et efficacement, sans affecter le trafic légitime.

Une détection précise

Il peut être difficile d’identifier et de distinguer les attaques du trafic organique, car les attaques sophistiquées sont souvent intégrées au trafic légitime. En supposant que les équipes puissent identifier l’attaque manuellement, cela entraîne des frais plus importants pour l’atténuer (temps, ressources, calculs, impact sur l’entreprise, etc.). Le démasquage des attributs extrait les identités précises des hackers d’une liste complète de caractéristiques présentes dans les en-têtes des couches 3 et 4, les informations sur la sécurité de la couche de transport (TLS), les détails de la couche 7, etc. Ces caractéristiques comprennent l’adresse IP, le protocole http, les propriétés de la TLS, la géolocalisation de l’adresse (GeoIP), les routes d’entrée/sortie dans le réseau, etc.  La technique de démasquage absorbe les métadonnées des requêtes entrantes et en extrait les éléments qui correspondent à la forme et au volume du trafic pendant la période correspondant à la forme et au volume de l’attaque. Ce processus est le moyen le plus précis et le plus sûr de détecter les hackers pour pouvoir atténuer les attaques, car celles-ci présentent pratiquement toutes des caractéristiques uniques. 

Le démasquage des attributs repose également sur un système modulaire qui permet à Fastly d’améliorer rapidement ses capacités de détection et d’atténuation au fur et à mesure de la découverte de nouvelles attaques, sans avoir besoin de développer un mécanisme entièrement nouveau pour pouvoir réagir. Quand de nouvelles attaques comme l’attaque Rapid Reset (réinitialisation rapide) surviennent, Fastly intègre de nouvelles fonctions aux modules de détection et de réponse, ce qui permet de conserver des temps de réponse incroyablement courts, même en cas d’attaques inédites. 

Mieux encore, les clients n’ont jamais à s’inquiéter, car les attaques de déni de service distribué sont détectées rapidement et précisément, puis atténuées automatiquement.

Une atténuation sûre

Chaque système automatisé court le risque de générer de faux positifs et de bloquer le trafic légitime. L’histoire regorge de systèmes automatisés qui, seuls ou combinés avec une erreur humaine, ont créé des pannes. Cependant, si les politiques sont trop clémentes, les véritables attaques ne seront pas stoppées.

Grâce à une détection rapide et une extraction précise des signatures, le démasquage des attributs permet de mettre en œuvre des mesures d’atténuation sûres sans affecter le trafic légitime. Les mesures d’atténuation sont toujours activées et considérées comme sûres, sans conséquence, car elles ont été soumises à des processus approfondis de validation et d’examen du code. Le démasquage des attributs ne peut pas être submergé en cas de plusieurs attaques synchronisées. Il peut en effet atténuer plusieurs attaques en même temps afin de garantir les performances et la disponibilité de vos services, quel que soit l’adversaire.

Des tactiques en trompe-l’œil

Quand on parle d’attaques de DDoS (déni de service distribué), savoir c’est pouvoir. Lorsque des hackers apprennent quelque chose sur un réseau ou ont obtenu des informations grâce à leurs précédentes attaques, cela vous renseigne sur la façon dont ils vont exécuter leur prochaine attaque. C’est un jeu du chat et de la souris qui change constamment. En dissimulant certaines informations aux hackers, vous les obligez à fournir plus d’efforts pour déterminer s’ils doivent changer de tactique ou s’adapter. Lorsque la plupart des plateformes détectent une attaque, elles réagissent rapidement pour fermer la connexion au hacker ou lui refuser l’accès d’une autre façon. Cela indique au hacker qu’il a été détecté et également que s’il utilise à nouveau la même approche, il sera probablement identifié et bloqué plus facilement. Le démasquage des attributs vise à réduire intentionnellement la quantité d’informations (sous toutes les formes) qui est renvoyée aux hackers. 

Le démasquage des attributs en action

Voici un exemple simplifié du démasquage des attributs qui détecte, identifie et atténue une attaque de DDoS (déni de service distribué) ciblant l’un de nos clients. Le démasquage des attributs surveille en permanence le trafic du client pour détecter les pics anormaux dans les schémas de trafic (image 2). 

Image 2 : Détection d’une attaque type

En cas de détection d’une attaque, le démasquage des attributs s’exécute en quelques millisecondes pour tester chaque attribut individuellement, jusqu’à trouver celui qui correspond le mieux à la courbe d’attaque (image 2).

Image 3 : Test de chaque attribut

Quand le démasquage des attributs a trouvé une première correspondance d’attribut, il s’exécute à nouveau rapidement en combinant des caractéristiques supplémentaires pour élaborer une équation qui représente au plus près l’excédent de trafic généré par l’attaque. Chaque attribut supplémentaire ajouté à l’équation permet de réduire le nombre de degrés de liberté nécessaires pour continuer à améliorer le modèle. Ce processus se poursuit jusqu’à ce que le démasquage des attributs crée une équation unique qui correspond exactement à l’excédent de trafic généré par l’attaque et bloque en toute confiance l’identité spécifique du hacker (image 3).

Image 4 : Test d’un jeu d’attributs

Cela peut sembler être un processus nécessitant beaucoup de capacités de calcul, mais la détection, l’identification et l’atténuation se font en quelques secondes, grâce à la puissance et la rapidité de la périphérie mondiale de Fastly. Cet exemple décrivait une attaque simple, mais la technique peut également contrer plusieurs attaques ciblées en même temps, provenant de différents acteurs malveillants.

Les attaques de DDoS (déni de service distribué) deviennent de plus en plus sophistiquées et fréquentes, ce qui rend les solutions complexes ou manuelles inefficaces. Le démasquage des attributs est la solution automatique qui permet de détecter, identifier et atténuer précisément les attaques de DDoS (déni de service distribué) qui ciblent vos applications et vos API. Le démasquage des attributs est la principale technique constituant Fastly DDoS Protection (déni de service distribué). Il s’exécute en quelques secondes, sans réglages, pour garantir que votre équipe n’utilise pas ses ressources pour disposer d’une sécurité efficace et que les utilisateurs finaux ne ressentent pas l’impact des attaques sur la performance et la disponibilité. Si vous aimeriez en savoir plus sur la façon dont la protection contre les attaques de déni de service distribué de Fastly peut vous aider à atténuer automatiquement l’impact des attaques de déni de service distribué sur vos applications, contactez-nous.