Publié le: Feb 16, 2023
AWS WAF Fraud Control - Account Takeover Protection (ATP) peut désormais inspecter les réponses d'origine, offrant ainsi aux clients une protection supplémentaire contre les attaques par force brute et par usurpation d'informations d'identification sur leurs journaux de connexion. Jusqu'à présent, les règles ATP se limitaient à inspecter les demandes de connexion entrantes par rapport à une base de données d'informations d'identification volées, à analyser les demandes reçues au fil du temps pour détecter des traversées de nom d'utilisateur et de mot de passe, puis à agréger ces données en fonction d'identifiants uniques, tels que l'adresse IP ou l'identifiant de session. Avec cette version, les règles gérées par ATP peuvent désormais également inspecter les données de réponse des applications et bloquer les tentatives de connexion en fonction des conditions d'échec de connexion définies par le client. Cette fonctionnalité permet de se protéger contre les attaques par force brute impliquant des informations d'identification non compromises.
Vous pouvez spécifier des conditions de réussite ou d'échec en fonction des codes d'état HTTP, des en-têtes HTTP ou du corps des réponses, ainsi que des chaînes JSON. Par exemple, vous pouvez configurer ATP pour inspecter les réponses qui incluent le code de réponse HTTP 200 (condition de réussite) ou 401 (condition d'échec). Vous pouvez configurer ATP pour utiliser ces conditions de réponse comme signaux supplémentaires pour agréger le nombre de tentatives de connexion infructueuses par session ou par adresse IP. Une fois qu'un seuil prédéfini d'échecs de connexion par appareil est atteint, ATP peut bloquer les demandes suivantes pour se défendre contre les attaques par force brute. Nous recommandons vivement l'intégration au SDK d'intégration d'applications pour une utilisation optimale du groupe de règles ATP.
Vous pouvez configurer l'inspection des réponses d'origine via la console AWS WAF, les kits SDK AWS et l'interface de ligne de commande AWS. Cette fonctionnalité n'est actuellement disponible que pour les distributions CloudFront, mais la prise en charge de la protection des ressources AWS régionales est attendue ultérieurement. Bien qu'aucun frais supplémentaire ne soit associé à cette fonctionnalité, les frais ATP standard s'appliquent toujours. Pour commencer à utiliser ATP, veuillez consulter le lien de documentation ici.