Pourquoi un Web Application Firewall semble-t-il si complexe ?

Quand nous abordons la question de la sécurité cloud avec des prospects et des clients, le défi que représente sa complexité ne manque pas de se poser. De nombreuses attaques d’applications Web ont réussi parce qu’elles ciblaient des pare-feu d’applications Web (WAF) mal configurés. L'une des attaques les plus populaires, l'injection SQL (SQLi), n'est pas nouvelle, mais de nombreuses entreprises semblent n'avoir rien retenu du piratage de la firme Heartland Payment Systems en 2008 via une injection SQL. Heartland était le sixième plus grand processeur de paiements aux États-Unis à l'époque, et la violation a compromis des millions de comptes de crédit/débit professionnels et personnels.

Heartland disposait bien d'un Web Application Firewall, mais la stratégie de sécurité de l'entreprise n'était pas adaptée pour parer à une attaque SQLi. L'entreprise s'est acquittée de 145 millions de dollars d'indemnités, a perdu temporairement sa conformité à la norme PCI DSS et le cours de son action a chuté de près de 80 % au cours des trois mois suivants. Malgré son coût massif et la mauvaise publicité engendrée par cette attaque, SQLi représentait encore plus de 68 % de toutes les attaques d'applications web en 2020. Ce pourcentage est en hausse par rapport aux 44 % enregistrés en 2017.

L'injection SQL étant considérée comme un « fruit à portée de main » sur l'échelle des attaques potentielles sur le web, il devient rapidement évident qu'il existe de nombreuses façons d'attaquer les sites web et un éventail tout aussi impressionnant de solutions pour les contrer. Chaque attaque est quelque peu différente et peut cibler un seul point faible. C'est là que réside toute la complexité.

L'injection SQL est l'exemple parfait : « Ne faites confiance à personne » et « N'utilisez pas de SQL dynamique . C'est plus facile à dire qu'à faire, surtout à l'ère du télétravail. Un Web Application Firewall a des ressources spécifiques pour identifier les codes suspects et les tentatives d'injection, mais elles doivent être utilisées correctement.

SQLi n'est pas le seul type d'attaque efficace contre les applications web. Le deuxième type d'attaque le plus répandu est le déni de service distribué (DDoS), qui consiste à assaillir un site web de requêtes automatisées et non fondées, causant son dysfonctionnement. La sécurité et la stratégie que vous devez mettre en place pour prévenir les attaques DDoS sont très différentes de celles visant à vous défendre contre les attaques SQLi, les cross-site scripting et autres.

Les raisons du succès de tant d'attaques

Les Web Application Firewalls sont conçus pour prévenir toutes ces attaques sur le web, alors pourquoi ces attaques sont-elles encore si nombreuses et efficaces ? Il s'avère que les propriétés web et les clients des entreprises sont davantage uniques que similaires. Un WAF doit être configuré pour chaque entreprise et chaque groupe d'utilisateurs. Pour en revenir à notre exemple SQLi, si une entreprise travaille avec un code fourni par un utilisateur, elle serait tentée de simplement désactiver le volet inspection SQL d'un WAF. C'est l'erreur que Heartland a commise.

Une autre fonctionnalité populaire est le blocage géographique, qui permet de bloquer toutes les adresses IP provenant d'un hotspot ou d'un site réputé comme étant un repère de pirates. Cela peut se révéler une excellente idée pour les entreprises qui ne sont pas actives au niveau international. Cependant, de nombreuses entreprises exercent leurs activités au niveau international, soit en vendant leurs produits et services à des pays étrangers, soit en recevant des marchandises de l'étranger. Pour ces entreprises, le blocage d'une région entière n'est pas forcément la solution idéale.

La configuration d'un WAF est un exercice qui demande de la réflexion. Si vous activez toutes les protections et bloquez tout le trafic, vous finirez par ne plus recevoir aucun trafic vers votre application. Votre entreprise en ligne ne sera plus rentable. De nombreuses entreprises configurent leurs Web Application Firewalls sur le mode surveillance. Certaines protections sont déployées, mais le WAF surveille également la survenue d'attaques spécifiques afin que l'équipe informatique puisse renforcer la sécurité le cas échéant.  En revanche, il est possible d'offrir une sécurité élémentaire et « universelle » dans un WAF axé sur les services. Ces solutions sont efficaces jusqu'à un certain point, mais elles échouent lorsque l'entreprise fait face à une application ou à un utilisateur qui ne correspond pas à la norme « universelle » de ces appareils et que les entreprises se contentent de désactiver cette protection pour tout le monde. Il s'agit d'un problème d'architecture ; ces WAF élémentaires utilisent un ensemble de règles central (CRS) qui détermine si les données transitent ou non par le WAF. Un WAF à proxy inverse, quant à lui, interceptera les données et inspectera chaque paquet dans les deux sens. Le WAF applique ensuite des règles personnalisées en fonction de ce qu'il détecte dans le paquet.

Découvrez comment Barracuda peut vous aider

Chez Barracuda, nous avons réalisé que nous pouvions concevoir un Web Application Firewall qui offrirait les meilleures fonctionnalités et les meilleurs avantages de chaque solution. Nous pourrions installer notre WAF dans un centre de données cloud, créer un ensemble de règles « standard » basé sur ce que nous avons observé au cours des dix dernières années de conception de WAF, et le déployer en tant que solution SaaS dotée de toutes les fonctionnalités et de tous les avantages d'un WAF complet. Les protections basiques qui correspondent à la plupart des cas d'utilisation sont déjà activées, mais les entreprises peuvent faire des ajustements lorsqu'elles sont face à des applications et des utilisateurs que les protections standard ne peuvent pas protéger correctement.

En bref, nous offrons toute la puissance d'un Web Application Firewall traditionnel combiné à la simplicité et à la commodité d'un WAF basé sur les services.

Barracuda WAF-as-a-Service est un service complet en matière de sécurité des applications qui peut assurer la protection de toutes vos applications en quelques minutes seulement.