Home Articles techniques Stonefish – automatisation de la protection contre les attaques DDoS à la périphérie
Applications

Stonefish – automatisation de la protection contre les attaques DDoS à la périphérie

About The Author

Outline

Lorsque nous exploitons un vaste réseau mondial qui prend en charge des milliers d’applications Web et de services de streaming multimédia, la réduction des attaques par déni de service distribué (DDoS) fait partie de nos activités quotidiennes. Disposer d’une plateforme de mitigation DDoS résiliente et intelligente est essentiel au fonctionnement de notre réseau et aux services web qui en dépendent.

Pour assurer cette protection, nous avons développé Stonefish, notre plateforme de détection et d’atténuation des attaques DDoS qui empêche les attaques de couche 3/4 d’affecter les applications Web de nos clients. Stonefish est la première couche de défense de la solution de sécurité holistique d’Edgio à la périphérie, travaillant 24h/24, 7j/7, analysant des millions de paquets par seconde, les notant pour les menaces, prenant automatiquement des mesures si nécessaire, et être surveillé par notre équipe d’assistance afin qu’ils puissent effectuer des analyses supplémentaires et des actions d’atténuation en temps réel si nécessaire.

En conjonction avec la solution WAAP (Web and API protection) d’Edgio , Edgio fournit une sécurité unifiée multi-couches qui s’exécute sur tous les serveurs de l’ensemble de notre réseau périphérique. Edgio WAAP comprend des règles de contrôle d’accès (ACL), la sécurité des API, la protection DDoS de la couche application, la gestion avancée des bots, des règles de sécurité personnalisées ainsi que des règles de sécurité gérées. Chaque requête est traitée par ces couches de sécurité sophistiquées avec une latence minimale. Nous sommes fiers de fournir cette solution à nos clients en tant que guichet unique pour détecter et atténuer les attaques de couches 3/4 et 7 pour toutes les applications Web situées derrière notre plate-forme tout en améliorant les performances et la fiabilité de leur site via un panneau de contrôle unique.

Objectifs de conception Stonefish

Stonefish est une plate-forme d’atténuation des attaques DDoS conçue spécialement pour protéger notre réseau et notre infrastructure ainsi que tous nos services clients critiques qui s’y exécutent. Nous avons développé notre pile de sécurité DDoS à l’aide d’un mélange de logiciels open source et personnalisés qui s’exécutent sur chaque point de présence (POP), ce qui nous permet de fournir une plate-forme DDoS hautement évolutive et automatisée qui améliore la capacité de notre équipe d’assistance de première ligne à fournir une assistance en matière d’atténuation des attaques DDoS.

Nous avons conçu Stonefish pour:

  • Détectez et filtrez le trafic défectueux en quelques secondes.
  • Protégez-vous contre un large éventail d’attaques DDoS, des attaques volumétriques à l’épuisement des États, sur les couches OSI 3 et 4 (les attaques de couche 7 sont couvertes par notre WAAP holistique).
  • Exploitez notre architecture réseau existante combinée à des stratégies de détection et d’atténuation définies par logiciel.
  • Déployable via un panneau de contrôle unique basé sur le cloud (avec API de gestion disponibles)
  • Mettez à jour efficacement les règles et appliquez les politiques à l’échelle mondiale sur tous nos pop en temps quasi réel, en plus des règles créées automatiquement à la volée en réponse aux attaques.

Nos efforts ont abouti à un système entièrement automatisé qui détecte et bloque la grande majorité des attaques DDoS, offrant une sécurité et une tranquillité d’esprit accrues.

Architecture Stonefish

L’adoption d’une approche définie par logiciel de Stonefish nous permet d’héberger notre atténuation des attaques DDoS sur notre infrastructure distribuée, ce qui permet à chaque POP de notre réseau mondial de fonctionner comme un centre de nettoyage capable de détecter et de filtrer le trafic défectueux. Stonefish est construit avec une architecture logicielle modulaire, ce qui nous permet d’ajouter facilement des fonctionnalités au système contre un paysage de menaces en constante évolution sans utiliser de matériel spécialisé.

Stonefish tire parti de notre vaste réseau mondial Anycast. Le réseau Anycast distribué dans le monde entier nous permet d’acheminer le trafic malveillant vers le point de vente le plus proche. Cela nous permet d’atténuer toute attaque à la périphérie près de la source de l’attaque avant qu’elle ne puisse atteindre le réseau et le centre de données d’un client. L’atténuation est transparente, de sorte que la plupart du temps, les clients ignorent qu’ils sont attaqués. Nos services, quant à eux, sont toujours activés, utilisant des valeurs telles que l’adresse IP source/port, l’adresse IP/port de destination et les champs de paquets pour identifier les attaques potentielles et les arrêter avant qu’elles ne causent des dommages.

Échantillonnage et notation

Tout le trafic réseau entrant est échantillonné et analysé par Stonefish. Un système de notation est utilisé pour déterminer la gravité de la malveillance et bloquer automatiquement le mauvais trafic. Les résultats de l’analyse sont également envoyés à notre SOC 24h/24, 7j/7, 365j/7 et évalués si d’autres mesures sont nécessaires. Voici comment cela fonctionne.

  1. Un client envoie une demande de contenu à une application Internet.
  2. Notre routeur reçoit la demande et la dirige vers notre infrastructure d’équilibrage de charge.
  3. Un échantillon du trafic est envoyé des équilibreurs de charge à Stonefish.
  4. Stonefish analyse et note le trafic.
  5. Si du trafic malveillant est identifié, Stonefish envoie des instructions à l’équilibreur de charge pour qu’il abandonne le trafic en fonction du signal identifié par Stonefish.
  6. Le SOC d’Edgio est informé d’une attaque et fera un suivi si d’autres mesures sont nécessaires.

Amélioration de Stonefish

Nous avons récemment amélioré notre moteur de recherche et d’analyse distribué pour utiliser Elasticsearch, qui alimente désormais le « cerveau » de Stonefish. Les données ElasticSearch sont analysées en permanence pour détecter les modifications apportées aux métriques des paquets via une application logicielle personnalisée. Notre logiciel récupère les scores pour les intervalles de temps et les compare aux intervalles précédents pour les changements anormaux ou hors limites. Chaque protocole dispose d’une logique de requête et de détection personnalisée pour l’identification la plus précise possible, comme les paquets TCP, UDP ou ICMP. De plus, nous avons investi dans la technologie XDP (chemin de données express) au cours des dernières années et mis à jour notre échantillonnage de paquets à faire dans la couche XDP. Nous avons également exploité les chemins de données programmables hautes performances dans XDP pour supprimer les paquets d’attaque plus efficacement.

Comment notre SOC et Stonefish travaillent ensemble

Stonefish est l’un des nombreux outils que notre SOC utilise pour surveiller nos applications du point de vue de la sécurité et des performances. Il est intégré dans un tableau de bord qui alerte notre équipe de support des attaques sophistiquées en temps réel. Bien que Stonefish bloque automatiquement les attaques DDoS, il est également configuré pour alerter en cas d’anomalies, ce qui engage nos spécialistes SOC à enquêter et à prendre des mesures.

La protection contre les attaques DDoS est incluse dans chacun de nos plans de service. Les clients peuvent accéder à notre équipe de support pour l’assistance DDoS par téléphone ou par e-mail 24x7x365. L’amélioration de la prise en charge et des escalades des attaques DDoS ne nécessitent pas de taux ou de niveaux de service de sécurité spécialisés, y compris une atténuation proactive et un support client en cas de rançon DDoS. Edgio ne facture pas plus si vous êtes attaqué non plus, offrant à nos clients des prix prévisibles (et pas de frais surprise).

Stonefish empêche les attaques DDoS massives

Le 14 juin 2022, Edgio a empêché une attaque DDoS de grande envergure mesurant environ 176 millions de paquets par seconde (Mpps) qui ciblait un client e-commerce multinational basé en Asie. L’attaque a duré environ 30 minutes et provenait de l’UE ; notre réseau Anycast a rapidement réparti la charge et atténué l’attaque dans la région de l’UE malgré le fait que l’infrastructure du client soit située en Asie.

Quelques semaines plus tard, Stonefish a détecté et arrêté une attaque double de cette taille, env 355 Mpps ; le client, une organisation française de premier plan, n’a pas été affecté. Cette attaque représentait environ la moitié de la plus grande attaque DDoS jamais enregistrée, mesurée en Mpps.

Malgré la taille massive de cette attaque, il s’agissait d’un non-événement pour notre client qui n’a vu aucun impact sur son origine puisque le réseau d’Edgio a absorbé 100% du trafic d’attaque. Notre SOC 24×7 a informé le client pour le sensibiliser même si aucune action n’était nécessaire de sa part. Edgio dispose d’une capacité de bande passante de 250 Tbps et est l’une des seules plates-formes périphériques du marché à fournir une sécurité applicative complète et une protection DDoS L3/4/7, soutenue par notre équipe de sécurité gérée et SOC 24×7.

Conclusion

En tant que l’une des plus grandes plates-formes de sécurité périphériques mondiales qui traite plus de 4 % de l’ensemble du trafic Internet, nous défendons et atténuons les attaques DDoS contre des milliers de sites Web de nos clients chaque jour.

L’atténuation des attaques DDoS n’est qu’une seule couche d’une défense de sécurité efficace, mais elle reste essentielle. Nous avons conçu Stonefish pour défendre automatiquement les applications Web de nos clients contre les attaques de couche 3 et 4 en intégrant une pile logicielle intelligente à la périphérie de notre réseau massif qui peut détecter et atténuer ces menaces. En collaboration avec nos équipes de service, les clients bénéficient d’un support DDoS proactif qui peut travailler avec eux pour bloquer les attaques DDoS de toutes les couches.

Si vous souhaitez en savoir plus sur la façon dont Edgio peut aider votre organisation à renforcer sa posture de cybersécurité, veuillez nous contacter dès aujourd’hui pour planifier une évaluation complète avec l’un de nos experts.