e-Xpert Solutions Lausanne
Auteur : Gilliek
Date de publication : 5 novembre 2018 - Dernière mise à jour : 5 novembre 2018
Afin de bloquer les attaques plus rapidement et d'améliorer l'efficacité du Web Application Firewall (WAF), nous avons mis en place un service de réputation d'IP, e-Xpert Solutions Reputation Service. Notre base de données d’adresses IP malicieuses est enrichie de manière collaborative par nos clients qui acceptent de partager les adresses IP bloquées par leur WAF.
Les IPs collectées sont alors traitées dans notre infrastructure par des algorithmes intelligents qui décident si une IP doit être blacklistée automatiquement, ignorée ou traitée manuellement par l’un de nos experts. Notre blacklist est automatiquement et périodiquement synchronisée chez nos clients.
Pour éviter des blocages légitimes tels que certains bots comme GoogleBot ou BingBot, qui peuvent parfois générer des alertes au niveau du WAF, nous avons mis en place un mécanisme de vérifications automatique. Nous complétons cette solution avec une fonctionnalité de whitelisting (Liste blanche) automatique et des actions manuelles. Chaque client peut ainsi gérer sa liste d’IP de confiance en fonction de ses besoins.
L’avantage principal d’aborder le problème de la réputation d’IP de manière collaborative est que notre blacklist contient des IPs d’attaques locales, propre à la Suisse ce qui nous permet de détecter des attaques ciblées sur le territoire helvétique ou contre un certain type d’activité (p. ex. bancaire) plus rapidement.
Afin d’offrir un niveau de protection équivalent aux solutions du marché, nous alimentons notre base de données à l’aide de sources de Threat Intelligence externes tels que des indicateurs de compromission (IOC : Indicators of Compromise) partagés via MISP ainsi que divers feeds de réputation d’IPs.
Le schéma ci-dessous offre une vision générale du fonctionnement de notre solution:
L’architecture complète du service est décrite par le schéma suivant:
Du côté "Customer" (bloc sur la gauche), nous avons un ou plusieurs F5 Big-IP avec le module ASM qui transmet à notre collecteur les events qu’il a détecté.
Celui-ci les filtre pour supprimer, par exemple, toutes les détections impactant des adresses IP locales.
Ensuite les events sont re-formatés afin qu’aucune information sensible ne soit conservée. Puis, il est transmis chez nous via une API REST authentifiée à travers un canal confidentiel et authentique pour finalement être stocké dans nos bases de données.
On a également côté "Customer" le Big-IP qui effectue un lookup sur un serveur DNS pour obtenir la réputation d’une IP.
Le serveur DNS quant à lui met à jour sa base de données locale avec des appels périodiques à notre API. Plus d’informations seront données sur l’intégration de la solution avec F5 dans la prochaine section.
Côté e-Xpert Solutions, nous avons plusieurs workers qui tournent. Les workers MISP et HTTP collectent à interval régulier les IOC, les filtres et insèrent les IP malicieuses dans la blacklist. Il y a également le worker “Blacklist” qui va analyser tous les events WAF collectés et à l’aide d’algorithmes intelligents va automatiquement insérer certaines IP dans la blacklist. Pour celles dont il n’est pas sûr, elles seront traitées manuellement par nos experts.
Nous offrons deux possibilités d’intégration de notre solution avec F5 Big-IP.
La première, illustrée par le schéma ci-dessous, consiste à déployer dans l’infrastructure du client un serveur DNS que nous fournissons. Le workflow de la solution se déroule ainsi:
De manière asynchrone, le server DNS va rafraîchir sa base de données régulièrement en téléchargeant la version à jour depuis notre infrastructure.
Nous pouvons aussi intégrer notre solution sans passer par le déploiement d’un service DNS en utilisant un Data Group, qui est une liste locale sur le F5. Le schéma suivant illustre cette alternative et le workflow devient:
De manière asynchrone, un iCall va rafraîchir le Data Group en récupérant régulièrement la base données d’IP depuis notre infrastructure.
Les alertes rapportées apparaissent nativement dans l’Event Logs de l’ASM dans Security > Event Logs > Application > Requests. La capture d’écran suivante montre le résultat d’une détection par notre service rapportée dans l’ASM:
Avec un nombre croissant d’attaques de plus en plus sophistiquées, la Threat Intelligence (TI) est devenue une nécessité pour faire face à ces nouvelles menaces.
Notre offre vise à fournir un niveau de protection supplémentaire aux traditionnels Web Application Firewall en bloquant de manière efficace et proactive les attaques provenant d’IP malicieuses avec une blacklist alimentée en temps réel depuis nos feeds de Threat Intelligence.
Nous apportons également une dimension collaborative à l’offre en exploitant les détections des WAF de nos clients qui acceptent de les partager afin de fournir une base d'adresses IP d’attaques ciblées sur la Suisse et sur des domaines d’activités précis.
Events
Archives