F5XC – La connectivité Multi-Cloud

 

La Connectivité Multi-Cloud (MCN) est déjà déployé dans la plupart des entreprises, bien qu'elles ne connaissent pas encore ce concept. La plupart des entreprises ont des services dans leur propre centre de données, mais elles ont également des services dans le cloud public ou même des services en tant que SaaS. Si nous voulons sécuriser tous ces services, où qu'ils se trouvent, avec F5XC WAAP, nous devons savoir comment connecter tous les sites du client au réseau mondial F5.

Si nous nous concentrons uniquement sur le WAAP, il est important de comprendre MCN car MCN peut créer plusieurs emplacements, ce qui est le fondement du Web. Une fois que nous comprenons MCN, nous pouvons étendre cette technologie au client. Par conséquent, nous devons comprendre comment connecter des applications et sécuriser ces applications. Ceci est également appelé MCN sécurisé.

F5XC - La plateforme

 

Les Connectivité Multi-Cloud proviennent de Gartner en tant que multi-sites. Nous pouvons avoir un cloud public, des fournisseurs SaaS, un cloud privé et des périphéries, où une périphérie est quelque chose que nous déployons à côté de l'application. Par exemple, un chargeur Teslas. Tous ces emplacements peuvent être sécurisés par F5XC WAAP car les utilisateurs vont accéder aux applications via le F5 SaaS, où les requêtes malveillantes sont bloquées et les bonnes requêtes sont autorisées.

 

Connectivité, mise en réseau et sécurité multi-cloud simplifiées

Aujourd'hui, la plupart des clients disposent déjà d'une solution pour sécuriser leurs services web. Cependant, si nous voulons protéger leurs services avec F5XC, nous devrons connecter F5XC avec eux. Le réseau mondial F5 a un peering avec la plupart des fournisseurs de services tels qu'AWS, Azure ou GCP, et, par conséquent, il est vraiment facile de connecter votre centre de données avec le F5XC. En fait, il existe de nombreuses façons de connecter votre centre de données avec F5XC. On peut utiliser le peering BGP mais aussi VPN IPsec, SD-WAN, etc. Par conséquent, la connectivité ne sera pas un problème.

Connectivité privée à F5XC

 

Il existe deux façons de lancer MCN. Le très traditionnel sur le côté gauche, qui s'appelle Network Connect. Un App Connect très puissant, qui se trouve sur le côté droit et qui est similaire à un F5 BIG-IP ADC. Sur le côté gauche, nous allons connecter les réseaux entre eux. VNET vers un VLAN ou un VPC. Cependant, F5XC est plus fort du côté droit où nous connectons les applications. F5XC ne connecte pas de sous-réseau ou de VPC, mais des applications.

Connexion des réseaux et des applications via F5XC

 

F5XC Network Connect est développé via des sous-réseaux, des adresses IP, un routage dynamique ou statique, etc. Lorsque nous publions sur la console F5 SaaS une application sur Internet, les demandes des utilisateurs passent par le réseau mondial F5 et ces demandes passent à différents endroits tels que le cloud public, le cloud privé ou la périphérie. Il y a une seule fenêtre où nous configurons les services et ils sont automatiquement exposés et publiés au bon endroit.

F5XC Network Connect

 

F5XC App Connect est développé à travers des ressources. Par exemple, si nous avons une application qui a trois ressources, nous pouvons avoir chaque ressource à un emplacement. Nous allons configurer les ressources depuis la console F5 SaaS. Nous ne nous soucions pas des adresses IP, du routage ou du sous-réseau. Nous n'avons qu'à configurer les ressources. C'est ça ! C'est vraiment simple et facile.

F5XC App Connect

Envisagez-vous de vous connecter à F5XC ? Comment ? F5XC Network Connect ou F5XC App Connect ?

Connectivité Multi-Cloud

La mise en réseau multi-cloud ou Multi-Cloud Networking (MCN), en tant que technologie, vise à fournir une connectivité réseau facile entre les environnements cloud. Aux fins de la définition, nous devons imaginer notre centre de données comme un cloud. Vous pouvez vaguement définir un environnement cloud comme "partout où vous exécutez des charges de travail". Les clouds sont de toutes formes et de toutes tailles, du "fonctionnement sur Pi" à AWS / GCP / Azure. MCN est aux nuages, ce qu'Internet est au réseau.

AWS Direct Connect, Azure ExpressRoute et Direct Link de GCP étaient les premières formes de MCN, visant à joindre des parties de leurs propres clouds avec les centres de données des clients. L'insertion d'appliances virtuelles de transport dans les nuages est devenue un autre mécanisme pour MCN au fil du temps.

La principale préoccupation devrait être l'évolutivité, à tous points de vue. Nous devons nous préoccuper de l'échelle du routage, des licences, des coûts de cloud mesurés, sans parler des connaissances nécessaires pour comprendre toutes les nuances de chaque fournisseur de cloud et bien d'autres choses encore. Tout cela représente des frais généraux opérationnels, qui peuvent être importants.

L'adressage IP est un autre défi de taille. Son volume est une chose. Quiconque travaille aujourd'hui avec des applications modernes peut nous dire qu'il est parfois difficile de trouver une charge de travail, compte tenu de l'ampleur des choses. Le DNS est une option possible pour aider, mais nous devons tenir compte de toutes les charges de travail cloud natives, avec leurs différentes interfaces DNS.

Le plus grand avantage est vraiment le transit multi-cloud. Comprendre autant de technologies différentes et nouvelles est une tâche ardue. Avec le transit multi-cloud, les centres de données transitent par les mêmes routeurs SDN que vos flux d'applications cloud, ce qui vous permet de voir chaque fournisseur de cloud comme une ressource mesurée pour la consommation des applications. Inutile de vous soucier de l'adressage, du DNS ou du routage pour chaque environnement.

Un autre avantage substantiel est l'activation d'un modèle de sécurité partagé. Lorsque vous pouvez acheminer entre ces environnements, vous pouvez également agréger facilement les journaux, intégrer les SIEM et gérer facilement les politiques de sécurité automatisées.

En résumé, MCN donne à nos réseaux d'applications modernes la flexibilité de croître à la demande et d'assimiler de nouveaux segments de réseau d'applications en quelques minutes au lieu de plusieurs mois.

En fin de compte, les conceptions que nous pouvons créer avec lui sont tellement plus évolutives et traduisent tout, des centres de données physiques aux nuages, de manière propre et facile à gérer.

Où avez-vous vos charges de travail ?

Bots revendeurs : comment fonctionnent-ils ?

Chaque fois qu'il va y avoir un concert important, comme le concert de Taylor Swift, ou qu'un produit exclusif va sortir, comme la PS5, les revendeurs développent leurs bots pour acheter tous les billets, ou produits, dès que possible pour les revendre à un prix plus élevé sur Internet. C'est leur affaire, améliorer leurs bots afin qu'ils soient indétectables par les contrôles de sécurité et pouvoir acheter le plus rapidement possible. Aujourd'hui, je vais écrire sur les techniques utilisées par les revendeurs lorsque leurs bots sont bloqués par les technologies AntiBot.

Les bots supposent souvent qu'ils sont bloqués en fonction de leur adresse IP, donc la première étape pour de nombreux bots revendeurs est de changer d'IP. Limiter initialement le volume par adresse IP, puis changer les ASN, et enfin leur géolocalisation (pays) au cas où le blocage géographique serait utilisé. En cas d'échec, les bots essaieront de changer de classe d'ASN. Au départ, ils peuvent utiliser des ASN d'hébergement ou internationaux et, en cas d'échec, ils se déplacent vers des ASN dans le même pays que la cible et commencent à utiliser un grand nombre d'IP résidentielles avec de faibles volumes de transactions par IP.

Si la randomisation des ASN et des IP ne réussit pas, la prochaine chose que les revendeurs changeront est l'en-tête de l'agent utilisateur (UA). Cependant, des en-têtes tels que user-agent peuvent être utilisés pour suivre, limiter et bloquer les bots. Par conséquent, les revendeurs généreront un grand nombre de chaînes UA réelles ou fausses et utiliseront chacune pour très peu de transactions dans l'espoir que cela contournera les contrôles d'atténuation.

Lors du changement d'adresses IP, d'ASN et d'UA, l'acteur sophistiqué se rend compte qu'il doit y avoir quelque chose d'autre sur lequel il est suivi et atténué. Les cookies deviennent la prochaine chose qu'ils regardent. Ils rejetteront ou supprimeront les cookies après chaque transaction ou exécuteront leur bot en mode incognito.

À ce stade, lorsque rien n'a fonctionné, le revendeur teste manuellement le site pour s'assurer que le site est réellement réactif et non hors ligne. Un test manuel réussi indique au revendeur que le site fonctionne et que le problème est que son bot est en quelque sorte détecté. L'acteur sophistiqué capturera et inspectera ensuite la transaction manuelle réussie et recherchera les différences entre cette demande et celle générée par le bot.

Après avoir identifié certaines différences dans les cookies, les jetons, les paquets de données cryptés ou d'autres paramètres de demande, le revendeur copiera simplement ces éléments à partir de la transaction manuelle réussie et les joindra aux demandes du bot.

Lorsque cela ne donne pas les résultats requis, le revendeur essaiera de randomiser ces nouveaux cookies, jetons ou paramètres dans l'espoir que cela contournera toutes les limites de débit qui leur sont imposées.

Lorsque tout le reste échoue, le revendeur conclura que les cookies, les jetons ou d'autres paramètres peuvent être signés numériquement et doivent donc être générés par le site Web à chaque fois. À cette fin, ils autoriseront leur bot à exécuter tous les scripts JS et autres sur la page pour essayer de générer de manière authentique les cookies, jetons ou autres paramètres manquants.

Aimez-vous déployer une technologie AntiBot dans votre entreprise ?

ChatGPT pour les CISOs

Je n'avais pas utilisé ChatGPT jusqu'à ce qu'un collègue me dise que c'était une technologie intéressante pour traduire un code Apache en F5 iRule. J'avais besoin de migrer un fichier de configuration de serveur Web Apache vers F5, et ChatGPT m'a aidé à le faire. Depuis, je l'utilise pour de nombreuses tâches. En fait, la semaine dernière, j'étais dans un webinaire SOCRadar où ils nous montraient comment utiliser ChatGPT pour CISO. C'était un webinaire intéressant pour tirer parti de cette technologie d'IA pour les fonctions de CISO.

ChatGPT peut aider les CISO de plusieurs manières. L'analyse des vulnérabilités en fait partie, car cette technologie d'intelligence artificielle peut automatiser ce processus, en analysant les réseaux et les systèmes à la recherche de vulnérabilités et en fournissant aux CISO des rapports détaillés sur tous les problèmes détectés. Cependant, il est également très intéressant pour la réponse aux incidents, la surveillance de la conformité, la formation des employés, la détection automatisée des menaces, la détection des logiciels malveillants et bien d'autres. Le plus important est de savoir l'utiliser pour le bon devoir.

Il existe de nombreux cas d'utilisation de ChatGPT sur Internet et il y en a aussi beaucoup sur la cybersécurité. Par exemple, il existe de simples scripts Python, qui utilisent ChatGPT, pour obtenir des informations sur les menaces afin de rechercher des mots-clés sur le Deep Web et les forums de pirates. Cependant, ChatGPT est également utile, grâce au chatbot alimenté par l'IA, pour la réponse aux incidents, car il peut traiter une grande quantité de données provenant de plusieurs sources pour fournir une alerte en temps réel pour les menaces ou attaques potentielles.

La plupart d'entre nous se demandent comment mettre en œuvre la technologie d'IA de ChatGPT dans les entreprises ? C'est vraiment facile. D'une part, nous devons évaluer les besoins de l'entreprise en matière de cybersécurité et identifier les domaines dans lesquels ChatGPT peut être utile. D'autre part, nous devons personnaliser la solution pour répondre aux besoins spécifiques de l'entreprise. En fait, il existe de nombreuses applications qui utilisent ChatGPT. Par conséquent, nous devons trouver le meilleur pour les besoins de l'entreprise.

L'utilisation de ChatGPT dans les entreprises présente de nombreux avantages, mais il existe également des risques que nous devons prendre en compte. Peut-être que la préoccupation la plus dangereuse aujourd'hui concerne la confidentialité et la sécurité des données, car ChatGPT peut traiter des données sensibles et les entreprises doivent s'assurer qu'elles respectent les législations. L'intégration avec les systèmes existants ou les considérations éthiques sont également des défis dans les organisations.

Aujourd'hui, de nombreuses entreprises de cybersécurité intègrent la technologie de l'IA dans leurs produits et services. SOCRadar est l'un d'entre eux qui utilise l'IA pour détecter et répondre aux cybermenaces en temps réel afin de prévenir de manière proactive les cyberattaques. CrowdStrike fournit une protection des terminaux à l'aide d'algorithmes d'IA. Cylance est une autre entreprise qui utilise un antivirus basé sur l'IA avec apprentissage automatique pour identifier et prévenir les cybermenaces. FireEye utilise également l'IA pour identifier et répondre aux cyberattaques. Comme vous pouvez le constater, de nombreuses entreprises utilisent aujourd'hui la technologie de l'IA.

Pour résumer, ChatGPT peut nous aider à maximiser le potentiel de cybersécurité en fournissant des renseignements sur les menaces en temps réel, une réponse aux incidents et une sensibilisation à la sécurité. En mettant en œuvre ChatGPT, nous pouvons garder une longueur d'avance sur les cybermenaces potentielles et minimiser l'impact potentiel d'une cyberattaque.

Déployez-vous des technologies d'IA dans votre organisation ?

WebGoat - Segunda parte

La semana pasada se publicó « WebGoat – Primera parte » donde se explicó y se desmostró cómo explotar algunas de las vulnerabilidades web más graves y críticas según OWASP Top 10. En esta segunda parte, como os prometí, vamos a ver más vulnerabilidades y cómo explotarlas mediante un pequeño video. Espero que sea útil para todos porque, desde mi punto de vista, esta es la mejor manera de aprender y comprender las principales vulnerabilides utilizadas maliciosamente por Internet.

Insecure login : En este ejemplo veremos una situación en la que las credenciales de inicio de sesión de un usuario no se transmiten de forma segura, lo que podría permitir a un atacante interceptar y robar esas credenciales. Cuando un usuario inicia sesión en una aplicación web, por lo general se requiere que ingrese un nombre de usuario y una contraseña. Estas credenciales se envían al servidor para su verificación y, si son correctas, se otorga al usuario acceso a la aplicación. Sin embargo, si las credenciales se transmiten de forma no segura, un atacante podría interceptarlas y utilizarlas para obtener acceso no autorizado a la aplicación. Esto podría permitir al atacante acceder a la información confidencial o realizar actividades maliciosas en nombre de usuario legítimo.

 

Without account : En este ejemplo veremos una situación en la que un usuario puede acceder a recursos o funcionalidades de una aplicación web sin tener una cuenta válida o sin haber iniciado sesión. Esto podría permitir a un atacante obtener acceso no autorizado a información confidencial o realizar actividades maliciosas en la aplicación.

 

Without password : En este ejemplo veremos una situación en la que un usuario puede acceder a una cuenta sin necesidad de proporcionar una contraseña válida. Esto podría permitir a un atacante obtener acceso no autorizado a una cuenta y, potencialmente, acceder a información confidencial o realizar actividades maliciosas en la aplicación.

 

Espero que os haya gustado estas entradas sobre hacking ético.

Autor : Miguel Sánchez Suárez