Protégez vos applications contre les attaques DoS de couche 7 avec NGINX App Protect Denial of Service

L'expérience utilisateur est primordiale. Il n’y a aucune raison d’avoir des applications et des sites Web si les consommateurs et les clients ne les utilisent pas. Il est donc important de garantir une expérience utilisateur positive et cohérente, en particulier lorsque les utilisateurs deviennent moins tolérants à la latence, aux temps d’arrêt et aux erreurs.

Lorsque les utilisateurs ont une expérience négative avec votre application ou votre site Web, vous risquez de les perdre en tant que clients à vie. Dans une enquête Salesforce , 61 % des consommateurs ont déclaré qu'après une seule mauvaise expérience, ils étaient passés à un concurrent. Répétez la mauvaise expérience et la désertion est inévitable. La fidélité à la marque n’a pas beaucoup d’importance lorsqu’il existe tant de choix en ligne.

L’une des principales causes d’insatisfaction des consommateurs est le temps d’arrêt, et les attaques par déni de service (DoS) sont l’un des principaux responsables des temps d’arrêt prolongés. En raison des changements dans la conception des applications, de nouveaux vecteurs de menace sont apparus et les attaquants ont adapté les attaques DoS, utilisées depuis plus de deux décennies, pour exploiter les architectures modernes. Entre janvier 2020 et mars 2021, les attaques DoS au niveau de la couche applicative (couche 7) ont fortement augmenté , représentant 16 % de tous les incidents DDoS. En fait, la moitié des demandes adressées à l’ équipe de réponse aux incidents de sécurité F5 concernent des attaques DoS au niveau de la couche applicative.

L'atténuation centralisée de la sécurité peut être efficace contre les attaques DoS volumétriques au niveau de la couche réseau (couche 4), mais les attaques DoS au niveau de la couche applicative sont plus ciblées et nécessitent donc des défenses spécialisées pour protéger les applications modernes qui sont de plus en plus distribuées, constituées d'API et de microservices, et reposent sur des infrastructures plus flexibles, telles que le cloud.

Au-delà de la protection traditionnelle

Même si la source d'une attaque DoS est distribuée (ce qui en fait une attaque DDoS ), les attaques volumétriques de base au niveau de la couche réseau ciblent généralement un seul périphérique ou service, et les outils de protection traditionnels sont tout aussi monolithiques et centralisés. Et même si ces outils ont toujours leur place dans le paysage de la sécurité des applications, ils ne sont pas suffisants. Aujourd’hui, les services de protection DDoS basés sur le cloud sont la norme du secteur. Cependant, ils ne tiennent toujours pas compte du fait que les applications ne sont plus des services uniques monolithiques, mais comportent de nombreux points d’intégration qui nécessitent une protection.

Avant la transformation numérique et le changement d’architecture à grande échelle vers les API, les microservices et les intégrations basées sur le cloud qui l’accompagnait, un pare-feu d’application Web (WAF) de base pouvait largement atténuer les exploits de vulnérabilité et les attaques DoS. Lors d'une attaque volumétrique, se manifestant par une inondation côté client, par exemple, un WAF de base et des outils DoS traditionnels sont efficaces car le trafic est centralisé. Un service de nettoyage du cloud peut atténuer les attaques avant que le trafic n'entre dans les canaux d'entrée, ou une protection peut être placée devant la pile d'applications. Les WAF de base protègent toujours contre les attaques traditionnelles, en grande partie grâce à la limitation du débit, à la liste de refus et aux signatures de bots, mais le paysage des menaces a évolué au-delà de cela.

En bref, les règles du jeu ont changé et les WAF de base et la protection DoS traditionnelle ne sont pas efficaces avec les architectures d’applications modernes.

Les attaques DoS modernes se produisent au niveau de la couche 7 et, comme elles sont cachées dans des canaux cryptés et ciblent la logique d'application, elles sont beaucoup plus difficiles à détecter. Vous avez donc besoin d’une couche de protection supplémentaire pour mesurer le comportement du client et le stress du serveur, les deux principaux indicateurs d’une attaque DoS.

Pour aider à résoudre ce problème, nous avons récemment publié le module NGINX App Protect Denial of Service . Vous vous demandez peut-être si vous avez besoin d'un module DoS si vous disposez déjà d'un WAF et d'une protection DoS traditionnelle. En effet, c’est le cas – lisez la suite pour savoir pourquoi.

Les architectures modernes ont besoin d'une protection moderne

Le chiffrement est omniprésent et la protection DoS traditionnelle n’a pas été conçue pour le déchiffrement à grande échelle. À l’ère des applications monolithiques, l’atténuation centralisée des attaques DoS était logique, car le chiffrement n’était pas si répandu et les attaques pouvaient être largement détectées en examinant uniquement le côté client. Aujourd’hui, presque tout le trafic est chiffré, de sorte que l’atténuation des attaques DoS sans état qui se concentre uniquement sur le trafic entrant est largement inefficace, en particulier lorsqu’une attaque utilise une seule requête ciblée pour infliger un stress à l’application.

Les applications sont désormais conçues et optimisées pour les architectures distribuées telles que les microservices, et le chiffrement de bout en bout devient monnaie courante grâce à l’importance accrue (et à la législation qui en découle) accordée à la confidentialité des utilisateurs et aux progrès de la cryptographie. Les architectures modernes s’appuient fortement sur les API, et la communication API-API (également appelée trafic est-ouest ) peut même ne pas passer par les contrôles de sécurité centralisés.

Une protection DoS efficace au niveau des applications nécessite une visibilité et un contexte de bout en bout , y compris la capacité de détecter les anomalies côté client et le stress côté serveur. Les attaques DoS avancées de couche 7 sont souvent déguisées en trafic légitime. Les mesures d'atténuation de base telles que la limitation du débit, la liste de refus, les signatures et la conformité au protocole ne sont donc plus suffisantes.

Les attaques sophistiquées de couche 7 ressemblent à du trafic légitime en surface, et les WAF de base ne disposent pas de l'analyse comportementale nécessaire pour les détecter. NGINX App Protect DoS est spécifiquement conçu pour examiner à la fois les anomalies client et le stress du serveur, et peut identifier et atténuer dynamiquement les attaques, et mesurer l'efficacité de l'atténuation, sans nécessiter l'attention d'équipes de sécurité déjà surchargées.

Si vous vous fiez uniquement aux défenses WAF de base et à l’atténuation DDoS traditionnelle, vous n’avez pas de visibilité ni de contexte appropriés sur une attaque de couche 7, et les conséquences potentielles sont énormes : latence, temps d’arrêt, abandon de revenus et marque endommagée. Grâce à l’analyse comportementale, les anomalies client et l’état du service peuvent être analysés en permanence afin de détecter une attaque DoS zero-day. Un examen attentif du comportement du site nous permet de répondre à des questions telles que : Y a-t-il quelque chose d’anormal par rapport aux modèles de trafic de base ? La requête manque-t-elle d’informations que nous attendons d’un navigateur, même si elle semble provenir d’un navigateur ? La demande inclut-elle une requête de base de données complexe qui entraîne une utilisation élevée du processeur ?

En créant une image des performances et du comportement normaux, NGINX App Protect DoS peut se concentrer sur les attaques de couche 7 qui échappent aux défenses traditionnelles et infligent un stress aux applications.

Atténuer avec plusieurs modules

Les conséquences des attaques DoS n’ont pas changé : performances lentes, utilisateurs frustrés et pertes de revenus. Mais la manière dont les attaques DoS se produisent peut être très différente, les pirates utilisant des outils de cryptage et de sécurité pour déguiser leur menace en trafic légitime.

Même si vos utilisateurs ne sont peut-être pas en mesure de faire la différence entre les architectures, ils peuvent faire la différence entre les bonnes et les mauvaises performances d’un site. Les barrages de trafic d'attaque provoquent une latence qui rend l'expérience utilisateur lente. C'est assez lent, et même les utilisateurs les plus patients (et ils ne sont pas nombreux !) abandonnent la transaction et passent sur un autre site. Une seule requête ciblée peut entraîner une latence et une tension sur le serveur. Une protection DoS spécialisée dans les applications est donc essentielle.

Les solutions de sécurité des applications Web continuent d'évoluer pour faire face aux nouvelles attaques, telles que celles décrites dans le document OWASP Automated Threats to Web Applications . Mais vous avez besoin d’une protection qui s’intègre nativement dans l’environnement d’exécution de votre application. Quelque chose de dynamique. Quelque chose d'adaptable. Alors que d'autres solutions DoS peuvent être conçues pour les attaques DDoS réseau telles que les inondations SYN , la solution NGINX App Protect DoS est spécialisée pour les attaques de couche 7 qui sollicitent les ressources des applications. La combinaison des solutions WAF et DoS Layer 7 garantit que les applications sont protégées contre les exploits de vulnérabilité et les abus de logique métier, évitant ainsi toute compromission ainsi que toute latence, dégradation et temps d'arrêt.

Le commerce se fait désormais en grande partie en ligne. Les gens sont désormais majoritairement en ligne. Vous devez en faire un endroit sûr et sécurisé. En combinant les modules NGINX App Protect WAF et NGINX App Protect DoS , vous bénéficiez d'une protection robuste adaptée à votre environnement, vos applications et votre entreprise.

Essayez NGINX App Protect par vous-même – démarrez votre essai gratuit de 30 jours dès aujourd'hui ou contactez-nous pour discuter de vos cas d'utilisation .