Examen et alternatives du WAF de Signal Sciences
Sciences du signal déploie des politiques de pare-feu de pointe pour sécuriser les applications et services cloud contre une multitude de menaces.
Comment fonctionnent les sciences du signal ?
Plutôt que de mettre en place une configuration compliquée, Signal Sciences a simplifié ce processus en demandant à ses clients de modifier leur DNS pour diriger le trafic applicatif entrant vers leur moteur cloud. Vous pouvez également exécuter le WAF sur site, ce qui nécessite l'installation d'un agent et plusieurs étapes supplémentaires de configuration.
À partir de là, le trafic entrant est analysé, identifié et éventuellement transmis au client-serveur s'il est jugé légitime. Cette approche de configuration d’un WAF est considérablement plus rapide que la plupart des procédures d’intégration trouvées dans les solutions plus anciennes.
Il permet une protection dans une grande variété d'environnements, notamment les conteneurs, les environnements hybrides et les configurations cloud standard. L'application et le langage de programmation n'ont pas d'importance, car Signal Sciences peut rediriger le trafic depuis AWS, Microsoft Azure ou Google Cloud. Si votre serveur reçoit du trafic HTTP, il fonctionne avec Signal Sciences.
Signal Sciences WAF est totalement sans agent car il fonctionne dans le cloud pour appliquer des ensembles de règles gérés et personnalisés au trafic de vos applications. Les protections s'étendent au-delà du Top 10 de l'OWASP et incluent la défense contre les attaques de botnets, les piratages de comptes, le credential stuffing, les abus d'API et l'atténuation des attaques DDoS.
Le blocage et l'analyse automatiques sont appliqués au moteur cloud de Signal Sciences qui traite près de 200 milliards de requêtes par semaine. Alors que les anciens produits WAF nécessitent un réglage de signature pour exclure les faux positifs, Signal Sciences SmartParse élimine pratiquement les détections incorrectes. Un nombre impressionnant de 95 % de leurs clients exécutent Signal Sciences WAF en mode de blocage complet.
Gagner en visibilité sur votre WAF peut être effectué à partir d’une seule console de gestion intégrée directement au WAF. Cela fournit des capacités de reporting en temps réel, des données historiques sur les menaces et des rapports à partir du même outil sans avoir besoin de plugins ou de connexions tiers.
Fonctionnalités des sciences du signal
La puissance derrière la manière dont Signal Sciences protège ses utilisateurs réside presque entièrement dans son système propriétaire SmartParse. Bien qu'une grande partie du fonctionnement de ce système ne soit pas documentée publiquement, nous pouvons supposer qu'il utilise un certain niveau d'intelligence artificielle et d'analyse comportementale non seulement pour surveiller le trafic, mais aussi pour comprendre le contexte à partir duquel il a été envoyé. Cette approche vise à simplifier le processus de configuration du WAF et à fournir un service plus « configurez-le et oubliez-le » pour les clients de Signal Sciences.
Comme l’essentiel du travail est effectué dans le cloud, les utilisateurs peuvent configurer leurs WAF à l’aide de Power Rules. Ces règles peuvent être exécutées sans langages de script compliqués ni modifications d'expression régulière. Power Rules agit comme un pont convivial qui rend l'association d'une condition d'entrée avec une action de sortie simple et intuitive.
À partir d'un simple menu déroulant, vous pouvez définir vos propres signaux et choisir parmi un certain nombre d'entrées différentes telles que le chemin, la méthode, l'agent utilisateur ou le paramètre de requête. Bien que vous puissiez créer vos propres flux de travail et règles, Signal Sciences propose une suite de modèles que vous pouvez utiliser pour vous défendre contre tout, des tentatives de piratage de compte à l'activité des robots.
Pour un blocage plus simple, vous pouvez télécharger des listes entières de pays, d'adresses IP, de chaînes ou de caractères génériques à inclure dans votre ensemble de règles personnalisées. Bien que la fonctionnalité de listes ne prenne en charge que quatre types de données, cela facilite néanmoins l'importation de listes utilisées ailleurs dans votre organisation ou l'importation d'une liste trouvée ailleurs, comme un service de réputation IP.
La plateforme Signal Sciences adopte définitivement une approche plus proactive pour sécuriser les applications de ses clients. Alors que la plupart des WAF utilisent des règles gérées pour une configuration rapide, Signal Sciences prend en charge tout le trafic et effectue tout le tri pour vous. Cela peut parfois sembler un peu contrôlant, mais comme cela fonctionne si bien, de nombreux clients n'ont pas de problème avec cela.
L'une des fonctionnalités les plus remarquables est la possibilité de baliser vos journaux de demandes. Chaque fois qu'une menace ou une anomalie est détectée, vous pouvez configurer le WAF pour demander et envoyer des métadonnées clés et des informations d'en-tête au tableau de bord. Cela permet un examen manuel de l'événement et fournit normalement suffisamment de contexte pour soit faire remonter le problème, soit l'identifier comme un faux positif.
Les développeurs peuvent configurer des seuils qui déclenchent des actions pour bloquer et alerter le trafic suspect ou menaçant lorsqu'il tente de contacter le serveur Web. Cela peut être défini à la fois sur alerte et sur blocage, ou simplement appliquer un blocage une fois cette limite dépassée. Vous pouvez affiner vos seuils et vos alertes pour vous assurer qu'aucun membre de votre équipe ne soit inondé de demandes de faux positifs.
Lorsque les seuils sont dépassés, des alertes peuvent être envoyées par e-mail ou par notifications push à des applications telles que PagerDuty, Datadog, Slack ou Splunk. Ce type d'intégration flexible facilite l'intégration de Signal Sciences à votre infrastructure de sécurité applicative actuelle.
Facilité d'utilisation
Lorsque l’on compare le WAF de Signal Sciences au fonctionnement des WAF existants, il n’y a vraiment aucune comparaison. Signal Sciences élimine le besoin d'installation et de configuration compliquées, ainsi que le réglage manuel ou l'importation de signatures et de politiques utilisées pour des ensembles de règles et une détection plus primitives.
Vous pouvez même affirmer que Signal Sciences WAF est plus facile à utiliser que certains des produits WAF les plus compétitifs tels que Cloudflare ou AWS WAF. Tout au long du processus de configuration, il est clair que l’un des principaux objectifs du produit est de rationaliser autant que possible la configuration et la mise en œuvre. Le fait qu’un simple changement de DNS puisse vous permettre d’être opérationnel sur leur version cloud le place déjà en tête ou sur la majorité des alternatives existantes.
Même l'installation de Signal Sciences en tant que solution sur site semblait plus facile que des solutions similaires telles qu'AWS WAF. Lors des tests, j'ai constaté que l'installation dans le cloud prend environ cinq minutes, alors que l'installation sur site prend environ 10 à 15 minutes.
Parfois, les produits qui tentent d’améliorer l’expérience utilisateur finissent par placer leurs clients dans une boîte de limitations et de modèles. Avec Signal Sciences, ce n’est pas le cas. Bien qu’il existe un certain nombre d’assistants et d’ensembles de règles gérés qui vous aident à démarrer, vous n’avez jamais l’impression d’être limité d’un point de vue technique. Même avec des règles gérées, vous pouvez toujours obtenir des résultats précis et choisir le fonctionnement de ces règles ou les désactiver complètement.
Il y a des moments où Signal Sciences a presque l’impression d’être « fait pour vous », ce qui m’a d’abord rendu un peu sceptique. Avec 95 % des clients de Signal Sciences fonctionnant en mode de blocage complet, j'avais prévu au moins quelques faux positifs lors des tests, mais j'ai été agréablement surpris.
La visualisation des événements de sécurité en temps réel et historiques peut être facilement effectuée via le tableau de bord d'analyse. Une grande partie du filtrage et du tri semble intuitive et similaire à d’autres interfaces cloud populaires. Le marquage des événements et la configuration de l'ensemble de règles personnalisées peuvent nécessiter quelques essais et erreurs pour être définis correctement, mais avec une fonction de test intégrée, vous pouvez toujours être sûr que vous publiez des politiques de sécurité solides.
Dans l’ensemble, Signal Sciences ouvre définitivement la voie en matière de simplification de la configuration et de la gestion du WAF.
Intégrations
Signal Sciences classe les intégrations d'alertes en deux types : les intégrations d'entreprise et les intégrations de sites. Les intégrations d'entreprise sont conçues pour vous informer, vous ou votre équipe, des activités qui se déroulent du côté administratif de votre WAF Signal Sciences. Cela inclut les modifications apportées aux paramètres, aux sites et aux utilisateurs. Cela peut être utilisé pour ajouter une couche de protection supplémentaire à votre environnement ainsi que pour créer un audit des modifications que vous et votre équipe apportez.
Actuellement, les intégrations d'entreprise prennent en charge les alertes par e-mail, Microsoft Teams et Slack.
Les intégrations de sites sont faites pour vous tenir informé des événements qui se déroulent sur des sites spécifiques de votre WAF. Cela peut inclure des alertes de seuil, des événements de marquage IP, des modifications des ensembles de règles et des modifications des paramètres au niveau du site. Vous trouverez ci-dessous une liste des intégrations actuellement disponibles.
- Chien de données
- Webhooks génériques
- JIRA
- Liste de diffusion
- Équipes Microsoft
- OpsGénie
- Service de téléavertisseur
- Suivi pivot
- Mou
- VictorOps
En plus des simples alertes, Signal Sciences WAF prend en charge d'autres intégrations de flux de travail significatives pour 40 autres produits et services. Par exemple, Signal Sciences peut se connecter à Palo Alto ou Cisco Threat Response pour exécuter des réponses automatisées aux incidents ou stocker et compresser vos données de journal pour une analyse à long terme.
La gestion de l'identité et des accès client (CIAM) peut être mise en œuvre via des intégrations de fournisseurs par des sociétés comme Cloudentity ou Ambassador Edge Stack. Enfin, Signal Sciences prend en charge l'intégration PaaS via VMware Tanzu (anciennement Pivotal).
Cela donne aux équipes qui travaillent dans le cloud la possibilité d'importer Signal Sciences WAF sous forme de pack de construction directement dans la plateforme Pivotal Cloud Foundry, ou via une option de déploiement dans Pivotal Container Service.
Signal Sciences WAF est une solution de sécurité assez globale. Vous aurez peut-être besoin de données analytiques supplémentaires au-delà de la barre des 30 jours. Pour cela, une intégration à un SIEM ou autre plateforme de stockage tierce serait nécessaire.
La chasse aux menaces est possible grâce à Signal Sciences, mais vous constaterez peut-être que votre solution SIEM existante est mieux adaptée à cette tâche. Dans la plupart des cas, une intégration API peut déplacer en toute sécurité ces journaux, ainsi que toutes les balises que vous avez appliquées à cet autre système.
Tarifs
Actuellement, Signal Science ne rend pas ses tarifs publics, mais il explique comment son WAF réduit les coûts dans la plupart des environnements.
Signal Science réduit considérablement les coûts en tirant parti de sa technologie SmartParse, qui élimine efficacement le besoin de frais de service gérés ainsi que d'installation et d'intégration coûteuses. En utilisant l’intelligence artificielle, il n’est pas nécessaire d’ajuster les règles ou de configurer manuellement les paramètres de correspondance de modèles.
Il est sûr de dire que si vous payez actuellement des frais de service gérés pour l’installation et la gestion des règles, vous constaterez que le prix de Signal Sciences WAF est considérablement inférieur à celui que vous payez actuellement. Il semblerait que sa solution WAF coûte souvent un tiers à la moitié du coût des modèles de tarification WAF plus traditionnels.
Pourquoi choisir Signal Sciences WAF ?
Signal Sciences WAF s'avère être à la pointe de la technologie de détection des menaces, tirant parti de l'intelligence artificielle propriétaire pour arrêter les menaces et exécuter des mesures correctives automatiques.
L’utilisation de l’IA dans ces contextes contribue à réduire les coûts, et ces économies sont finalement répercutées sur le client. Avec sa combinaison de conception intuitive, de mise en œuvre rapide et de tarification évolutive, Signal Sciences WAF est l'une des offres les plus compétitives du marché aujourd'hui.
Alternatives aux sciences du signal
Si vous souhaitez comparer Signal Sciences WAF à une liste d’alternatives, ne cherchez pas plus loin. Si vous êtes toujours à la recherche du meilleur pare-feu pour applications, n'oubliez pas de consulter notre meilleurs pare-feu d'applications Web poste.
Vous trouverez ci-dessous une liste restreinte d’autres WAF comparables à Signal Sciences :
- Pare-feu d'applications Web gérées AppTrana Cette solution WAF est livrée avec sa propre équipe de sécurité entièrement gérée et propose des politiques de sécurité personnalisées, des SLA contractuels et une assistance 24h/24 et 7j/7.
- WAF Cloudflare Tire parti de sa vaste infrastructure basée sur le cloud pour créer des ensembles de règles et des politiques puissantes avec une relative facilité grâce à des tableaux de bord et des assistants intuitifs.
- Pare-feu d'applications Web avancé F5 Utilise des défenses proactives contre les botnets, des analyses comportementales et un cryptage de la couche application pour défendre vos services contre les menaces et sécuriser les communications entre vos systèmes auxiliaires.
- Pare-feu d'application Web StackPath Un produit de pare-feu basé sur le cloud qui inclut une tarification compétitive basée sur l'utilisation en conjonction avec une suite de services de protection et de périphérie.
- Pare-feu d'applications Web Barracuda Barracuda propose trois offres WAF qui offrent une protection adéquate contre les menaces et une multitude de mesures correctives automatisées. Les solutions incluent des services sur site, basés sur le cloud et sous forme de services gérés.
- NGINX App Protéger WAF Tire parti de l’automatisation pour réduire les coûts et éliminer les goulots d’étranglement que l’on retrouve couramment dans les règles de flux de travail. Comprend une suite de contrôleurs de sécurité non perturbateurs que les développeurs peuvent utiliser dans les environnements DevOps.