Le rapport de Gartner, intitulé « Competitive Landscape : Web Application Firewall Market, Worldwide, 2012 », suggère que la protection d’une infrastructure informatique contre les attaques visant les couches applicatives nécessite une combinaison de mesures préventives et défensives, au-delà de ce qu’imposent les normes PCI DSS ou HIPAA. Les entreprises qui investissent dans la formation des développeurs et l’analyse du code source, qui effectuent régulièrement des tests de pénétration et déploient des pare-feu pour applications/services Web, sont mieux armées que d’autres pour empêcher la fraude en ligne, les dénis de service et la fuite de données.

Extension du périmètre de sécurité aux navigateurs

Même dans ce contexte, les navigateurs utilisés pour se connecter sont le maillon faible de l’infrastructure. De nombreux utilisateurs se connectent à des applications Web à partir d’un poste client potentiellement non sécurisé. Qu’il s’agisse d’un PC, d’une tablette ou d’un smartphone, l’appareil peut être infecté par un malware, tel que Zeus ou Spyeye, qui intercepte les données de sessions et les transmet à des contrôleurs de botnet.

Voici ce qu’en dit le rapport de Gartner : « La fraude en ligne dans le secteur financier et les applications mobiles, combinées à la tendance BYOD (bring your own device), ont révélé l’intérêt des entreprises pour l’extension de la technologie WAF au-delà du terminal. Certains produits WAF offrent désormais des fonctions supplémentaires d’évaluation du navigateur et de détection des logiciels malveillants côté client, qui suscitent l’intérêt pour leur technologie. Pour ce faire, un agent est envoyé vers le poste client, au format Java ou ActiveX, afin d’inspecter ou de protéger le navigateur et la session Web. »

En étendant le périmètre de sécurité des applications aux navigateurs qui s’y connectent, le produit Client Shield de DenyAll permet d’éviter les attaques MitB (Man-in-the-Browser) sur les clients infectés. En déclenchant l’ouverture d’une nouvelle fenêtre de navigation et en veillant à ce que l’exécution s’effectue en toute sécurité, rWeb Client Shield garantit qu’une connexion authentifiée par un certificat SSL valide ne sera pas exploitée par un malware pour lire, dérober ou détruire les données hébergées par l’application protégée. DenyAll est le seul fournisseur de solutions WAF à proposer une approche aussi innovante.

L’innovation au service de la protection du Web

Gartner recommande aux fournisseurs de solutions WAF de continuer à innover, afin de se différencier des fournisseurs d’ADC (Application Delivery Controller) et de se prémunir contre la concurrence future des services proposés par les Content Distribution Networks. DenyAll estime que son expertise de la sécurité et sa capacité à innover sont des facteurs de différenciation décisifs. Par exemple, DenyAll considère qu’il est indispensable de proposer une nouvelle génération de moteurs de sécurité, capables de comprendre les langages modernes et les nouveaux types de contenu des applications Web 2.0. Ces moteurs doivent pouvoir les filtrer dynamiquement, malgré leur nature imbriquée en cascade (instructions SQL incorporées dans des instructions JSON, elles-mêmes incorporées dans du code HTTP, par exemple).

C’est via sa plate-forme DASP (DenyAll Application Security Platform) que DenyAll propose des technologies de sécurité innovantes, telles que des fonctions spécifiquement conçues pour les flux XML/SOAP, un module d’analyse comportementale et un moteur exclusif d’évaluation des requêtes. Ce dernier effectue une analyse agnostique des données et identifie les menaces inconnues, tout en réduisant le nombre de faux positifs, grâce à une technique de calcul testée sur le terrain. De nouveaux modules de sécurité qui canonisent les structures de données complexes seront prochainement ajoutés à cette plate-forme afin d’y appliquer une analyse approfondie.

Évolution vers la sécurité applicative intelligente

DenyAll partage le point de vue de Gartner, selon lequel la corrélation des événements de sécurité applicative et leur présentation aux décideurs adéquats sont nécessaires pour sensibiliser au contexte et aider les entreprises à contrer plus efficacement les attaques visant les couches applicatives. Grâce aux informations sur la sécurité applicative, tous les personnes concernées seront informées des problèmes dès qu’ils se manifesteront et pourront participer à leur résolution. DenyAll a récemment lancé un tableau de bord Splunk dédié à la sécurité des applications, qui sera particulièrement utile pour le partage de ces informations. L’intégration prochaine des résultats d’analyse de vulnérabilités dans la plate-forme de DenyAll contribuera également à concrétiser cette vision.