La montée du piratage BGP et pourquoi vous avez besoin d'un plan de réponse immédiatement

Le piratage BGP (Border Gateway Protocol) est l'une des nombreuses attaques célèbres que les pirates informatiques déploient pour interférer avec les réseaux de diffusion de contenu (CDN). Les pirates peuvent également être capables d'interférer avec les fournisseurs d'hébergement cloud. Récemment, presque tous les principaux fournisseurs de services cloud comme Google, Amazon et GoDaddy ont été victimes de détournement de BGP.

Comment fonctionne un BGP ?

Avant d'entrer dans les détails de la façon dont le piratage BGP se produit, il est important de se plonger dans BGP. BGP est essentiellement un protocole de routage qui peut connecter plusieurs réseaux. Cette congrégation de réseaux est connue sous le nom de système autonome (AS). Un protocole de routage est utilisé pour transférer des informations ou des paquets de données sur plusieurs réseaux.

Généralement, un AS se compose de fournisseurs de FAI, de grandes entreprises technologiques ou, dans certains cas, de réseaux appartenant à des gouvernements. Chaque AS reçoit un numéro unique chargé de contrôler un ensemble spécifique de plages ou d'espaces IP appelés préfixes. Chaque AS affiche la liste des adresses IP qu'il contrôle et les chemins possibles vers les routeurs ou les pairs voisins pendant le routage des paquets de données.

Les informations concernant les pairs et les IP sous contrôle sont stockées dans des tables de routage et changent fréquemment lorsque de nouveaux réseaux et des chemins plus courts apparaître.

Connexe : Pour le pirate informatique moyen, votre petite entreprise est une cible idéale

L'anatomie d'un détournement de BGP

La principale conséquence du détournement de BGP est que les pirates peuvent rediriger les informations voyager à travers un réseau vers différents endroits. Ils peuvent le faire en suivant les étapes suivantes :

Annonce de la route

La première étape consiste à envoyer une annonce des nouvelles routes BGP. Cette annonce ne sera crédible que si elle est annoncée par un AS légitime. Le mauvais acteur utilisera un AS compromis pour le faire. L'annonce de la route implique généralement la publication d'un tableau de tous les préfixes ou plages IP disponibles. Si tout se passe bien, ils annonceront de nouvelles routes BGP à leurs homologues du réseau mondial.

Spécificité IP

Les adresses IP choisies pour l'affichage sont plus spécifiques par rapport aux adresses IP légitimes. Dans la plupart des cas, les pirates utilisent des préfixes inutilisés ou des plages d'adresses IP présentes sur des réseaux AS réels et légitimes. Cela peut aider à améliorer considérablement les chances de dissimuler l'identité des pirates.

Le chemin d'information n'est intercepté que si les pirates peuvent prouver que la nouvelle route est plus courte. Plus ils montrent que leur réseau est efficace, plus d'informations seront interceptées. En effet, en avril 2018, des attaquants ont infiltré Amazon Route 53. Ils ont ensuite redirigé 1 300 adresses dans l'espoir de voler de la crypto-monnaie. Les pirates ont pu éviter les soupçons en agissant comme un site Web de crypto-monnaie connu sous le nom de MyEtherWallet.com. Ils ont ensuite volé environ 150 000 $ en crypto-monnaie aux utilisateurs finaux. Par conséquent, les entreprises, grandes et petites, ont besoin d'un plan de réponse pour neutraliser l'attaquant.

Une attaque de réponse à incident typique après un détournement de BGP peut être loin d'être facile. C'est à cause de la façon dont les pirates peuvent se cacher. Cependant, dans la plupart des cas, les entreprises mettent en œuvre un plan de réponse aux incidents en trois étapes.

Ces étapes comprennent la détection, le confinement et l'éradication. Parmi ceux-ci, l'étape de confinement est particulièrement difficile, étant donné que les annonces d'itinéraires peuvent avoir lieu rapidement. ]Pour prévenir cette cyberattaque, les entreprises devront soit s'appuyer sur les mesures proposées par leur FAI, soit mettre en œuvre leurs mesures de sécurité. Cette dernière doit avoir lieu si l'entreprise possède le réseau AS.

Les entreprises qui dépendent des mesures de sécurité mises en place par leurs FAI devront constamment contacter les fournisseurs pour s'assurer que les vulnérabilités au sein du réseau sont éradiquées.

Dans le second cas, une organisation doit envisager de suivre les étapes suivantes :

• Créer une politique de peering qui peut aider les pairs à déterminer la légitimité des adresses IP. Une entreprise a le choix entre une politique de peering ouverte et une politique sélective en fonction de ses besoins de son réseau.

• MANRS (Mutually Agreed Norms for Routing Security) est un ensemble de bonnes pratiques que les organisations peuvent utiliser pour protéger leurs réseaux contre le piratage BGP. Par conséquent, il est important d'intégrer cela dans les mesures de sécurité.

• Restreindre le nombre de préfixes ou de plages IP affichés par un réseau AS pour limiter le nombre d'annonces effectuées.

• Mettre en œuvre des points de contrôle d'authentification par lesquels un opérateur doit passer avant d'accepter une annonce.

En plus de cela, les organisations se tournent également vers le filtrage des routes, les vérifications des mises à jour BGP en temps réel et plus encore pour s'assurer que les pirates ne peuvent pas pirater le réseau. Cependant, un outil de réponse automatisé est la mesure de sécurité la plus impressionnante et la plus précise dans laquelle une organisation peut investir. Cet outil fonctionnera à la fois comme un détecteur et un outil d'atténuation pour aider à prévenir le piratage.

Bien qu'il y ait eu une augmentation des cas de BGP. piratage au cours des dernières années, les organisations sont aujourd'hui mieux équipées pour y faire face grâce à l'amélioration drastique des options de sécurité.

Source link