Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



Renaud Bidou (Deny All) : « La mise en production d’un WAF est maintenant possible en quelques minutes, tout en maintenant un niveau de sécurité nominal particulièrement élevé »

Par Ludovic Blin, secuobs.com
Le 29/11/2012


Résumé : Mode transparent avec rupture protocolaire, brouilleur de keyloggers, déploiement accéléré, profiling d’applications... Les technologies utilisées par les WAFs (pare-feu d’application web) sont de plus en plus avancées. Le point sur la question avec Renaud Bidou, directeur technique de Deny All.



Vous avez récemment acquis la société VulnIT, pouvez vous nous en dire plus, comment allez vous intégrer les produits qu'elle propose ?
VulnIT est une société française éditrice d’un outil de gestion des vulnérabilités disponible sous trois formes : dans le cloud, sous forme logicielle ou via une clef USB bootable.
Dans un premier temps nous avons intégré ces offres à une nouvelle gamme produit (la gamme DETECT) qui vient en complément de notre gamme PROTECT (Web Application Firewall) et MANAGE (plate-forme de supervision et outil de reporting).
Nous nous consacrons maintenant à l’intégration technologique. En nous appuyant sur le moteur de test des applications Web, nous serons à même d’optimiser les configurations de nos WAF, que ce soit du point de vue de la sécurité ou des performances.
A terme l’amélioration des fonctions de découverte et de profiling permettra de détecter de nouvelles applications, de définir un certain nombre de configurations et de proposer le provisioning sur l’ensemble WAF administrés depuis notre plate-forme de supervision.

Quels sont les avantages et inconvénients du module client shield ?
Le module Shield est un élément clef de notre vision de la sécurité applicative, dont nous pensons qu’elle doit être appliquée de bout en bout, c’est-à-dire du client de l’application jusqu’aux serveurs métiers.
Le Shield a pour objectif de fournir un environnement d’exécution sécurisé pour les navigateurs lors de leur connexion à la page web de l’application protégée. Il prévient des tentatives d’injection dans le navigateur, la création dethreads, de hooks sur les DLL et génère du « bruit » pour rendre les keyloggers inefficaces. C’est ainsi que nous avons protégé nos clients des menaces telles que Zeus ou SpyEye.
En termes de déploiement, le module est rendu transparent tant pour le client qu’au niveau de l’application protégée. Aucune modification de cette dernière n’est requise et une simple checkbox permet d’activer la fonctionnalité sur notre WAF. Du point de vue du client le module est chargé à la volée et ne nécessite aucune installation ni droits particulier sur le système.

Quelles sont les principales nouveautés de la version 4.1 de DASP ?
La version 4.1 de DASP (DenyAll Application Security Platform – regroupant rWeb, sProxy et rXML ) consolide et innove dans les axes de développements que nous avons défini il y a 4 ans au lancement des développement de la génération 4.x : Sécurité, Administration et Scalabilité.
Dans ce sens nous avons rajouté de nouveaux moteurs de sécurité, enrichi l’interface graphique d’outils afin de simplifier l’administration d’un grand nombre d’applications protégées, et amélioré les performances dans les cas d’utilisation de fonctionnalités « lourdes » comme l’enregistrement du trafic.
Nous avons également optimisé le processus de déploiement, avec un mode « transparent », de nouveaux templates de sécurité et une simplification de l’interface. La mise en production d’un WAF est maintenant possible en quelques minutes, tout en maintenant un niveau de sécurité nominal particulièrement élevé.

La sécurisation des données JSON correspond elle a une demande importante de la part des clients ?
Très discrètement JSON a bouleversé le monde de la sécurité applicative.
Jusqu’à présent les données étaient systématiquement transmises dans un format =, et séparées par un « & ». Tous les moteurs d’analyse reposent donc sur l’extraction de données formatées selon ce schéma.
JSON ayant complètement changé le format d’échange de données, les filtres (quand ils sont appliqués…) génèrent énormément de faux positifs. Concrètement les WAF ne savent pas gérer ce type de flux et se voient contraint de fonctionner en mode dégradé avec une sécurité minimale.
Nous avons par conséquent lancé un projet de R&D sur le sujet il y a plus d’un an, afin de garantir un niveau de sécurité homogène pour les applications Web, indépendamment du format d’échange de données.
Achevé et testé depuis le printemps dernier, le module de sécurité JSON disponible dans DASP 4.1 est à même de traiter les données échangées dans ce format exactement de la même manière que les données au format « standard ». Ainsi tous les modules de sécurité sont pleinement efficaces, et il est même possible de créer automatiquement des listes blanches par apprentissage.
Nous offrons par conséquent un niveau de sécurité inégalé pour leurs applications utilisant JSON.

Pouvez vous nous en dire plus sur le nouveau mode transparent ?
L’objectif du mode transparent est de permettre le déploiement d’un WAF sans avoir à modifier le plan d’adressage ni les entrées DNS. Actuellement les moteurs d’analyse transparents rompent avec la technologie de reverse-proxy se privant, entre autres, de rupture protocolaire, de l’analyse contextuelle au niveau applicatif, des moyens natifs de détection d’anomalies etc. Le niveau de sécurité étant notablement dégradé nous n’avons jamais accepté de mettre ce mode de déploiement à disposition de nos clients.
Le mode transparent de DASP 4.1 présente l’avantage des deux technologies, à savoir un déploiement sans impact sur le plan d’adressage et la mise en œuvre de notre de reverse-proxy. Ainsi, et outre un niveau de sécurité rigoureusement identique à celui fourni dans un mode reverse-proxy natif, DASP 4.1 en mode transparent présente également le même spectre fonctionnel du point de vue de l’authentification et de l’accélération des applications.
A ce titre nous sommes donc les seuls à offrir une fonction de load-balancing transparent.

Quelles seront les prochaines évolutions ?
Le profiling d’application et l’automatisation des configurations via l’intégration et l’enrichissement des technologies de VulnIT seront une première étape en termes de technologies. Nous allons également développer un mécanisme de profiling des utilisateurs, authentifiés ou non. Nous serons ainsi à même de qualifier une connexion et de lui attribuer des autorisations et une politique de sécurité adaptée à un niveau de confiance adapté dynamiquement.
D’autres innovations seront également dévoilées dans le domaine de la gestion des flux autres que les flux Web, tout en restant en ligne avec notre leitmotiv : faire bien. Avec un peu plus de 20 personnes à la R&D nous ne pouvons pas tout faire. Cependant nous nous investissons entièrement dans ce que nous faisons pour le faire au mieux.

Et d’un point de vue Corporate ?
Notre développement international sur les régions d’Asie du sud-est et du Moyen-Orient s’accélère, en particulier dans les secteurs de la finance et de l’administration. Notre stratégie de développement organique a porté ses fruits et plus de 60% des affaires signées cette année l’ont été à l’international.
En parallèle nous poursuivons notre stratégie de croissance externe et envisageons une ou deux nouvelles acquisitions dans les 12 mois qui viennent.