F5 Networks renforce les fonctions IA dans son WAF

Le spécialiste de la sécurité réseau a annoncé des évolutions de sa plateforme autour de trois domaines. Tout d’abord un pare-feu d’applications web (WAF) alimenté par l’IA. Il peut effectuer une détection comportementale améliorée dans les services cloud distribués F5. Pour cela, il se sert d’un modèle de réseau neuronal pour évaluer chaque requête en temps réel plutôt que de s'appuyer sur la correspondance de signatures. En second, F5 propose une API Security Local Edition qui offre une découverte, une visibilité et une sécurité des API sur site pour les environnements isolés et réglementés, sans dépendance au cloud. Enfin, le fournisseur livre des correctifs virtuels en combinant BIG-IP Advanced WAF et F5 Distributed Cloud Web App Scanning pour appliquer une protection en temps réel au niveau de la couche de livraison d'applications pendant que la correction est en cours

Le WAF alimenté par l'IA est actuellement fourni via Distributed Cloud. F5 travaille activement à l'intégration de cette même fonctionnalité dans BIG-IP, Nginx Plus et Nginx Open Source pour les clients utilisant des environnements sur site ou des environnements réseau restreints. « Si l’attaquant est une machine capable de concevoir des séquences d’attaque en quelques secondes, la réponse ne peut pas reposer sur des signatures. Elle doit s’appuyer sur les comportements qui ont été détectés et analysés », a déclaré Joel Moses, vice-président de l’ingénierie stratégique chez F5.

Au cœur du WAF basé sur l’IA

Pour ce WAF, F5 mixe son WAF existant avec un modèle de réseau neuronal pour la caractérisation comportementale. Plutôt que de comparer le trafic à une bibliothèque de signatures d’attaques connues, le système attribue un score de risque numérique à chaque requête en fonction de multiples signaux. Ce score fournit aux équipes de sécurité un contexte spécifique et exploitable plutôt qu’une décision binaire de blocage ou d’autorisation. Depuis bien plus d’une décennie, le concept consistant à ne pas s’appuyer sur des signatures est un pilier des meilleures pratiques de sécurité, les fournisseurs promouvant souvent l’utilisation de technologies basées sur l’heuristique. Selon M. Moses, l’approche de F5 diffère des systèmes de détection heuristiques antérieurs tant en termes d’échelle que de capacités. Les anciens procédés fonctionnaient avec une fenêtre d'échantillonnage beaucoup plus petite. Le modèle de réseau neuronal traite le trafic sur des fenêtres d'échantillonnage plus larges et suit davantage de chemins grâce à la détection d'anomalies de distance, ce qui le rend plus efficace contre les schémas d'attaque pour lesquels il n'existe aucune signature. Ce modèle qui n’est pas une version optimisée d’un modèle de base commercial, a été développé sur mesure au sein du centre d’excellence en IA de F5. « C’est une propriété exclusive développée au sein de notre centre d’excellence en IA, et elle est spécialement optimisée pour l’usage auquel elle est destinée », a fait valoir M. Moses.

Le modèle s'entraîne en continu sur des données télémétriques réelles. Selon F5, cela permet au système d'identifier de nouveaux schémas d'exploitation et d'arrêter le chaînage CVE au niveau de la couche 7 avant même que des signatures formelles n'existent. Lors des tests réalisés par SecureIQLab, F5 WAAP et F5 AI Guardrails ont obtenu un score de sécurité total combiné de 97,09 %, avec une précision de 100 % contre les principaux risques répertoriés dans les classements OWASP WAF Top 10 et API Top 10, ainsi que des scores parfaits pour l’atténuation des attaques de bots et la protection contre les attaques DoS sur la couche 7. Pour les clients déjà sur la plateforme Distributed Cloud, l'activation du WAF alimenté par l'IA entraîne des changements opérationnels mesurables. Selon M. Moses, les clients qui activent cette fonctionnalité atteignent généralement le mode de blocage plus rapidement que ceux qui s'appuient sur des règles de signature configurées manuellement. Il note que le taux de faux positifs de F5 est passé d'environ 18 % à environ 1 %.

Des correctifs virtuels contre l'exploitation accélérée de l'IA

La promesse du WAF alimenté par l'IA réside dans des patchs virtuels nettement plus puissants contre les menaces émergentes. Le correctif virtuel fait depuis longtemps partie intégrante des déploiements de pare-feu d’application Web (WAF), mais la dynamique des menaces qui l’entoure a évolué. Les derniers modèles IA de pointe sont capables de détecter et d’exploiter les vulnérabilités plus rapidement que la livraison d’un correctif par la plupart des entreprises à travers les phases de développement et de test.

La combinaison de BIG-IP Advanced WAF et de F5 Distributed Cloud Web App Scanning applique un patch virtuel au niveau de la couche de diffusion des applications dès qu’une vulnérabilité est identifiée. Ce correctif fonctionne en temps réel, tandis qu’un correctif logiciel suit les cycles de développement et de test. Pour M. Moses, le patch virtuel est davantage un outil destiné à la fenêtre de correction qu’un substitut à la correction du code sous-jacent. « C'est un outil à ajouter à son arsenal, et il peut s'avérer très puissant, selon la rapidité ou la lenteur relative avec laquelle l’entreprise met en œuvre ses correctifs », a affirmé le responsable.