Qu'est-ce qu'une signature ?
En général, une signature fait référence à une « signature écrite ou numérique ». Dans le contexte de la programmation, une signature fait référence aux informations utilisées pour identifier une méthode, telles que son nom, ses types de paramètres, son numéro, son ordre et son type de retour (les définitions peuvent varier selon le langage de programmation). Cependant, dans le contexte de la sécurité informatique, une signature fait référence aux modèles distinctifs d’activités malveillantes, telles que les logiciels malveillants ou les accès non autorisé. Les fichiers qui regroupent ces modèles sont appelés fichiers de signature, et la fonctionnalité qui utilise les signatures pour détecter et bloquer les attaques est appelée fonction de signature.
L’utilisation de signatures pour se défendre contre les attaques suit généralement une approche de liste noire, où une liste de menaces connues est conservée pour bloquer les activités dangereuses. Cela offre l’avantage de pouvoir répondre de manière fiable et rapide aux attaques connues. Cependant, cette approche présente la limite de ne pas pouvoir répondre aux attaques inconnues ou aux nouvelles menaces non encore incluses dans la liste noire.
Pour remédier à cette limitation, il est recommandé de combiner l’approche de liste noire avec une approche de liste blanche. Avec la liste blanche, seules les activités explicitement autorisées sont autorisées. En autorisant l’activité sur la liste blanche, en bloquant les modèles sur la liste noire et en traitant tout le reste comme une zone grise nécessitant une vérification, une stratégie de défense plus complète peut être obtenue.
BIG-IP de F5 exploite à la fois les signatures de type liste noire pour les modèles d'attaque et les listes blanches pour le trafic légitime, permettant ainsi la détection et la prévention efficaces des attaques.