À l’heure actuelle, les applications Web sont devenues la principale cible des attaquants en raison des opportunités potentielles de monétisation. Les failles de sécurité sur l’application Web peuvent coûter des millions. De manière frappante, les pannes liées au DNS (Domain Name System) et le déni de service distribué (DDoS) ont un impact négatif sur les entreprises. Parmi le large éventail de contre-mesures, un pare-feu d’application Web est la première ligne de défense.
La fonction de base du pare-feu d’application Web est d’établir une limite renforcée pour empêcher certains types de trafic malveillant d’acquérir des ressources. Bien que les WAF soient disponibles depuis la fin des années 90, cette technologie de première génération n’est pas à la hauteur des récentes cyber-attaques sophistiquées. Ils ne sont pas assez capables d’offrir un contrôle et une visibilité complets des applications. Avec ces risques de sécurité croissants, le pare-feu des applications Web new age est la seule solution capable de fournir une protection adéquate.
Les WAF traditionnels sont morts ou au moins mourants
Au début, les applications Web étaient moins courantes, tout comme les menaces Web. Les robots malveillants étaient moins sophistiqués et faciles à détecter. Les exigences en matière de cybersécurité étaient très minimes et pouvaient être traitées avec une gestion de base de la cybersécurité.
Aujourd’hui, tout a changé. Les applications Web peuvent vivre dans des environnements sur site, cloud ou hybrides. Les clients et les employés y accèdent via le Web de n’importe où. En tant que tel, le pare-feu ne peut pas suivre ce qui se passe, où les demandes arrivent, où elles vont, etc. car les adresses IP changent constamment et sont obscurcies par CDN.
Les WAF doivent protéger contre une grande variété de menaces complexes et difficiles. Les WAF traditionnels sont implémentés comme des appliances matérielles, qui sont difficiles à utiliser et souffrent d’un manque de visibilité et de performances médiocres. Dans une telle mesure, 90% des organisations déclarent que leurs WAF sont trop compliqués.
Selon l’étude de Ponemon, 65% des organisations ont subi un contournement dans leurs WAF, tandis que seulement 9% ont déclaré ne pas avoir été violées. Cependant, rien ne garantit qu’ils n’en feront jamais l’expérience à l’avenir. Les entreprises ont raison de s’inquiéter des performances et de la sécurité de leurs WAF.
L’étude de Ponemon indique également que seulement 40% des répondants sont satisfaits de leur WAF existant, ce qui signifie qu’ils ne l’utilisent pas à son plein potentiel. Peu d’entreprises ont admis qu’elles n’utilisaient WAF que pour générer des alertes de sécurité plutôt que pour bloquer les activités suspectes.
Au pire, les organisations sont brûlées sur WAF et regrettent d’avoir investi autant d’actifs pour ne faire aucun progrès dans la protection de ce qui compte pour elles. C’est là que la nécessité d’un pare-feu d’application Web New Age entre en jeu. Les WAF New Age tels que AppTrana sont basés sur le cloud, gérés, plus faciles à déployer et disposent d’un modèle commercial d’abonnement plus pratique et sont soutenus par l’expertise nécessaire pour gérer les politiques en continu afin que les entreprises puissent se concentrer sur leur expertise de base sans avoir à acquérir de nouvelles compétences complexes pour la sécurité des applications .
Les défis du WAF traditionnel
Nous entendons souvent des membres de l’industrie qui sont passés du pare-feu d’application Web traditionnel au WAF de prochaine génération ce qui les a fait basculer. La plupart des raisons représentent une variation des suivantes:
1 – Innovation technique
Les normes des applications Web sont en constante évolution, ce qui augmente l’exigence de ce que les WAF doivent offrir.
L’adoption croissante des charges utiles JSON et HTTP / 2 a laissé la plupart des fournisseurs de pare-feu d’applications Web se battre pour suivre le rythme. Alors que le marché attend une innovation constante, de nombreux fournisseurs de WAF deviennent progressivement fragiles.
2 – Manque d’évolutivité
Les exigences d’une organisation en matière de mise à l’échelle du réseau intensifient certains des défis tels que le coût, le temps et la complexité. Le déploiement, ainsi que la maintenance de clusters d’appareils, devient très complexe.
Les méthodologies DevOps et Agile nécessitent une reconfiguration et un réajustement cohérents des clusters qui sollicitent les ressources de l’équipe de sécurité.
3 – Exploits Zero-Day
Alors que les WAF surveillent efficacement le trafic Web pour empêcher les attaques spécifiques à HTTP, ils sont incapables de se défendre contre attaques zero-day. Les WAF sont conçus pour détecter des modèles préconfigurés – Les vulnérabilités du jour zéro peuvent être exploitées par tous les vecteurs de risque, qui sont découverts selon les règles préconfigurées.
4 – Bloquer le trafic légitime
Un autre mécontentement de la plupart des utilisateurs WAF est le blocage par inadvertance du trafic valide, également connu sous le nom de faux positifs. Bien que cela semble relativement inoffensif en termes de sécurité, cela peut être désastreux pour les organisations. Cela peut empêcher les visiteurs de bénéficier des fonctionnalités de l’application, de télécharger des médias ou d’acheter des produits.
Une façon possible de lutter contre ce défi consiste à exécuter le nombre minimum de modèles, mais cela pourrait rendre le réseau plus vulnérable. La plupart des solutions WAF ont du mal à équilibrer l’action. À moins que vous n’investissiez des ressources dédiées pour le gérer, il est difficile d’obtenir la valeur du WAF traditionnel. C’est la plus grande lacune parce que le WAF traditionnel n’a pas tenu sa promesse.
5 – Attaques DDoS
Plus important encore, les difficultés DDoS posent des problèmes pour l’installation de WAF. Nous avons vu un nombre important d’entreprises utiliser les WAF pour empêcher les attaques DDoS. La raison principale selon eux est que les WAF peuvent être mis à niveau atténuer les attaques DDoS.
Cependant, le problème est que les WAF traditionnels n’ont pas été configurés pour résister aux attaques DDoS à grande échelle. De plus, les applications d’aujourd’hui sont partagées / fournies par des plates-formes tierces, qui ne peuvent pas être protégées par une couche de défense sur site. Sans un WAF basé sur le cloud, il est difficile de planifier la capacité initiale, et même si vous le faites, elle aura toujours une limite supérieure.
Le cloud WAF et en particulier le cloud géré WAF résolvent ce problème avec la possibilité de monter et descendre. L’entreprise doit payer uniquement en fonction de la valeur sans avoir à payer un coût fixe initial pour une possibilité future qui pourrait ou non se produire.
Comprendre les capacités du WAF New Age
Bien que de nombreux fournisseurs de WAF prétendent offrir la prochaine génération, la plupart d’entre eux utilisent les mêmes paradigmes de sécurité que les WAF traditionnels, et il ne s’agit donc pas de NextGEN. Nous avons besoin d’un WAF New Age qui devienne vraiment la prochaine GEN. Une caractéristique essentielle des WAF du nouvel âge, comme le montre l’AppTrana d’Indusface, comprend:
1 – Contrôle de l’utilisation des applications et du Web
Le contrôle de l’utilisation des applications et du Web répond à la préoccupation, quel type de trafic est bloqué? Le WAF utilise plusieurs catégories d’identification pour identifier leur identité exacte des sites Web et des applications traversant le réseau et déterminer comment les traiter.
Une classification précise du trafic est au cœur du WAF de nouvelle génération. Cela empêche les organisations d’accéder à des sites Web et à des applications susceptibles de créer des problèmes juridiques, d’être malveillants ou de n’avoir aucune pertinence.
2 – Analyse avancée de la sécurité des applications Web
Non seulement le WAF basé sur le cloud traite les attaques émergentes que la plupart des applications Web subissent, mais il offre des améliorations constantes de la visibilité et de l’analyse des menaces. Dans les WAF traditionnels, les entreprises volent à l’aveugle, espérant que tout va bien jusqu’à ce que quelque chose se passe mal.
Les WAF surveillent les mesures de performance en temps réel, mettant en évidence ce qui se passe dans votre infrastructure, vos applications et vos utilisateurs finaux. Vous pouvez réagir avant que quelque chose ne se passe mal et vous pouvez être sûr que votre WAF fonctionne comme prévu.
3 – Évaluation de la sécurité des applications Web et détection des logiciels malveillants
Les pare-feu New-Age comprennent que même des sites valides peuvent, sans le savoir, contenir des vulnérabilités et peut-être même des liens vers des sites malveillants et des charges malveillantes. En outre, une entreprise souhaite parfois donner accès à une plateforme de médias sociaux qui comprend souvent des liens ou des fichiers malveillants.
Fournir une politique WAF en corrélation avec le risque de l’application et le faire en continu est le principal avantage du nouvel Age WAF tel que AppTrana.
4 – Renseignements sur les menaces mondiales
Cette plate-forme de sécurité basée sur le cloud tire parti de ses déploiements internationaux et maintient un aperçu complet des tendances du trafic mondial. Il surveille et analyse le trafic de tous les déploiements mondiaux. Une fois qu’une menace de sécurité est identifiée dans un seul endroit, tous les déploiements dans le monde sont mis à jour et renforcés contre elle.
5 – Intervention automatisée
Les WAF basés sur le cloud s’appuient non seulement sur des politiques et des signatures prédéfinies pour bloquer le trafic, mais fournissent également des services gérés pour des règles personnalisées précises basées sur les risques. Il surveille en permanence et filtre automatiquement les demandes valides et les acteurs malveillants en fonction de modèles en temps réel et d’une analyse comportementale. Il propose également des correctifs virtuels pour empêcher les exploits de points faibles tels que les vulnérabilités zero-day.
Avancer
Il existe des différences clés entre le WAF traditionnel et le WAF new age. Si le WAF traditionnel est inadéquat pour une raison quelconque, votre application Web sera accessible aux attaquants. Il serait préférable d’opter pour une protection Web avancée, qui n’influence pas négativement vos opérations commerciales. Le WAF new-age basé sur le cloud est conçu pour offrir une protection Web adéquate et donner la valeur de votre argent.