BLOG

Qu’est-ce qui rend un WAF avancé ?

Brian A. McHenry Miniature
Brian A. McHenry
Publié le 10 avril 2018

À mesure que le paysage des menaces évolue, nos contrôles de sécurité et nos contre-mesures doivent également évoluer. Les menaces de périmètre les plus avancées en matière de perte ou d’exfiltration de données se produisent au niveau de la couche applicative, rendant la plupart des pare-feu de nouvelle génération (NGFW) et des systèmes de prévention des intrusions (IPS) beaucoup moins efficaces. Cet effet est aggravé par le fait que la plupart des communications se déplacent vers des canaux de données cryptés qui ne sont pas bien pris en charge par NGFW ou IPS, en particulier à grande échelle. Les pare-feu d'applications Web (WAF) sont spécifiquement conçus pour analyser chaque requête HTTP au niveau de la couche application, avec un décryptage complet pour SSL/TLS.

Ces dernières années, les technologies WAF sont restées en grande partie inchangées, fonctionnant comme des systèmes passifs de détection par filtre, à l’image des technologies NGFW et IPS apparentées. Les WAF appliquent la conformité aux protocoles (pour garantir une requête bien formée) et la comparaison des signatures (pour détecter l’absence de contenu malveillant connu) afin de filtrer et bloquer les attaques potentielles. Nous avons ajouté des fonctionnalités pour assurer la visibilité sur les sessions et les utilisateurs afin de contrer le détournement de session et les attaques par force brute, ainsi que des flux de réputation IP pour filtrer les sources malveillantes identifiées, comme les botnets, anonymiseurs et autres menaces. Ces technologies restent majoritairement passives au périmètre du centre de données, avec une capacité d’interrogation du client très limitée.

 Nous savons quelques éléments sur le paysage actuel des menaces :

  • La plupart des menaces sont de nature automatisée. Vous constatez que les attaquants automatisent les analyses de vulnérabilités. Ils automatisent aussi l’accumulation de ressources, comme l’achat de billets ou de baskets destinés à la revente sur le marché parallèle. Les attaques par déni de service distribué (DDoS) fonctionnent entièrement en mode automatique, générant un trafic d’attaque supérieur à 1 Tbit/s, devenu la norme. L’automatisation reste difficile à détecter, car elle imite le trafic légitime pour passer inaperçue. Des technologies comme CAPTCHA ont servi à repousser ce type d’automatisation, mais ces méthodes perdent leur efficacité avec le temps et détériorent l’expérience des utilisateurs authentiques.
     
  • Le « credential stuffing » est un type spécifique d’attaque automatisée qui exploite les milliards de combinaisons de noms d’utilisateur et de mots de passe connues provenant de violations antérieures. Selon les derniers rapports sur les menaces, l’utilisation d’identifiants volés est le type d’attaque d’application le plus répandu en 2017. Ces attaques s’attaquent à la réutilisation de mots de passe courante chez le citoyen moyen d’Internet. Le bourrage d’informations d’identification est particulièrement difficile à détecter, car ces requêtes non seulement semblent normales, mais elles sont souvent conçues de manière « lente et faible » pour éviter d’être détectées comme une attaque par force brute.
     
  • Les logiciels malveillants sont partout et tirent parti des failles des navigateurs ainsi que des utilisateurs qui les exploitent. Ils se propagent de multiples façons, des pièces jointes d’email aux liens malveillants sur les réseaux sociaux et les publicités. Les machines compromises servent ensuite à lancer des attaques DDoS, voler des données et monopoliser des ressources sur d’autres sites web. Vous disposez de peu de moyens pour détecter ou atténuer ces menaces, sauf si une équipe informatique spécialisée gère votre machine cliente.
     
  • Les attaques par déni de service distribué ne se limitent pas à un simple afflux volumétrique. Beaucoup cherchent à épuiser les ressources à un certain niveau de la pile applicative, que ce soit sur les serveurs d’application, le middleware ou la base de données en arrière-plan. Il est difficile de les détecter car le trafic respecte la plupart des vérifications standard de validation d’entrée.


En résumé, ces attaques contournent presque tous les mécanismes traditionnels de détection WAF puisqu'elles ne présentent généralement aucun signe de malformation. Les flux de réputation des adresses IP sont peu efficaces face à l’abondance presque illimitée de cibles facilement compromises, telles que les modems câble, les dispositifs IoT, les instances de serveurs de cloud public, et bien d’autres. Les informations sur l’adresse source évoluent trop vite pour qu’un flux communautaire reste réellement pertinent face au degré d’automatisation des vecteurs d’attaque actuels. Un pare-feu applicatif web plus sophistiqué s’impose pour contrer efficacement ces menaces.

La bonne nouvelle est que la technologie WAF avancée est déjà disponible et ce depuis un certain temps. F5 a été le pionnier d'une technologie de détection sans CAPTCHA des robots tentant de récupérer les données de prix des détaillants en ligne il y a près de dix ans, lorsque la protection Web Scraping a été introduite en 2009. F5 a progressivement fait progresser cette technologie et l'a étendue à ce qui est maintenant connu sous le nom de Proactive Bot Defense, introduit en 2015. Proactive Bot Defense (PBD) permet d'interroger le client demandeur pour vérifier qu'un utilisateur humain avec un navigateur légitime est présent. Il s’agit d’une solution bien plus efficace que de s’appuyer sur le blocage des botnets connus par adresse IP.

Avec la nouvelle offre F5 Advanced WAF, F5 étend sa technologie WAF leader du marché pour inclure les fonctionnalités nécessaires pour lutter contre les menaces en constante évolution observées dans le paysage de la sécurité des applications. WAF avancé comprend :

  • Défense proactive contre les robots. En utilisant des techniques de pointe d'empreintes digitales et de défi/réponse en conjonction avec d'autres analyses comportementales, PBD permet la détection et le blocage au niveau de la session des menaces automatisées.
     
  • Détection et défense DoS comportementales de couche 7 . Le WAF avancé est capable de profiler dynamiquement le trafic et de créer des signatures de modèles de trafic anormaux, arrêtant ainsi les attaques DoS de couche 7 avant qu'elles n'impactent votre application.
     
  • Protection des informations d'identification DataSafe . DataSafe crypte dynamiquement le contenu des pages pour empêcher les attaques de type « man-in-the-browser » généralement causées par des logiciels malveillants. DataSafe crypte également de manière dynamique les informations d'identification au fur et à mesure de leur saisie pour protéger l'utilisateur au niveau du navigateur.
     
  • Intégration du SDK mobile Anti-Bot . Les techniques utilisées par Proactive Bot Defense permettent d'identifier les navigateurs légitimes. Pour les applications mobiles, un navigateur n'est pas présent. Le SDK mobile Anti-Bot permet aux organisations de lutter contre les robots avec des techniques avancées, même sur les points de terminaison d'API mobiles.


Le F5 Advanced WAF est une plate-forme de sécurité dédiée pour offrir les capacités de sécurité des applications les plus avancées disponibles sur le marché aujourd'hui. F5 s'engage à fournir des solutions de sécurité des applications de pointe pour atténuer même les attaques les plus sophistiquées. Attendez-vous à d’autres avancées sur la plateforme Advanced WAF à l’avenir.