BLOG

Qu’est-ce qui rend un WAF avancé ?

Brian A. McHenry Miniature
Brian A. McHenry
Publié le 10 avril 2018

À mesure que le paysage des menaces évolue, nos contrôles de sécurité et nos contre-mesures doivent également évoluer. Les menaces de périmètre les plus avancées en matière de perte ou d’exfiltration de données se produisent au niveau de la couche applicative, rendant la plupart des pare-feu de nouvelle génération (NGFW) et des systèmes de prévention des intrusions (IPS) beaucoup moins efficaces. Cet effet est aggravé par le fait que la plupart des communications se déplacent vers des canaux de données cryptés qui ne sont pas bien pris en charge par NGFW ou IPS, en particulier à grande échelle. Les pare-feu d'applications Web (WAF) sont spécifiquement conçus pour analyser chaque requête HTTP au niveau de la couche application, avec un décryptage complet pour SSL/TLS.

Ces dernières années, la plupart des technologies WAF sont restées en grande partie inchangées, en tant que systèmes de détection basés sur des filtres passifs, à l'image des technologies NGFW et IPS associées. Les systèmes WAF appliquent la conformité du protocole (garantissant une demande bien formée) et les comparaisons de signatures (garantissant l'absence de contenu malveillant connu) pour filtrer et bloquer les attaques potentielles. Des fonctionnalités supplémentaires ont été ajoutées pour permettre la connaissance des sessions et des utilisateurs afin de lutter contre les détournements et les attaques par force brute, et les flux de réputation IP sont appliqués pour tenter de filtrer les sources connues pour être mauvaises telles que les botnets, les anonymiseurs et d'autres menaces. Il s’agit encore de technologies largement passives au niveau du périmètre du centre de données, avec une capacité très limitée d’interrogation du client.

 Nous savons quelques éléments sur le paysage actuel des menaces :

  • La plupart des menaces sont de nature automatisée. Les attaquants automatisent les analyses de vulnérabilités. Ils automatisent la thésaurisation des ressources telles que l’achat de billets ou de baskets pour la revente sur le marché gris. Les attaques par déni de service distribué (DDoS) sont entièrement automatisées pour permettre le type de volume de trafic d'attaque de 1 Tbit/s+ qui est devenu courant. L’automatisation est difficile à détecter car elle est souvent conçue pour imiter le bon trafic et passer inaperçue. Des technologies comme CAPTCHA ont été utilisées pour détecter une telle automatisation, mais ces méthodes de vérification s’avèrent inefficaces au fil du temps et impactent l’expérience des utilisateurs légitimes.
     
  • Le « credential stuffing » est un type spécifique d’attaque automatisée qui exploite les milliards de combinaisons de noms d’utilisateur et de mots de passe connues provenant de violations antérieures. Selon les derniers rapports sur les menaces, l’utilisation d’identifiants volés est le type d’attaque d’application le plus répandu en 2017. Ces attaques s’attaquent à la réutilisation de mots de passe courante chez le citoyen moyen d’Internet. Le bourrage d’informations d’identification est particulièrement difficile à détecter, car ces requêtes non seulement semblent normales, mais elles sont souvent conçues de manière « lente et faible » pour éviter d’être détectées comme une attaque par force brute.
     
  • Les logiciels malveillants sont omniprésents et sont utilisés pour exploiter les faiblesses des navigateurs et des utilisateurs qui les utilisent. Les logiciels malveillants ont de nombreuses méthodes de diffusion, des pièces jointes aux liens malveillants sur les réseaux sociaux et dans les publicités. Ces machines compromises sont utilisées pour attaquer d'autres sites Web à des fins de DDoS, de vol de données et de thésaurisation de ressources. Des méthodes de détection et d’atténuation limitées sont disponibles, sauf si la machine cliente est gérée par une équipe de sécurité informatique expérimentée.
     
  • Les attaques DDoS ne sont pas seulement de nature volumétrique. De nombreuses attaques sont conçues pour provoquer un épuisement des ressources quelque part dans la pile d’applications, les serveurs d’applications, le middleware ou la base de données principale. La détection de ces conditions peut être difficile puisque le trafic est conforme à la plupart des contrôles de validation d’entrée standard.


En termes simples, ces attaques contournent pratiquement tous les mécanismes de détection WAF traditionnels, car elles ne semblent souvent présenter aucune anomalie. Les flux de réputation d'adresses IP sont d'une efficacité limitée en raison de l'offre presque inépuisable de cibles facilement compromises, notamment les modems câblés, les appareils IoT, les instances de serveurs cloud publics, etc. Les informations sur l'adresse source changent trop rapidement pour que même un flux provenant de la foule puisse être très efficace pour lutter contre le niveau d'automatisation typique de ces vecteurs d'attaque. Un pare-feu d’application Web plus avancé est clairement nécessaire pour lutter contre ces menaces.

La bonne nouvelle est que la technologie WAF avancée est déjà disponible et ce depuis un certain temps. F5 a été le pionnier d'une technologie de détection sans CAPTCHA des robots tentant de récupérer les données de prix des détaillants en ligne il y a près de dix ans, lorsque la protection Web Scraping a été introduite en 2009. F5 a progressivement fait progresser cette technologie et l'a étendue à ce qui est maintenant connu sous le nom de Proactive Bot Defense, introduit en 2015. Proactive Bot Defense (PBD) permet d'interroger le client demandeur pour vérifier qu'un utilisateur humain avec un navigateur légitime est présent. Il s’agit d’une solution bien plus efficace que de s’appuyer sur le blocage des botnets connus par adresse IP.

Avec la nouvelle offre F5 Advanced WAF, F5 étend sa technologie WAF leader du marché pour inclure les fonctionnalités nécessaires pour lutter contre les menaces en constante évolution observées dans le paysage de la sécurité des applications. WAF avancé comprend :

  • Défense proactive contre les robots. En utilisant des techniques de pointe d'empreintes digitales et de défi/réponse en conjonction avec d'autres analyses comportementales, PBD permet la détection et le blocage au niveau de la session des menaces automatisées.
     
  • Détection et défense DoS comportementales de couche 7 . Le WAF avancé est capable de profiler dynamiquement le trafic et de créer des signatures de modèles de trafic anormaux, arrêtant ainsi les attaques DoS de couche 7 avant qu'elles n'impactent votre application.
     
  • Protection des informations d'identification DataSafe . DataSafe crypte dynamiquement le contenu des pages pour empêcher les attaques de type « man-in-the-browser » généralement causées par des logiciels malveillants. DataSafe crypte également de manière dynamique les informations d'identification au fur et à mesure de leur saisie pour protéger l'utilisateur au niveau du navigateur.
     
  • Intégration du SDK mobile Anti-Bot . Les techniques utilisées par Proactive Bot Defense permettent d'identifier les navigateurs légitimes. Pour les applications mobiles, un navigateur n'est pas présent. Le SDK mobile Anti-Bot permet aux organisations de lutter contre les robots avec des techniques avancées, même sur les points de terminaison d'API mobiles.


Le F5 Advanced WAF est une plate-forme de sécurité dédiée pour offrir les capacités de sécurité des applications les plus avancées disponibles sur le marché aujourd'hui. F5 s'engage à fournir des solutions de sécurité des applications de pointe pour atténuer même les attaques les plus sophistiquées. Attendez-vous à d’autres avancées sur la plateforme Advanced WAF à l’avenir.