BLOG

Exploiter les renseignements pour se protéger contre les attaques du monde réel (sans aucun effort)

Vignette de Joel Cohen
Joël Cohen
Publié le 14 décembre 2022

Les attaques sur les applications Web varient considérablement en termes de méthodes et d’objectifs. Certaines attaques varient des attaques opportunistes basées sur des analyses à des campagnes ciblées et sophistiquées et des script kiddies aux organisations de hackers bien soutenues. Un large spectre d’attaques comme celles-ci nécessite un ensemble complet d’outils de sécurité qui peuvent être superposés pour fournir une sécurité solide, un peu comme la façon dont le toit d’une cabane protège contre la pluie. Les protections, signatures et règles de base du WAF, désormais standard, font un excellent travail pour arrêter une grande partie de la « pluie ». Ils sont cependant désavantagés face aux campagnes d’attaque sophistiquées, voire ciblées. Selon les recherches de F5 Labs , environ trois vulnérabilités critiques sont publiées chaque jour, ce qui rend impossible pour les organisations de rattraper leur retard.

Les campagnes d'attaque sont des activités de menace et d'exploitation coordonnées et planifiées avec des objectifs définis sur une période donnée, généralement contre des cibles spécifiques. Les cibles ne sont pas seulement des organisations nommées, mais peuvent également être des types d’infrastructures Web.

Les campagnes sont difficiles à détecter et à atténuer. Il y a deux raisons principales à cela : soit les campagnes sont intelligemment conçues pour échapper aux règles et signatures WAF habituelles, soit leur détection nécessite la configuration de politiques de sécurité complètes et grossières qui pourraient générer de faux positifs, submergeant l'équipe de sécurité et risquant de ne pas remarquer l'attaque dans la botte de foin.

Ce n’est peut-être pas une nouvelle pour beaucoup d’entre vous, et c’est peut-être la raison pour laquelle vous lisez cet article, à la recherche d’une solution. Les campagnes de menaces de F5 sont l’une de ces solutions, et nous vous expliquerons comment elles fonctionnent ici.

F5 Threat Campaigns est un service de renseignement qui détecte et bloque avec précision les campagnes d'attaques actuelles et en cours avec pratiquement zéro faux positifs. Il s'appuie sur une équipe d'experts en sécurité dédiés à la recherche, l'analyse et la dissection d'attaques réelles en cours dans la nature, avec un arsenal d'outils qui comprend, entre autres, un réseau mondial de pots de miel constamment attaqués et ciblés par des acteurs malveillants.

F5 Threat Campaigns vous offre une protection rapide et préventive contre les campagnes d'attaque en cours avant qu'elles n'atteignent votre entreprise. L'utilisation des campagnes de menaces F5 est simple et nécessite simplement de les activer sans configuration supplémentaire. Les services de renseignement fournissent un contexte riche sur la nature et le but de la campagne de menace. Il sera automatiquement mis à jour avec les dernières campagnes publiées par F5.​

F5 Threat Campaigns est un module complémentaire d'abonnement à F5 BIG-IP Advanced WAF et est inclus avec F5 Distributed Cloud WAF et F5 NGINX App Protect WAF. 

Chaque disposition des campagnes de menaces F5 est explicitement créée pour une campagne d’attaque détectée dans la nature comme étant menée par un cyberadversaire. Il s’agit d’une approche différente d’une approche de signature large qui pourrait, par exemple, tenter de détecter plusieurs vulnérabilités et exploits de manière générique.

Cette concentration sur des campagnes spécifiques élimine le risque de détections faussement positives tout en offrant une protection nécessitant peu de maintenance contre les véritables attaques en cours. De plus, grâce au faible risque associé aux faux positifs et à la précision de la campagne, le cycle de publication de F5 pour les nouvelles entrées de campagne est rapide, ce qui entraîne un court délai entre la détection dans la nature et le moment où les clients sont protégés contre l'attaque.

F5 Threat Campaigns fournit des informations supplémentaires sur la nature de la campagne d'attaque, ce qu'elle tente de faire, le risque qu'elle représente pour les applications et l'intention de l'acteur attaquant. Cela aide les opérateurs de sécurité à mieux comprendre ce qui pourrait les attaquer, comment et par qui, et à évaluer les risques.

Il est essentiel de comprendre que F5 Threat Campaigns n’est pas destiné à détecter une attaque unique ou aléatoire. Au lieu de cela, il se concentre sur les attaques du monde réel qui sont généralement détectées en grand nombre, ce qui signifie des risques plus étendus pour les utilisateurs. Un exemple d'attaque unique ou aléatoire pourrait être lorsqu'un attaquant unique exécute une injection sur un site ou lorsqu'un testeur de pénétration essaie un CVE qui pourrait être exploité en théorie mais qui n'a jamais été utilisé dans une attaque réelle.

C’est pourquoi un service intelligent comme F5 Threat Campaigns est complémentaire aux autres protections WAF, comme les signatures, et non un remplacement. Il s'agit d'une couche supplémentaire offrant une protection spécifique contre les attaques du monde réel sans faux positifs et sans aucun réglage nécessaire. En superposant des solutions de sécurité telles que les campagnes de menaces, F5 peut fournir une sécurité solide pour votre application qui couvre les failles que les attaquants pourraient autrement franchir.

Plus tôt cette année, la carte mondiale des campagnes de menaces F5 a été publiée pour aider les entreprises à offrir une meilleure visibilité sur les campagnes de cyberattaques grâce à des informations et à une télémétrie présentées ensemble. Dans un article de blog , Navpreet Gill explique que « la carte mondiale des campagnes de menaces F5… permet d'offrir une meilleure visibilité sur les campagnes de cyberattaques grâce à des informations et à la télémétrie présentées ensemble ».

Veuillez contacter votre partenaire de distribution ou votre responsable de compte F5 pour plus d'informations sur la manière d'ajouter un abonnement pour les campagnes de menaces F5 à votre Advanced WAF BIG-IP ou pour commencer à utiliser les campagnes de menaces F5 sur votre solution WAF F5 Distributed Cloud ou NGINX App Protect WAF dès aujourd'hui.