Lorsque j'ai été réveillé à 3 heures du matin par un SMS d'alerte et que j'ai constaté que la courbe du trafic professionnel avait soudainement grimpé, ma première réaction n'a pas été de me dire "Encore un DDoS", mais d'avoir froid dans le dos - il ne s'agit pas du tout d'un schéma d'attaque habituel. L'arrière-plan montre que toutes les demandes sont faites avec des User-Agent légitimes, la distribution des IP et des utilisateurs normaux est presque la même, mais chaque demande utilise des intervalles millimétriques pour explorer une interface API froide. À ce moment-là, j'ai poussé un soupir de dépit : la vulnérabilité de type "zero-day" avait été mise à mal.
L'aspect le plus désagréable des attaques de type "zero-day" est que vous n'avez aucune idée de l'endroit où se trouvent les vulnérabilités. Les attaquants trouvent les faiblesses du système avant votre équipe de sécurité, et les bases de règles WAF traditionnelles ne peuvent même pas arrêter un pet. L'année dernière, une grande usine s'est effondrée pendant 12 heures à cause d'une vulnérabilité zero-day de la bibliothèque d'analyse JSON, la perte étant suffisante pour acheter la moitié du fournisseur de services CDN. De nos jours, même les CDN doivent "prévenir les coéquipiers" - après tout, certaines des vulnérabilités peuvent être celles de leurs propres programmeurs qui ont enterré les miennes.
Le CDN à haut niveau de défense peut mener ce type d'attaque, pas du tout en fonction de l'importance de la bande passante, mais pour voir s'il est possible pour l'attaquant de trouver les failles avant la première odeur de saveur anormale. J'ai testé trois fournisseurs de services traditionnels et j'ai constaté que le délai d'interception du trafic malveillant du CDN5 est inférieur à celui du 87% par rapport au schéma traditionnel - la clé ne réside pas dans la base de règles complète, mais dans le fait qu'ils dotent chaque nœud d'un "analyseur de reniflage comportemental".
Le trafic d'attaques de type "jour zéro" porte souvent un masque à trois couches : la première couche est la conformité au protocole (tous les en-têtes HTTP sont légaux), la deuxième couche est le camouflage de la fréquence (imitant le rythme des visites d'utilisateurs réels) et la troisième couche est la furtivité de la charge utile (les charges d'attaque sont décomposées en morceaux et mélangées à des données normales). Lors de la violation d'une plateforme financière l'année dernière, l'attaquant a même encodé le code d'exploitation dans les données EXIF d'une image PNG, et le WAF a été directement aveuglé.
Ne croyez pas les vendeurs de CDN qui se vantent d'avoir "10 millions de bases de règles" - la caractéristique fondamentale des attaques "zero-day" est d'être "inconnues", et les bases de règles sont toujours mises à jour un peu plus lentement que les exploits. Les solutions réellement utiles reposent sur une modélisation dynamique du comportement. Par exemple, les nœuds de CDN07 prendront l'empreinte de chaque visiteur dans plus de 500 dimensions : des valeurs de gigue de la poignée de main TCP aux préférences de chiffrement SSL, en passant par les changements d'entropie dans les traces de souris. Lorsque l'on constate qu'un groupe d'utilisateurs commence soudainement à accéder régulièrement à un certain chemin API qui n'a jamais été utilisé auparavant, un effondrement est directement déclenché.
Voici un échantillon du trafic d'une véritable attaque de type "zero-day" que j'ai capturé dans un environnement de test le mois dernier (le domaine a été désensibilisé) :
Remarquez les détails : seules 3 requêtes par IP sont envoyées et modifiées, le User-Agent est complètement légitime, les noms de fichiers sont déguisés avec des nombres aléatoires, et la charge utile malveillante est découpée en tranches et cachée dans l'en-tête du fichier Excel. Les WAFs traditionnels voient le multipart/form-data et le laissent passer, mais l'algorithme de CDN5 remarque l'anomalie - les utilisateurs normaux n'interrogent pas la même interface froide avec 16 IP en 2 minutes.
L'approche de 08Host est encore plus impitoyable : dès qu'une attaque zero-day présumée est détectée, le trafic est immédiatement dirigé vers le cluster sandbox, tout en injectant du code sonde dans le serveur réel. Par exemple, en insérant soudainement un morceau de JavaScript en filigrane dans le code HTML renvoyé :
Ce code surveille si l'attaquant effectue des opérations DOM anormales - les vrais utilisateurs ne s'amusent pas à lire les données navigator.plugins sur la page de la facture d'exportation. Une fois le filigrane sombre déclenché, le nœud périphérique du CDN réinitialise la connexion directement au niveau de la couche TCP, 400 millisecondes plus vite que l'interception au niveau de la couche d'application, ce qui laisse suffisamment de temps à l'attaquant pour faire passer 2 Mo de code d'exploitation.
Il ne faut jamais penser que l'achat d'un CDN à large bande passante et à haute défense peut être un mensonge. L'attaque de type "zero day" consiste à jouer sur l'écart d'information, la défense doit en savoir plus sur la logique d'entreprise que l'attaquant. J'ai vu la configuration la plus impressionnante pour chaque interface API afin de définir le " score de dureté " : le seuil d'anomalie de l'interface de connexion est de 5%, l'interface de paiement est de 0,1%, et l'interface de commentaire de marchandises peut être placée dans les 30%. La console de CDN07 peut réellement personnaliser la matrice de sensibilité de l'interface, ce qui est essentiel pour vous sauver la vie au moment critique.
Lorsque nous avons aidé une plateforme de commerce électronique à effectuer des tests de pénétration l'année dernière, nous avons intentionnellement simulé des attaques avec des exploits de type "zero-day". Le taux d'interception des fournisseurs de CDN traditionnels n'est que de 12%-38%, alors que le CDN5 avec analyse comportementale dynamique atteint 91% - la principale différence étant que ce dernier utilise un modèle d'apprentissage fédéré. Les caractéristiques des attaques rencontrées par chaque nœud sont désensibilisées et synchronisées à travers le réseau, ce qui permet aux autres nœuds de déclencher l'interception même s'ils voient le même type d'attaque pour la première fois. Bien sûr, les partisans de la protection de la vie privée voudront certainement débattre de la sécurité des données, mais ils utilisent un chiffrement homomorphique, la pression du trafic d'origine ne sort pas du nœud.
Pour être honnête, maintenant que les attaques zero-day ont été industrialisées, le chantage a des garanties SLA, et certaines plateformes d'attaque promettent même de "ne pas être intercepté dans un délai de remboursement de 24 heures". Si un CDN à haute défense s'appuie encore sur des IP noires manuelles, il vaudrait mieux donner directement de l'argent au pirate. Une solution vraiment efficace doit répondre à trois points : le calcul en temps réel de la ligne de base comportementale (quelques millisecondes), l'intervention légère du bac à sable (sans affecter les utilisateurs normaux) et la synchronisation des renseignements sur les menaces à l'échelle du réseau (délai de moins de 10 secondes).
Enfin, je vais lancer une théorie : dans les trois prochaines années, la fonction WAF du 90% s'enfoncera jusqu'à la limite du nœud CDN. Ceux qui vendent encore des "boîtes WAF indépendantes" peuvent se laver les mains - la vitesse de réponse de l'attaque zero-day est conduite par la vitesse de la lumière, attendre que le trafic retourne à la source de la salle des serveurs est depuis longtemps cool. 08Host a même récemment compressé le modèle d'IA à 5MB dans le nœud de bord fonctionnant sur le bord du nœud FPGA, la latence de détection est pressée à 0,8 millisecondes ou moins, le chiffre est plus rapide que la vitesse de conduction du neurone humain. chiffre est plus rapide que la vitesse de conduction d'un neurone humain.
Si vous choisissez maintenant des fournisseurs de services CDN, concentrez-vous sur trois choses : il n'y a pas de carte comportementale globale en temps réel (pas de rapports de logs), il est possible de personnaliser les règles de logique d'entreprise (pas simplement des IP noires), il faut oser promettre un temps de réponse en cas d'attaque de type zéro jour (inscrit dans le type de SLA). Ne vous laissez pas berner par ce type de rhétorique "défense de classe T", "bande passante de 800 Gbps" - une attaque de type "zéro jour" ne représente souvent qu'un trafic de 10 Mbps, et vos données de base peuvent en pâtir.
D'ailleurs, on a récemment découvert que certains pirates informatiques ont commencé à utiliser GPT pour générer du trafic camouflé, l'ère magique de l'IA combattant l'IA est vraiment en train d'arriver. Il est bon de savoir que CDN07 teste déjà des réseaux génératifs adverses (GAN) là-bas, utilisant l'IA pour prédire les schémas d'attaque de l'IA. Mais c'est une autre histoire pour une autre fois, lorsque nous serons réveillés par des alertes matinales.
