Web Application Firewall (WAF)

mai 31, 2022

Qu’est-ce qu’un Web Application Firewall (WAF) ?

Un Web Application Firewall (WAF) ou pare-feu d’application web est un dispositif de sécurité conçu pour protéger les entreprises au niveau des applications en filtrant, en contrôlant et en analysant le trafic HTTP (Hypertext Transfer Protocol) et HTTPS (Hypertext Transfer Protocol Secure) entre les applications web et Internet.

Un WAF fonctionne comme un proxy inverse et protège l’application contre les requêtes malveillantes avant que celles-ci n’atteignent l’utilisateur ou l’application web. Partie intégrante d’une stratégie de cybersécurité complète, un WAF contribue à protéger les entreprises d’un grand nombre d’attaques de la couche applicative, notamment les scripts intersites (XSS), les injections SQL, les attaques zero day et les attaques par déni de service (DoS) et par déni de service distribué (DDoS).

See Crowdstrike Falcon In Action

Téléchargez le Global Threat Report 2022 pour découvrir les tendances observées par nos équipes chez les cyberpirates en matière de techniques, tactiques et procédures.

Télécharger

Pare-feu d’application web et pare-feu réseau : quelle différence ?

Un WAF se distingue d’un pare-feu réseau de par le type de protection qu’il offre et la manière dont celle-ci est appliquée. Pour faire simple, un WAF protège l’entreprise au niveau des applications en analysant l’ensemble du trafic HTTP/HTTPS, alors qu’un pare-feu réseau bloque directement tout accès non autorisé au réseau dans son ensemble.

D’un point de vue technique, la principale différence entre un WAF et un pare-feu traditionnel est le niveau auquel s’applique la couche opérationnelle de sécurité, telle que définie par le modèle OSI (Open Systems Interconnection). Les WAF protègent contre les attaques ciblant la couche 7 du modèle OSI, à savoir la couche « application ». Les pare-feux réseau opèrent quant à eux au niveau des couches 3 et 4 du modèle OSI, qui correspondent au transfert de données et au trafic réseau.

Fonctionnement d’un Web Application Firewall

Un WAF est régi par un ensemble de règles définies par l’administrateur réseau. Chacune de ces règles est conçue pour neutraliser une menace spécifique ou une vulnérabilité connue au niveau des applications. Ensemble, ces règles permettent de détecter et d’isoler le trafic malveillant avant qu’il n’atteigne un utilisateur ou une application.

Il existe trois types principaux de pare-feux d’application web :

  1. Web Application Firewall de type liste de blocage : un WAF de type liste de blocage, ou « modèle de sécurité négatif », protège contre les attaques connues en bloquant l’accès au trafic.
  2. Web Application Firewall de type liste d’autorisation : un WAF de type liste d’autorisation, ou « modèle de sécurité positif », autorise uniquement le trafic en fonction d’une liste préapprouvée.
  3. Web Application Firewall hybride : un WAF hybride s’appuie à la fois sur les modèles avec liste de blocage et avec liste d’autorisation.

Pourquoi les entreprises ont-elles besoin d’un pare-feu d’application web ?

De nombreuses entreprises font face à un risque de sécurité accru au niveau des applications en raison de la migration vers le cloud et de l’utilisation en hausse de logiciels web et d’applications SaaS. La généralisation du télétravail, qui s’est accélérée sous l’effet de la pandémie de COVID-19, l’explosion du nombre de terminaux connectés et l’adoption de règles encourageant l’utilisation de terminaux personnels au travail ont par ailleurs ouvert la voie à de nouvelles cybermenaces ciblant la couche applicative. L’intégration d’un WAF à la stratégie de cybersécurité peut permettre aux entreprises de neutraliser les attaques ciblant les applications web et les API (Application Programming Interfaces).

Bien que les WAF ne protègent pas les entreprises contre toutes les cybermenaces, ils sont particulièrement efficaces contre celles qui visent spécifiquement la couche applicative, et notamment les menaces suivantes :

  • Script intersite (XSS) : attaque par injection de code, dans le cadre de laquelle un cyberadversaire insère un code malveillant dans un site web légitime. Le code s’exécute ensuite sous la forme d’un script infecté dans le navigateur web de l’utilisateur, permettant ainsi au cyberattaquant de voler des informations sensibles ou d’usurper l’identité de l’utilisateur.
  • Attaque DoS et DDoS : attaque ciblée qui inonde délibérément un réseau de fausses requêtes dans le but de perturber les activités métier.
  • Injection SQL : attaque similaire à une attaque XSS dans le sens où les cyberadversaires exploitent une vulnérabilité connue pour injecter des instructions SQL malveillantes dans une application, ce qui leur permet ensuite d’extraire, de modifier ou de supprimer des informations.
  • Attaque zero day : attaque dans le cadre de laquelle un cyberpirate exploite une vulnérabilité de sécurité ou une faille logicielle inconnue avant que le développeur du logiciel n’ait eu le temps de publier un correctif.

Options de déploiement d’un pare-feu d’application web

Un WAF peut être implémenté de trois manières différentes :

  1. WAF au niveau du réseau : solution matérielle à faible latence installée localement sur le réseau. Bien qu’efficace, cette option nécessite d’importantes capacités de stockage et s’accompagne généralement de coûts de maintenance élevés, ce qui en fait l’une des options de déploiement les plus coûteuses.
  2. WAF au niveau de l’hôte : solution personnalisable intégrée dans l’application logicielle. Bien qu’elle soit moins coûteuse qu’un WAF au niveau du réseau, cette option est souvent plus difficile à déployer et mobilise des ressources considérables.
  3. WAF au niveau du cloud : option de déploiement la plus abordable, le WAF au niveau du cloud est une solution prête à l’emploi directement proposée par les fournisseurs de services cloud, comme Amazon Web Services (AWS). Dans ce modèle, l’implémentation et les mises à jour relèvent de la responsabilité du fournisseur de services cloud. Bien que cela simplifie les choses pour les entreprises et réduise la charge qui pèse sur les équipes informatiques, cela signifie aussi que les entreprises cèdent une partie de leur contrôle à ce fournisseur tiers. Les entreprises peuvent par conséquent ne pas avoir pleinement conscience des menaces mises au jour par le WAF. L’intégration de la solution à la stratégie de cybersécurité plus générale de l’entreprise peut également être soumise à certaines limites.

Intégration de CrowdStrike et d’AWS Network Firewall

Fin 2020, CrowdStrike a annoncé une nouvelle intégration avec le service AWS Network Firewall pour les clients disposant d’abonnements CrowdStrike Falcon® Intelligence™ et Falcon Prevent™. Grâce à cette intégration, les clients peuvent tirer parti des capacités de la plateforme CrowdStrike Falcon® en renforçant la cyberveille et l’automatisation du déploiement afin de simplifier la réponse à incident et les opérations en général. Cela inclut l’ajout d’indicateurs de compromission de domaines à AWS Network Firewall en vue de garantir une réponse à incident efficace et un Threat Hunting proactif.

Pare-feu d’application web et pare-feu de nouvelle génération : quelle différence ?

Un WAF assure uniquement une protection contre les attaques ciblant les applications web. Bien que le WAF soit un élément important de la stratégie de cybersécurité d’une entreprise, il ne s’agit en aucun cas d’une solution complète. Il doit donc être complété par d’autres mesures de sécurité.

Un pare-feu de nouvelle génération est un type de pare-feu avancé qui réunit au sein d’une même solution un antivirus, un pare-feu réseau, un WAF et d’autres dispositifs de sécurité. À l’instar des pare-feux traditionnels, les pare-feux de nouvelle génération peuvent détecter et bloquer les attaques au niveau des ports, des protocoles et des applications. Cependant, ils peuvent également neutraliser les menaces modernes comme les logiciels malveillants avancés et les attaques ciblant la couche applicative. Les pare-feux de nouvelle génération intègrent par ailleurs des fonctionnalités plus avancées, comme la reconnaissance des applications, un système de prévention des intrusions (IPS) et des services cloud de cyberveille.

Les pare-feux de nouvelle génération sont relativement proches des pare-feux traditionnels (par comparaison aux WAF). Cependant, bien que tous deux s’appuient sur un filtrage statique et dynamique des paquets et sur un VPN pour assurer la sécurité, il existe plusieurs différences majeures entre les deux, un pare-feu de nouvelle génération assurant les fonctions supplémentaires suivantes :

  • Inspection approfondie des paquets au-delà de l’inspection existante des ports et des protocoles assurée par les pare-feux traditionnels
  • Contrôle et visibilité renforcés au niveau de la couche applicative et filtrage des paquets en fonction des applications
  • Blocage des logiciels malveillants avant qu’ils n’infiltrent le réseau
  • Protection supplémentaire contre les menaces persistantes avancées
  • Feuille de route claire en ce qui concerne les mises à niveau afin de répondre aux besoins futurs
  • Prise en charge de sources de cyberveille externes

Solution pare-feu de CrowdStrike : Falcon Firewall Management

Les entreprises sont de plus en plus nombreuses à se tourner vers des capacités de pare-feu hôte natives au système d’exploitation. Les fonctionnalités proposées sont efficaces, mais les entreprises se retrouvent confrontées à une gestion complexe et fastidieuse et à des angles morts qui peuvent s’avérer frustrants pour les administrateurs et créer des failles de sécurité.

La solution avancée Falcon Firewall Management de CrowdStrike garantit une gestion simple et centralisée du pare-feu, ce qui facilite la gestion et l’application des règles de pare-feu hôte.

Reposant sur l’agent léger CrowdStrike Falcon®, une console de gestion unique et une architecture native au cloud, Falcon Firewall Management améliore immédiatement la protection contre les menaces pesant sur les réseaux. Qui plus est, son installation initiale comme son utilisation quotidienne n’ont qu’un impact minime sur l’hôte.