Vous pouvez désormais voir les campagnes de menaces sous vos yeux

La plupart des entreprises utilisent aujourd’hui entre 200 et 1 000 applications en moyenne, comme le souligne le rapport F5 State of Application Strategy (Figure 1, ci-dessous). Ces applications s'étendent probablement sur plusieurs clouds publics/privés et centres de données, ce qui signifie que les maintenir disponibles et sécurisées est un défi.

Au cours de l’année dernière seulement, nous avons été confrontés à des vulnérabilités généralisées et hautement exploitées telles que Log4j et Spring4Shell . Les équipes de sécurité ont travaillé jour et nuit, sept jours sur sept, simplement pour localiser et atténuer les vulnérabilités de leurs applications existantes, tout en essayant désespérément de se protéger contre les exploits et d'atténuer les dommages. Et malheureusement, nous n’entendons parler que des vulnérabilités majeures, car toutes les vulnérabilités ne sont pas signalées et catégorisées : Le NIST.gov a souligné qu'environ 28 % des vulnérabilités n'ont tout simplement pas été signalées en 2021, sur un total de 25 646 vulnérabilités cette année-là. 

De nombreuses organisations ont mis en place des programmes de gestion des vulnérabilités matures dans lesquels il est courant d'appliquer des correctifs aux systèmes de production au moins une fois par mois. Le gros problème, cependant, est que des vulnérabilités critiques sont publiées toutes les 9 à 12 heures, selon une étude de F5 Labs , qui note également que près de trois vulnérabilités critiques sont publiées chaque jour. La préoccupation concernant l'exploitation de codes vulnérables est même abordée dans le Top 10 de l'OWASP, la ressource de sensibilisation standard pour les professionnels DevOps et SecOps ; les « composants vulnérables et obsolètes » ont été signalés dans la dernière liste Top 10 de l'OWASP (2021) et ont même progressé dans le classement de gravité par rapport à la liste précédente (2017).

Souvent, les campagnes de menaces ciblées exploitent les vulnérabilités connues et utilisées pour lancer des exploits et des campagnes de menaces coordonnées. Ces campagnes de menaces sont sophistiquées et peuvent être incroyablement difficiles à détecter. Et dans certains de ces cas, une organisation peut « pivoter de manière excessive » pour employer des politiques de sécurité très restrictives dans le but de bloquer les attaques et les campagnes de menaces, courant le risque que même les utilisateurs légitimes puissent se voir refuser l'accès aux ressources dont ils ont besoin pour effectuer leur travail quotidien. Cela peut être un problème très urgent, en particulier pour les équipes de sécurité plus petites ou en sous-effectif.

Il existe cependant des options. Une excellente approche qui peut atténuer les exploits coordonnés des applications et des API via du code vulnérable consiste à déployer un pare-feu application Web (WAF). Même si votre organisation tarde à corriger une vulnérabilité connue, un WAF peut protéger vos applications les plus critiques et vos API vitales contre les attaques et les exploits des campagnes de menaces coordonnées. Mais, bien sûr, les malfaiteurs et les criminels qui lancent des campagnes de menaces sont particulièrement rusés et sournois, avec des moyens de masquer une campagne de menaces afin qu'elle reste cachée même au WAF le mieux réglé. Alors, comment un WAF peut-il gérer au mieux les attaques ciblées de ces menaces avancées sans bloquer leurs véritables utilisateurs ni impacter négativement leur expérience de travail ?

F5 propose des services intelligents de lutte contre les menaces de sécurité, notamment les campagnes de menaces F5. F5 Threat Campaigns est un module complémentaire d'abonnement à F5 BIG-IP Advanced WAF et est inclus avec F5 Distributed Cloud WAF et NGINX App Protect WAF. F5 Threat Campaigns utilise des analyses de sécurité avec un apprentissage automatique avancé et des pots de miel pour fournir aux organisations une protection contre les menaces et les exploits courants. F5 Threat Campaigns fournit des informations sur la nature et le but d’une campagne de menace active. Les organisations ont aujourd’hui besoin de renseignements sur les menaces en direct et exploitables qui peuvent améliorer l’efficacité des contrôles de sécurité existants, y compris les WAF, avec des contrôles qui détectent et bloquent automatiquement les campagnes de menaces actives. Et c’est exactement ce que font les campagnes de menaces F5. 

Avec les campagnes de menaces F5 et une solution F5 WAF, votre équipe SecOps peut définir des politiques de sécurité contrôlées de manière granulaire qui protègent votre organisation, vos applications et vos API. Le service aide à protéger les applications et l’infrastructure informatique contre les campagnes de menace sophistiquée en détectant et en bloquant les attaques de manière préventive. Grâce à l’apprentissage automatique, F5 Threat Campaigns est capable de prendre des flux de menaces qui peuvent initialement sembler disparates et de les corréler, en trouvant des points communs entre les différentes attaques et exploits, jusqu’à ce qu’une image d’un réseau de campagnes de menaces coordonnées devienne claire et apparente. Cela aide une équipe de sécurité à cibler et à atténuer les attaques et les exploits qui exploitent les vulnérabilités existantes. 

La dernière fonctionnalité de l'arsenal des campagnes de menaces F5, la carte du monde des campagnes de menaces F5 (figure 2, ci-dessous), a été publiée il y a quelques jours à peine. Il est accessible au public sur F5.com pour que tout le monde puisse le voir et l'utiliser, contribuant ainsi à offrir une meilleure visibilité sur les campagnes de cyberattaques grâce à des informations et à une télémétrie présentées ensemble. Cette carte peut être visualisée à l'échelle, ce qui permet aux spectateurs de se plonger dans les campagnes de menaces en cours avec des détails précis.

En plus de la nouvelle carte des campagnes de menaces F5, les campagnes de menaces F5 incluent :

• Mises à jour en direct avec des informations exploitables sur les menaces de F5
• Amélioration de la sécurité des application Web avec un taux de faux positifs proche de zéro
• Atténuation des risques en toute confiance grâce à un modèle rentable
• Fini la chasse aux menaces
• Visibilité sur des flux de menaces précis et pertinents

Dans la perspective de traiter et d'atténuer l'exploit Log4j, F5 a publié plusieurs protections, règles et mises à jour de politiques, et a également communiqué activement et souvent avec les clients et le public. F5 a également publié des campagnes de menaces F5 pour traiter les exploits Log4j actifs au cours de la même semaine. Les clients de F5 Threat Campaigns ont également pu détecter les attaques exploitant la vulnérabilité Spring4Shell dans leur flux de menaces, bloquant et atténuant la menace (Figure 3, ci-dessous).

Avec l'accès à la nouvelle carte des campagnes de menaces F5, équipée de flux en direct sur les campagnes, les attaques et les exploits coordonnés exploitant les vulnérabilités, comme Log4j et Spring4Shell, vous pouvez également permettre à votre WAF d'atténuer et de traiter les attaques ciblées avec les services de renseignement F5 (y compris les campagnes de menaces F5).

Veuillez contacter votre partenaire de distribution ou votre responsable de compte F5 pour plus d'informations sur la manière d'ajouter un abonnement pour les campagnes de menaces F5 à votre Advanced WAF BIG-IP, ou pour commencer à utiliser les campagnes de menaces F5 sur votre solution WAF F5 Distributed Cloud ou NGINX App Protect WAF dès aujourd'hui.