DataSunrise sponsorise AWS re:Invent 2024 à Las Vegas, veuillez nous rendre visite au stand n°2158 de DataSunrise

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

WAF. Un chevalier en armure brillante

WAF. Un chevalier en armure brillante

Aujourd’hui, nous continuons la série de blogs consacrée aux différents types de pare-feu. Dans le premier article, nous avons décrit les catégories de base des pare-feu, donné un aperçu des modes de pare-feu et énoncé les avantages et les inconvénients potentiels des types mentionnés. Dans cet article, nous parlerons en détail du pare-feu d’application Web – WAF.

Résumé

Chaque année, de plus en plus d’organisations déplacent leurs opérations vers des sites web et des applications web et conservent leurs informations dans le cloud, exposant inévitablement des données sensibles à des cyberattaques sophistiquées. Pour protéger les applications et rester conformes aux exigences réglementaires, de nombreuses entreprises mettent en place des pare-feux d’application Web.

Les WAFs répondent aux menaces attaquant les applications web personnalisées de l’entreprise et les données. Ils incluent des techniques de protection conçues spécifiquement pour la sécurité web. Traditionnellement, le WAF est l’outil le plus efficace pour protéger les applications internes et publiques de l’organisation. Les applications web peuvent être déployées localement (sur site) ou à distance (hébergées, dans le cloud ou en tant que service). Les WAFs visent à bloquer les tentatives de piratage, surveiller l’accès aux applications web et collecter des journaux pour la conformité, l’audit et l’analyse.

 

Qu’est-ce qu’un WAF ?

Le WAF est différent du pare-feu réseau traditionnel, du NGFW (Next Generation Firewall) et du système de prévention des intrusions (IPS). Il fournit une protection à un niveau de granularité plus élevé. Il protège les serveurs web et les applications web spécifiques de l’entreprise contre les attaques à la couche application et les attaques non volumétriques à la couche réseau. Il identifie et corrige également les vulnérabilités “auto-infligées” dans les applications développées sur mesure. La personnalisation des règles pour une application donnée permet d’identifier et de bloquer de nombreuses attaques. Les WAFs sont capables de prévenir les XSS (Cross-site Scripting), les injections SQL, le détournement de session, les débordements de tampon, les inclusions de fichiers distants (RFI) et les empoisonnements de cookies.

Ils peuvent également inclure des techniques de protection contre les attaques DDoS (Distributed Denial of Service). De plus, certains WAFs protègent contre la traversée de répertoire, la navigation forcée d’URL, etc.

Vecteurs de Menaces

Les applications web sont vulnérables à de nombreuses menaces, qui ne sont pas toujours reconnues par les pare-feu réseau classiques, les NGFWs et les IPSs. Les attaques les plus courantes sont les suivantes :

Injection

Les attaques par injection SQL sont utilisées par des utilisateurs malveillants pour obtenir l’accès à des données restreintes ou pour intégrer du code malveillant sur un serveur web. Cette technique déclenche l’exécution des commandes injectées par la base de données backend et permet aux utilisateurs non autorisés d’accéder à des informations sensibles contenues dans la base de données. En cas d’intégration de code malveillant, le serveur web infecté diffusera des logiciels malveillants aux clients sans méfiance.

Cross-site Scripting (XSS)

Les attaques Cross-site Scripting permettent à un malfaiteur d’obtenir des informations sensibles ou de compromettre un serveur web. L’attaquant insère des scripts Java dans les pages d’un site de confiance et en modifie le contenu. Ensuite, le site web vulnérable est utilisé comme un véhicule pour livrer un script malveillant dans le navigateur de la victime. L’attaquant exploite la confiance qu’un utilisateur a pour un site web.

Détournement de requête intersites (CSRF)

Les attaques de détournement de requête intersites forcent les utilisateurs finaux à apporter des modifications d’informations qu’ils n’avaient pas l’intention de faire. Cela peut être la mise à jour de données personnelles, la publication de contenu ou l’initiation de transactions falsifiées. Un attaquant provoque un utilisateur à transmettre une requête HTTP malveillante, incluant le cookie de session de la victime, à une application ou un site web cible. Le site web vulnérable le fait confiance sans le consentement de l’utilisateur. Dans ce cas, l’attaquant exploite la confiance qu’un site web accorde au navigateur de l’utilisateur.

Exposition de Données Sensibles

Lorsque une application web ne protège pas correctement les données sensibles en transit et au repos, les attaquants peuvent voler ou manipuler les données pour commettre un vol d’identité, une fraude à la carte de crédit ou d’autres crimes. Ce type de vulnérabilité est lié au manque de chiffrement des données sensibles, telles que les numéros de carte de crédit, les informations d’authentification, les numéros de sécurité sociale (SSN), les identifiants fiscaux, etc.

Traversée de Répertoire

Les attaques de traversée de répertoire permettent d’accéder à des fichiers et répertoires restreints et d’exécuter des commandes en dehors du répertoire racine du serveur web. Un attaquant manipule une URL de telle manière que le site web révèle les fichiers confinés sur le serveur web.

Déploiement de WAF

Le WAF peut être exécuté sous forme d’appliance physique, virtuelle ou logicielle, de plug-in serveur ou de service basé sur le cloud. Actuellement, les services cloud sont principalement adaptés aux petites et moyennes entreprises (PME), tandis que les grandes entreprises sont plus susceptibles d’investir dans des appliances physiques ou virtuelles spécifiquement conçues.

Le WAF peut être déployé devant un serveur web ou intégré directement sur un serveur web. Le plus souvent, un WAF est déployé en ligne, en tant que proxy inverse, mais il peut également être déployé en mode bridge, en mode miroir (positionné hors bande) ou agir comme proxy transparent. Dans le cas d’un déploiement en mode miroir, un WAF fonctionne sur une copie du trafic réseau.

Chaque déploiement de WAF est différent en fonction de l’utilisation. Cela dépend de l’objectif principal de la mise en œuvre de la technologie – qu’il soit utilisé pour le patching virtuel, l’enregistrement des audits HTTP, le suivi des données sensibles ou l’identification des vulnérabilités des applications. Pour certains WAFs, le mode de déploiement hybride est disponible offrant un déploiement en ligne combiné avec le déploiement de capteurs hors ligne pour collecter les données d’audit et ensuite communiquer avec l’application d’agent installée sur un serveur web spécifique. De nombreux produits WAF prennent en charge non seulement un déploiement de serveur web unique mais aussi multiple.

Comment fonctionne un WAF ?

Opérant au niveau de l’application, le WAF fonctionne comme une barrière flexible entre les utilisateurs finaux et les applications. Il surveille et filtre le trafic HTTP entrant et sortant et bloque les activités qui contredisent les règles de sécurité configurées. Un WAF intercepte et analyse chaque paquet de données HTML, HTTPS, SOAP et XML-RPC. L’inspection du trafic de données à la recherche de motifs inhabituels permet de détecter et de bloquer de nouvelles attaques inconnues. De cette manière, le WAF offre des capacités au-delà de celles offertes par le NGFW et l’IPS, qui ne couvrent que les vulnérabilités connues.

Intégration avec d’autres technologies de sécurité

Le WAF s’intègre avec d’autres technologies de sécurité de l’information, telles que les scanners de vulnérabilité d’application, les appareils de protection DDoS, les solutions de sécurité de base de données, la détection de fraude web, le SIEM (Information and Event Management). La consolidation des WAFs avec d’autres technologies de sécurité permet de maximiser le taux de détection et de blocage des menaces connues et évolutives. Une personnalisation fine minimise les faux positifs et garantit une détection précise des anomalies. Cela aide finalement à atténuer les risques et à réduire considérablement la surface d’attaque de l’entreprise.

Limites du WAF

Avec tous les avantages que le WAF peut offrir, viennent des difficultés dans le déploiement et la gestion continue du logiciel. Pour fournir le niveau attendu de sécurité des applications et des données, le WAF doit être déployé et géré efficacement. Cela implique une maintenance appropriée des politiques de pare-feu et la personnalisation des règles de sécurité, ce qui à son tour demande un niveau avancé des compétences des administrateurs de WAF.

Il y a des problèmes qui attirent l’attention dans le processus de déploiement et de mise en œuvre de WAF :

Politiques inefficaces. Les politiques de pare-feu et les capacités doivent évidemment suivre le rythme des nouvelles menaces émergentes, ce qui n’est pas toujours le cas. Un autre problème est le manque d’informations et de documentation sur les politiques efficaces, de sorte que les utilisateurs doivent fournir des efforts et du temps supplémentaires pour comprendre ce qui fonctionne et comment améliorer.

Personnalisation des règles de sécurité. Il faut du temps pour déterminer toutes les règles nécessaires pour bloquer ou permettre le passage du trafic au travers des applications. Les règles doivent également être constamment mises à jour à mesure que le code change et que de nouvelles fonctionnalités apparaissent. Bloquer des requêtes légitimes crée des faux positifs, conduisant à une attaque malveillante ignorée dans cette masse d’alertes non pertinentes.

Lacunes de compétences. Les clients ont souvent du mal à maintenir les dispositifs existants en fonctionnement, car toutes les organisations n’ont pas les compétences internes pour utiliser un WAF correctement et efficacement. Externaliser la gestion du WAF n’est pas toujours la meilleure décision non plus. Lors du choix d’un déploiement WAF, en particulier pour les besoins de conformité, les administrateurs doivent prioriser les fonctionnalités critiques les mieux adaptées aux besoins actuels de l’organisation. Après le processus de déploiement et de configuration, le WAF nécessite une grande compétence technique de l’équipe pour fonctionner efficacement et ajouter une valeur durable au système de sécurité de l’entreprise.

Mouvement des opérations vers le cloud. Comme de plus en plus d’entreprises déplacent leurs applications et données dans l’infrastructure de cloud public, elles doivent inévitablement migrer le pare-feu d’application Web et les politiques associées vers cette nouvelle architecture fondamentalement différente. Le problème réside dans le fait que tous les fournisseurs ne fournissent pas un substitut durable pour l’appliance sur site, ou ils peuvent ne pas être en mesure d’offrir les API dont une organisation a besoin pour réaliser un scénario de déploiement dans un environnement cloud dynamique.

Conclusion

Les pare-feu d’application web sont un outil de sécurité couramment utilisé par les entreprises pour protéger les applications web contre les exploits malveillants, l’usurpation, les vulnérabilités connues et les nouvelles menaces évolutives, ainsi que pour identifier les vulnérabilités auto-infligées des applications développées sur mesure. Ils aident également à répondre aux exigences de conformité. Et bien que cette technologie soit définitivement indispensable pour les entreprises visant à sécuriser leurs ressources web, elle n’est pas suffisante en ce qui concerne la sécurité des bases de données.

Dans nos prochains articles, nous discuterons du Pare-feu d’accès à la base de données (DAF) et pourquoi le seul pare-feu d’application web ne peut pas totalement sécuriser les bases de données.

Lisez toute la série sur les pare-feu :

  1. Cinquante nuances de pare-feu
  2. WAF. Un chevalier en armure brillante
  3. DAF. Sauvez la base de données du dragon
  4. WAF + DAF = Ils vécurent heureux pour toujours
 

Suivant

Comment les Bases de Données Populaires Gèrent les Commandes DDL dans les Transactions

Comment les Bases de Données Populaires Gèrent les Commandes DDL dans les Transactions

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Ventes :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]