Depuis l’attaque par d\u00e9ni de service distribu\u00e9 (DDoS) du botnet Mirai en 2016, le service DynDNS a connu une s\u00e9rie de changements majeurs. Plus tard en 2016, Oracle a acquis Dyn et a consid\u00e9rablement modifi\u00e9 le paysage des fournisseurs de syst\u00e8me de nom de domaine (DNS) corporate. Depuis l’acquisition de Dyn par Oracle, Dyn a \u00e9mis trois notifications de fin de services et a annonc\u00e9 qu’\u00e0 partir du 31 mai 2023, il n’assurera plus de services DNS majeurs, parmi lesquels :<\/p>\n\n\n\n
Cela signifie que les entreprises devront prendre certaines mesures. Elles devront d’abord choisir un nouveau fournisseur DNS, puis migrer vers son infrastructure. Pour comprendre les risques et les effets li\u00e9s au changement de services DNS, les entreprises doivent d’abord comprendre les menaces qui p\u00e8sent sur les serveurs DNS faisant autorit\u00e9.<\/p>\n\n\n
Aujourd’hui, l’attaque DDoS est probablement la menace la plus fr\u00e9quente et perturbatrice. Ce type d’attaque cible les sites web et les serveurs en perturbant les services de r\u00e9seaux dans le but d’\u00e9puiser les ressources d’une application. Les auteurs de telles attaques inondent le site de trafic errant, ce qui entra\u00eene un mauvais fonctionnement du site web, ou le rend tout simplement inaccessible. La prolif\u00e9ration des objets non s\u00e9curis\u00e9s connect\u00e9s \u00e0 Internet (IoT) constitue une opportunit\u00e9 pour les hackers de cr\u00e9er une arm\u00e9e de botnets en vue de les attaquer.<\/p>\n
Les attaques DDoS sont r\u00e9alis\u00e9es \u00e0 des fins d’extorsions, de dissimulation de tentatives d’intrusion, d’attaques sponsoris\u00e9es par un \u00c9tat, de pratiques commerciales anticoncurrentielles, d’hacktivisme en vue de contester des activit\u00e9s commerciales, ou peuvent \u00eatre auto-inflig\u00e9es du fait d’une mauvaise configuration. Il est impossible de pr\u00e9dire le moment et le lieu de ces attaques. Les attaques DDoS ciblent souvent les bases de donn\u00e9es, les applications et les infrastructures simultan\u00e9ment pour augmenter leurs chances de r\u00e9ussite.<\/p>\n
Aussi connu sous le nom de spoofing de DNS, l’empoisonnement du cache DNS d\u00e9signe l’entr\u00e9e de fausses informations dans un cache DNS afin que les requ\u00eates DNS renvoient une r\u00e9ponse incorrecte et que les utilisateurs soient dirig\u00e9s vers le mauvais site web. Les r\u00e9solveurs DNS sont souvent qualifi\u00e9s d’annuaires d’Internet. Lorsque les r\u00e9solveurs fonctionnent correctement, ils traduisent du texte lisible par les humains en adresses IP qu’ils stockent dans une m\u00e9moire localis\u00e9e pour r\u00e9duire la fr\u00e9quence des requ\u00eates DNS.<\/p>\n
Les empoisonnements DNS sont r\u00e9alis\u00e9s \u00e0 des fins de phishing, de distribution de contenu nuisible (tel que les vers et virus informatiques) et de collecte d’informations personnelles (telles que des identifiants ou donn\u00e9es de cartes bancaires). S\u00e9curisez votre serveur DNS avec le DNSSEC. Gr\u00e2ce \u00e0 des signatures num\u00e9riques bas\u00e9es sur la cryptographie et sign\u00e9es au moyen d’un certificat de cl\u00e9 publique de confiance, il peut d\u00e9terminer l’authenticit\u00e9 des donn\u00e9es et ainsi contrer les attaques par empoisonnement du cache.<\/p>\n\n\n
L’att\u00e9nuation des menaces de s\u00e9curit\u00e9 DNS n\u00e9cessite une approche \u00e0 plusieurs niveaux ou la mise en \u0153uvre simultan\u00e9e de plusieurs strat\u00e9gies de protection. Une infrastructure DNS fortifi\u00e9e doit pouvoir r\u00e9sister \u00e0 des attaques DDoS de grande ampleur tout en restant accessible pour les clients. Comprendre le taux d’absorption de bande passante de votre fournisseur DNS peut vous aider \u00e0 augmenter votre r\u00e9silience et \u00e0 diminuer les risques associ\u00e9s \u00e0 des \u00e9v\u00e9nements du r\u00e9seau. La dispersion g\u00e9ographique des n\u0153uds peut \u00e9galement s’av\u00e9rer utile, car elle permet une plus grande redondance g\u00e9ographique et de transit.<\/p>\n\n\n\n
Une infrastructure SOC d\u00e9di\u00e9e 24 h\/24, 7 j\/7 et 365 j\/an est \u00e9galement essentielle pour surveiller le trafic et \u00e9liminer toute anomalie, ce qui peut \u00eatre effectu\u00e9 au niveau local la plupart du temps. Une fois d\u00e9tect\u00e9 gr\u00e2ce \u00e0 des techniques d’analyse de donn\u00e9es avanc\u00e9es telles que la t\u00e9l\u00e9m\u00e9trie, le trafic anormal doit automatiquement \u00eatre isol\u00e9 et \u00e9loign\u00e9 des serveurs cibles au moyen de contre-mesures. En g\u00e9n\u00e9ral, le d\u00e9tournement de Border Gateway Protocol est la m\u00e9thode privil\u00e9gi\u00e9e. Si le trafic d’attaque tend \u00e0 d\u00e9passer la capacit\u00e9 d’att\u00e9nuation locale, le ou les segments cibles devront \u00eatre d\u00e9tourn\u00e9s au travers de n\u0153uds globaux. Une infrastructure DDoS d\u00e9di\u00e9e et distincte permet aux clients de maintenir en ligne l’infrastructure essentielle \u00e0 leur activit\u00e9 pendant que des sp\u00e9cialistes SOC \u0153uvrent au retour \u00e0 la normale des services DNS en \u00e9vitant le plus possible toute perturbation. Ces r\u00e9seaux devront faire l’objet d’un audit ind\u00e9pendant et une annonce publique devra confirmer aux clients que les infrastructures sont bien distinctes, conform\u00e9ment aux normes de certification de l’American Institute of Certified Public Accountants (Institut am\u00e9ricain des comptables publics certifi\u00e9s) \u00e9tablies dans le SSAE (Statement on Standards for Attestation Engagements, D\u00e9claration sur les normes relatives aux op\u00e9rations de certification) No. 18.<\/p>\n\n\n\n
Pour continuer sur le th\u00e8me des infrastructures DNS distinctes, un DNS secondaire permet souvent \u00e0 un ou plusieurs fournisseurs DNS de fournir des services de r\u00e9solution des serveurs DNS faisant autorit\u00e9 et offre une meilleure att\u00e9nuation des menaces DDoS. Par le pass\u00e9, le maintien de la fonction avanc\u00e9e des serveurs DNS faisant autorit\u00e9 pour tous les fournisseurs s’est av\u00e9r\u00e9 difficile pour les entreprises clientes. Cependant, la solution Ultimate DNS de CSC a \u00e9t\u00e9 con\u00e7ue pour r\u00e9pondre aux besoins croissants des entreprises. Elle comprend toutes les fonctionnalit\u00e9s n\u00e9cessaires \u00e0 une entreprise en termes de gestion DNS, auxquelles s’ajoutent une int\u00e9gration parfaite de leur DNS et de leur portefeuille de noms de domaine, le CNAME flattening ainsi que des options pour le DNSSEC, la g\u00e9olocalisation, la r\u00e9partition de charge pond\u00e9r\u00e9e et le basculement. Ultimate DNS a \u00e9galement ajout\u00e9 la redondance d’un deuxi\u00e8me r\u00e9seau DNS global anycast via une interface \u00e0 utilisateur unique en configuration active-active, au sein d’une infrastructure internationale offrant le meilleur niveau de disponibilit\u00e9 du secteur.<\/p>\n\n\n\n
Bien souvent, les fournisseurs de Cloud n’offrent que des outils en libre-service et limitent la possibilit\u00e9 de proposer une infrastructure DNS secondaire distincte, exposant de fait les clients aux risques et menaces associ\u00e9s. Sur la base des explications donn\u00e9es ci-dessus concernant les menaces et les moyens de les att\u00e9nuer, les entreprises devraient se tourner vers un fournisseur d’infrastructure DNS corporate poss\u00e9dant :<\/p>\n\n\n\n