Pare-feu d'application Web: gardez une longueur d'avance

Dans l'un des articles précédents, nous avons parlé de repousser les attaques DDoS en utilisant l'analyse du trafic à l'aide du protocole Netflow. Bien entendu, DDoS est loin d'être le seul problème auquel une ressource peut être confrontée. L'imagination des intrus est très, très grande, et ils ont suffisamment de moyens techniques. De plus, n'oubliez pas que certaines de vos ressources peuvent bien fonctionner sur des logiciels présentant des vulnérabilités zero-day.



Il s'avère donc qu'une application Web peut être attaquée à partir de plusieurs fronts à la fois - ici, vous avez le script intersite, l'injection SQL, le contournement d'autorisation et l'exécution de code à distance, en général, vous savez. Dans l'éternelle bataille du bouclier et de l'épée contre ce type, un écran de protection pour les applications Web a été inventé, capturant ces activités et les bloquant avant même qu'elles ne soient exécutées sur votre site.



Dans cet article, nous vous expliquerons comment fonctionne WAF de Beeline Business , quels sont ses avantages et comment le connecter rapidement pour votre entreprise.



Pourquoi WAF est nécessaire



L'année dernière, Positive Technologies a publié son étude sur les vulnérabilités des applications Web 2019, selon laquelle la part des applications Web contenant des vulnérabilités à haut risque était déjà de 67%. Les problèmes les plus courants sont la zone d'autorisation insuffisamment protégée, l'injection SQL et la lecture de données arbitraires. De plus, le pourcentage de systèmes dans lesquels des fuites de données sont possibles augmente.



L'importance de la protection des applications Web est également soulignée par l'un des rapports des analystes de Gartner:



  • (WAF) (NGFW) (IPS). WAF .
  • NGFW IPS WAF , , -.
  • WAF , . .
  • , -, .






Les principales différences entre WAF, IPS et NGFW (Gartner)



Les conséquences de telles fuites et hacks sont assez évidentes et peu agréables pour les entreprises (et leurs clients en particulier): ici vous avez des données personnelles, notamment des informations de paiement, et des secrets commerciaux avec des documents confidentiels, et l'accès à systèmes internes. En général, le jackpot, en cas de panne dont l'entreprise souffre tant sur le plan de la réputation que sur le plan financier. Comme prévu, ce sont les institutions financières qui en souffrent le plus, mais pas seulement:





Selon Positive Technologies



Pour se protéger contre cela, les entreprises disposent de spécialistes de la sécurité de l'information qui déterminent l'autorisation d'utiliser un logiciel particulier, ainsi que les politiques de sécurité générales. Dans le même temps, les tendances générales - une augmentation du nombre d'applications elles-mêmes, l'utilisation active de diverses API, le travail dans un environnement mixte (applications internes, privé et cloud) suggèrent activement que de nombreux processus devraient être automatisés.



Surtout dans le domaine de la sécurité de l'information.



Les principaux problèmes pour les entreprises qui tentent de déployer de telles solutions par elles-mêmes étaient que le temps de réponse à une menace active était assez long, tout comme le coût de possession de la solution elle-même. Je voulais, comme d'habitude, le rendre plus rapide et plus accessible. Et, idéalement, également avec une version cloud de la solution, qui peut être rapidement connectée et administrée de manière pratique.



Par conséquent, nous avons décidé de proposer des mécanismes exactement automatisés pour protéger, bloquer et repousser les attaques à l'aide de notre bouclier protecteur.



Tout d'abord, nous avons pris la liste de l'OWASP des 10 principales menaces pesant sur les applications Web en 2020 et mis en œuvre une protection contre celles-ci sur les deux modèles (positifs et négatifs).



  1. Injection.
  2. Authentification cassée.
  3. Exposition de données sensibles.
  4. Entités externes XML (XXE).
  5. Contrôle d'accès cassé.
  6. Mauvaise configuration de la sécurité.
  7. Cross-Site Scripting XSS.
  8. Insecure Deserialization.
  9. Using Components with Known Vulnerabilities.
  10. Insufficient Logging & Monitoring.


En plus de cela, notre WAF protège contre la force brute, l'extraction de données, les attaques API, l'exploration indésirable, les botnets et les inondations dynamiques slowloris et HTTP.



Bien sûr, il y a aussi un reflet des attaques zero-day, y compris HTTPS, ainsi que du blocage du trafic par géographie.



De plus, notre WAF prend en charge un algorithme unique de création de politiques automatique basé sur l'apprentissage automatique, parfait pour générer automatiquement des politiques de sécurité pour une application Web.



Le WAF configuré connaîtra bien la structure de votre ressource, il pourra donc bloquer automatiquement toutes les actions qui ne sont pas typiques de son travail.



En passant, il existe quelques mythes sur la redondance de l'essence même du WAF et de sa nécessité. Ce qui suit est généralement cité à titre d'exemple:



La passerelle de sécurité et la surveillance de session me protégeront.

Les applications Web devraient être accessibles à tous, il ne reste donc plus qu'à autoriser tout le trafic entrant sur les ports 80 (HTTP) et 443 (HTTPS) et espérer que tout le monde jouera selon les règles. La surveillance de session pour la présence, l'identification et le blocage du code exécutable ne remplace pas l'analyse du trafic des applications Web. Exploiter une vulnérabilité via une requête Web légitime n'est donc pas difficile avec une passerelle de sécurité tout-en-un.



Ensuite, il protégera définitivement le scanner de sécurité des applications Web du réseau

Pas vraiment. Les scanners de sécurité réseau sont conçus pour détecter les configurations non sécurisées, les mises à jour manquantes et les vulnérabilités des serveurs et des périphériques réseau, et non les vulnérabilités des applications Web. L'architecture des solutions, le grand nombre de règles et de fonctionnalités à vérifier lors de la numérisation d'un réseau, permettent encore parfois aux fabricants de scanners de réseau de proposer des fonctionnalités supplémentaires pour rechercher des vulnérabilités dans les applications Web sous licence distincte ou même gratuitement.



Mais la convivialité et la qualité de leur travail sont loin d'être égales au niveau moyen des scanners d'applications Web professionnels, et la confiance dans ces produits ne peut être rétablie après avoir trouvé des vulnérabilités critiques là où le scanner universel a fonctionné à 100%.



Comment ça fonctionne



Nous avons construit la solution sur les équipements de la société israélienne Radware, qui est depuis longtemps un leader des services de sécurité de l'information. L'un des avantages importants de la solution est son fonctionnement automatique: l'analyse des menaces et l'optimisation des règles standardisées pour les applications Web sont effectuées sans la participation d'un administrateur.



Il existe trois méthodes de connexion, qui sont déterminées par l'endroit où vous décidez d'effectuer l'analyse du trafic:



  1. Sur nos machines virtuelles dans notre centre de données
  2. Sur nos équipements chez le client
  3. Sur la machine virtuelle du client.


Schématiquement, tout ressemble à ceci:







En plus de trois options de connexion, il existe deux options de déploiement:



  1. Inline (uniquement à partir du cloud) - surveillance ou blocage actif des demandes malveillantes.
  2. Out of pass (localement chez le client) - seule la surveillance des demandes malveillantes est prise en charge.


Grâce à l'optimisation automatique des règles standardisées, nous avons réussi à atteindre la valeur de faux positifs la plus basse possible. Il est presque proche de zéro. Bien sûr, cela arrive parfois (moins de 1%), cela est dû à des erreurs dans la description des règles de fonctionnement d'un site particulier, car WAF en tant que mécanisme ne décrit que les actions autorisées, et tout le reste est interdit.



Avantages de la solution



Dans le cadre de notre pare-feu d'applications Web, nous proposons une solution de pointe qui:



  • fournit une protection complète contre les 10 vulnérabilités les plus dangereuses selon OWASP;
  • certifié par ICSA Labs;
  • a une fonction unique pour la création automatique de politiques;
  • et soutient les modèles de sécurité négatifs et positifs.


Nous avons également un compte personnel pratique, dans lequel des rapports sur toutes les menaces détectées et les attaques bloquées sont collectés, dont l'accès est effectué à l'aide du login et du mot de passe de l'employé uniquement à partir d'une adresse IP spécifique.



En général, un seul service est considéré pour connecter WAF à un site client spécifique. Dans notre cas, si un client a, par exemple, deux sites sur le même serveur qui sont accessibles à partir de deux adresses IP différentes, nous le considérons toujours comme un service WAF, résumant simplement le trafic client total.



Plus d'informations utiles:



  • Machine virtuelle individuelle pour chaque client dans l'hébergement cloud.
  • WAF s'adapte automatiquement aux modifications du contenu du site, ce qui simplifie grandement l'administration.
  • Dans l'hébergement cloud, le certificat SSL d'accès au site n'est pas transféré à l'opérateur, mais est téléchargé par le client dans le compte personnel dans le conteneur crypto, ce qui garantit la sécurité conformément à la norme bancaire PCI DSS.
  • Assistance 24h / 24 et 7j / 7 par des spécialistes qualifiés dans le domaine de la sécurité de l'information du partenaire - EKON Technologies.
  • 3 options de mise en œuvre de la solution - cloud, VM client, équipement dédié dans la boucle client.


Vous pouvez connecter WAF de Beeline sur la page produit . Vous aurez un mois de test gratuit, si vous ne l'aimez pas, désactivez-le, si vous l'aimez, nous continuerons à travailler.



All Articles