As galinhas da primavera não são, mas os firewalls de aplicativos da Web (WAFs) estão crescendo em popularidade à medida que mais indústrias conectam funções críticas de negócios à Internet – e os invasores inevitavelmente seguem.
Então, o que exatamente é um WAF e quais são os benefícios e as desvantagens da ferramenta?
O que é um WAF
“Um WAF tem dois usos principais: visibilidade do tráfego de ataque HTTP (S) mal-intencionado de entrada [e] a capacidade de impedir ataques, especialmente quando um aplicativo da Web é vulnerável, até que o código subjacente possa ser adequadamente corrigido “, diz Jeremiah Grossman, CEO da Bit Discovery e fundador da WhiteHat Security.
Tradicionalmente, os WAFs existem na forma de dispositivos físicos ou virtuais e “cada vez mais são entregues a partir da nuvem, como um serviço (serviço WAF na nuvem)”, de acordo com o Gartner .
O que um WAF não é
“Os WAFs não podem ‘consertar’ vulnerabilidades de aplicativos da Web”, diz Grossman. “Isso só pode protegê-los.”
Além disso, um produto WAF pode executar uma variedade maior de tarefas do que as descritas acima – mas pode não ser.
Como explica Eric Parizo, analista sênior da Ovum, os fornecedores da WAF começaram a incorporar recursos frequentemente fornecidos por outras ferramentas, como segurança de aplicativos em tempo de execução, proteções anti-bot, serviços anti-DDoS e prevenção de abuso de API. No entanto, se você está no mercado para uma WAF, não deve assumir que todos os produtos virão com esses recursos.
Como funciona o WAF
“Semelhante a um firewall de rede que inspeciona e discrimina o tráfego com base no endereço IP e na porta, um firewall de aplicativo da Web inspeciona e discrimina com base no tráfego HTTP (S)”, explica Grossman. “Especificamente, insira dados e formato de parâmetros, dados e formato de cookies e assim por diante. … O tráfego HTTP (S) de entrada é analisado e analisado, onde o tráfego pode ser opcionalmente negado.”
“Os WAFs podem ser implantados funcionalmente em linha com um site, como uma implantação fora de banda ou como um componente de software no próprio servidor Web”, acrescenta ele.
Por que você pode querer um WAF
Embora os WAFs não “consertem” vulnerabilidades de aplicativos da Web, eles podem identificar essas vulnerabilidades e implementar controles de segurança sobre o tráfego HTTP (S) de entrada que pode causar uma ameaça a esses aplicativos vulneráveis.
Embora novas classes de vulnerabilidade estejam surgindo, as antigas vulnerabilidades de espera ainda estão fortes. Por exemplo, o movimento DevOps da empresa está inspirando os invasores a criar mais ataques baseados em API, mas os bons ataques de injeção SQL e de script entre sites ainda estão assolando as equipes de segurança.
Um WAF também pode ajudar a satisfazer as necessidades de conformidade.
“O WAF ganhou vida pela indústria de cartões de pagamento”, diz Parizo, da Ovum. Como ele explica, os WAFs realmente não começaram a pegar até o lançamento do PCI DSS 6.6, que estabeleceu novos requisitos para soluções técnicas automatizadas para proteger aplicativos da Web e apresentou WAFs como uma maneira de satisfazer a nova regra. O PCI DSS 6.6, nas palavras de Parizo, “empurrou a tecnologia como uma pedra em declive”.
Por que você deve ter cuidado com o seu WAF
Como qualquer solução de segurança, um WAF não resolverá todos os seus problemas.
Embora 75% dos entrevistados em um estudo recente da Radware , que fornece WAFs e outras soluções de aplicativos da Web na Web, tenha implantado WAFs (entre outras ferramentas de segurança de aplicativos da Web), 90% dos entrevistados, no entanto, sofreram violações relacionadas ao appsec.
Além disso, a recente violação da Capital One, que expôs dados pessoais extensivos de mais de 106 milhões de pessoas, foi habilitada por um WAF mal configurado. A violação foi supostamente perpetrada por um ex-funcionário da Amazon Web Services (AWS) que conseguiu explorar uma fraqueza em um WAF mal configurado (pela Capital One) para obter acesso aos arquivos armazenados em um banco de dados da AWS. Aparentemente, o WAF recebeu muitas permissões, o que permitiu que o invasor usasse um ataque de falsificação de solicitação do lado do servidor para explorar o aplicativo Web vulnerável.
Os erros mais comuns que as pessoas cometem ao usar / configurar um WAF
“O desafio número 1, de longe”, diz Grossman, “está subestimando o tempo de implantação e a configuração difícil e o gerenciamento contínuo do dispositivo”.
Aparentemente, o WAF da Capital One recebeu muitas permissões quando foi concedido acesso ao banco de dados da AWS.
Para evitar incidentes como esse e outros, o Dr. Richard Gold, chefe de engenharia de segurança da Digital Shadows, forneceu este conselho em uma coluna da Dark Reading: “É essencial avaliar continuamente os ambientes de nuvem para problemas de segurança, especialmente aqueles em risco de acesso externo. da Internet pública. A revisão regular das configurações do grupo de segurança pode ajudar a garantir que os serviços não sejam expostos acidentalmente e os controles de acesso sejam aplicados corretamente “.
Empresas que fornecem soluções WAF
Tradicionalmente, os fornecedores da WAF forneciam dispositivos no local – Parizo cita Imperva e F5 como exemplos – mas mais empresas estão criando ofertas WAF baseadas em nuvem – Akamai e Cloudflare, ele menciona. No entanto, várias empresas agora estão fornecendo ofertas de dispositivos e nuvem, às vezes fazendo aquisições cuidadosas. Outros participantes incluem Barracuda, Radware, Trustwave, Qualys e Signal Sciences, para não mencionar ofertas de código aberto, como o ModSec (que estava na raiz do incidente da Capital One).
De acordo com Parizo, se esses provedores WAF não oferecerem tanto dispositivos quanto ofertas em nuvem agora, e se eles não oferecerem suporte independente de nuvem , estarão indo nessa direção em breve.
“O futuro será uma combinação”, diz ele.
FONTE: DARK READING