Certaines menaces ne peuvent pas être adressées au travers des technologies de filtrages telles que les listes banches, pondérées et noires ; car le caractère malveillant de ces requêtes ne se situe pas dans le contenu mais dans d’autres facteurs tels que la fréquence (le nombre de requêtes), l’origine (la page précédente ou « referer ») ou un scénario très spécifique allant au-delà de la requête malicieuse.
A titre d’exemple, les tentatives qui visent à deviner un mot de passe sur un lien requérant une authentification ne sauraient être détectées par des filtres classiques (aucun schéma d’attaque dans la requête, cette dernière doit être autorisée par une éventuelle liste blanche pour laisser les utilisateurs se connecter après authentification) ; un scénario simple (§ copie d’écran suivant) permettant de détecter une fréquence anormale de requêtes.
Une fois le comportement malveillant détecté, un ensemble de réactions prédéfinies (blocage, ralentissement, redirection, exécution d’un script) est activable pour assurer une contremesure efficace à ces tentatives d’attaques.
Cette définition de scénarii (« Rules ») est complétée par deux fonctionnalités uniques de ce module d’analyse :
1. la définition d’une liste blanche spécifique à une partie d’un site uniquement (« Force URI ») ;
2. la mise en page d’un parcours forcé des utilisateurs (« Force Browsing »).
La liste blanche partielle est intéressante en termes d’exploitation de la solution, puisqu’elle représente un compromis entre élévation du niveau de sécurité et maintenance de l’ensemble. Elle se traduit par la définition d’une liste d’URI autorisés, constituée grâce à une période d’apprentissage.
Le mécanisme d’apprentissage est également utilisé pour l’implémentation du parcours forcé, utile lorsque l’on veut rendre obligatoire le passage des utilisateurs par une page spécifique, quelque soit le lien utilisé (résultat d’un moteur de recherche, bookmarks).
Notre module d’analyse comportementale, au travers des trois fonctions proposées (définition de scénario/réaction, définition de liste blanche dédiée à une partie d’un site, parcours forcé au sein de l’application) représente un arsenal complet pour réduite efficacement l’exposition des applications aux risques multiples et sans cesse évolutifs, sans oublier, sa parfaite intégration avec les autres fonctions de sécurité de notre produit rWeb.
Module d'Analyse Comportementale
| FONCTIONNALITE |
BENEFICES |
Définition de scénario/réaction
(« Rules ») |
Permet la détection de comportement malveillant, se traduisant par des facteurs contextuels (fréquence, parcours, corrélation entre requêtes). |
Liste blanche partielle
(« Force URI ») |
Permet la mise en place d’une liste blanche (URI autorisé) sur une partie du site, sans avoir à gérer une liste blanche complète (sur l’ensemble de l’application). |
Parcours forcé
(« Force Browsing ») |
Permet de contrôler le parcours d’un utilisateur, afin de rendre le passage par certaines pages obligatoire. |
