Firewall’s normais ou modernos e sistemas de prevenção de intrusão não fornecem proteções suficientes para a maioria dos sites voltados ao público ou aplicações Web personalizadas e críticas para os negócios internos de empresas e todos os negócios que envolvem a web. Explicamos como os Web Application Firewall’s podem ajudar os gestores de segurança a proteger melhor esta parte dos sistemas da empresa que ficam expostos à grande rede.
Uma breve análise
No final dos anos 90, a maioria das empresas não estavam usando WAF’s para proteger seus servidores Web e suas aplicações. Firewall’s foram a melhor prática, a detecção e prevenção de intrusão ainda estavam amadurecendo. A relativamente baixa complexidade dos aplicativos Web não eram motivos suficientes para justificar um investimento adicional, e os atacantes ainda não tinham motivos financeiros.
Desde então, as aplicações Web se tornaram mais complexas, contando com linguagens mais avançadas, como HTML5, Java, JavaScript, PHP e para “aplicação de interface rica” (Rich Interface Application ou RIA em inglês), framework’s extensos e bibliotecas de terceiros complexas. Os falsos positivos e hits de desempenho decorrentes de proteções que contavam com tráfego-padrão tornou-se um problema real. Fornecedores de IPS’s tendo que desativar a maioria das assinaturas de proteção de aplicações Web por padrão para reduzir esses problemas. Organizações do tipo A perceberam a necessidade de uma nova abordagem para a segurança de aplicações Web, e adicionaram WAF’s às suas carteiras de produtos.
Em 2008, o PCI Security Standards Council (PCI SSC) lançou o Padrão de Segurança de Dados PCI (PCI DSS) 1.2 com um requisito de atualização atual de versão 6.6, o que permitiu os WAF’s surgirem como uma alternativa viável para avaliações de vulnerabilidades em aplicações Web.
O requisito do PCI tem dado um impulso adicional para o mercado de WAF’s, ajudando-o a expandir para além de casos de uso do próprio nicho, especialmente em organizações financeiras e bancárias.
Infelizmente, muitas empresas e fornecedores WAF usam um baixo padrão de conformidade PCI como meta e não procuram mais do que uma auditoria bem-sucedida.
Bom a segurança de aplicativos Web exige mais do que uma boa abordagem na seleção da “caixa que irá proporcionar a segurança”. A maioria dos WAFs pode fornecer a marca de verificação PCI, mas, como a história muitas vezes nos faz lembrar, o cumprimento não é automaticamente equivalente com boa segurança.
Avaliações competitivas para as tecnologias WAF ainda são complicadas e exigem uma prova longa de conceito, porque nomes de funcionalidades semelhantes mascaram discrepâncias significativas na profundidade da segurança. Uma vez em produção, WAF’s continuam a exigir um acompanhamento atento para oferecer um alto valor.
Esta pesquisa abrange os principais recursos da tecnologia WAF, explica as opções de implantação e fornece diretrizes de seleção. Ele irá ajudar os líderes de segurança responsáveis por projetos de segurança de aplicativos Web para entender melhor os benefícios e desafios da implementação de um WAF.
A tecnologia
Firewalls de aplicações Web protegem servidores Web e aplicações Web hospedadas contra ataques na camada de aplicação (Layer 7) e ataques “nonvolumetric” na camada de rede. Ele pode ser implementado como um agente endpoint no servidor Web, um dispositivo de rede software ou hardware, um módulo de software hospedado em um controlador de entrega de aplicativos, um dispositivo virtual ou um serviço na nuvem.
Ataques web demandam mais que assinaturas
Ameaças contra aplicações Web estão bem documentadas. O projeto Open Web Application Security Project (OWASP) Top Ten ou Top10, Exploit-DB, Securityfocus dentre outras organizações, Referenciam elementos que podem ajudar a aumentar a conscientização sobre o cenário de ameaças, proporcionando a justificativa da necessidade de tecnologia dedicada a segurança de aplicativos Web. No entanto, as equipes de segurança muitas vezes não conseguem explicar como WAF’s podem fornecer uma proteção mais específica, especialmente desenvolvidos para a proteção aplicativos Web, diferentes de NGFW’s e IPS’s.
Firewall’s e IPS’s fornecem assinaturas, principalmente contra injeções de SQL (SQLi) ou cross-site scripting (XSS), mas não incluem funcionalidades mais avançadas que as tecnologias WAF podem oferecer, tais como:
- “Patching virtual”: O nome é um exagero. O WAF pode aproveitar os dados dos testes dinâmicos de segurança na aplicação ou dynamic application security testing (DAST) realizados por ferramentas para sugerir ou permitir controles/assinaturas adicionais para proteção contra as ameaças detectadas. O nível de valor fornecido depende da qualidade da ferramenta de avaliação de vulnerabilidade utilizada.
- A política de aprendizagem automática: O mecanismo de segurança WAF ouve solicitações HTTP/Response para domínios Web configurados, cria um mapa de URL’s e seus parâmetros, em seguida, sugere a aplicação de whitelist’s apropriadas (muitas vezes chamado-se modelo de segurança ativo).
- Contextualizada inspeção de tráfego Web: WAF’s incorporam mecanismos de inspeção dedicados para protocolos e linguagens da Web, para realizar a decodificação de tráfego e normalização antes de aplicar em contexto de inspeção de segurança. Isso melhora a eficácia da defesa de vulnerabilidades e ataques Web.
- Anti-automação: Isso distingue humanos reais de clientes automatizados que interagem com um aplicativo da Web.
- Defesa lógica do negócio: WAFs monitoram sessões de usuários para detectar ataques que exploram as transações comerciais, que tem por objetivo realizar atividades maliciosas que interrompem uma prática comercial normal.
- Anti-DDoS: WAF’s podem incluir a proteção contra-alvos de aplicativos de negação de serviço distribuída (DDoS), mas não podem atenuar ataques volumétricos. Fornecedores com uma oferta em nuvem, como o XLabs Web Application Firewall por exemplo, muitas vezes fornecem anti-DDoS como diferencial em suas soluções aos seus clientes que utilizam WAF’s.
Recomendações
Principais desafios aos gestores de segurança da informação nas empresas:
Avaliar a Conformidade com o PCI-DSS.
Avaliar a necessidade de firewall’s de aplicações Web, com base no impacto nos negócios de cada aplicação Web exposta, não importando qual for o cliente, funcionário ou cliente da empresa, em vez de proteger apenas aplicações Web voltadas ao público.
Avaliar e implementar a tecnologia WAF, em combinação com outras tecnologias e alternativas de segurança, tais como testes de segurança de aplicações e práticas de programação segura.
Avalie a implantação e qual os casos de utilização são aceitáveis para a sua organização, compreender os desafios específicos para cada um sistema web.
WAF’s na nuvem (em cloud) são ótimos pois a realização de ajustes da configuração inicial durante o período de aprendizagem podem ser efetuados por equipes de Centros de Operações em Segurança capacitados. Os SOC’s além de efetuar os ‘ajustes finos’ continuamente atualizam as configurações do WAF para obter os melhores benefícios da tecnologia.
O que os gestores precisam saber
WAF’s são implantados na frente de servidores Web, e incluem técnicas de proteção especiais dedicadas à proteção de aplicações Web específicas. WAF’s combinam modelos de segurança passivos (que protegem contra ataques conhecidos) e ativos (fazem a entrega de tráfego legítimo somente) para detectar e proteger contra ataques em aplicações Web e reduzir o risco de falsos positivos.
Os profissionais de segurança às vezes confundem WAF’s com NGFW’s (Firewall’s de nova geração), ou a estimativa de que WAF’s não trazem valor suficiente para justificar o custo, quando comparado com IPS’s. Organizações já equipadas com firewall’s e IPS’s podem ver WAF’s como um investimento exponencial para benefícios incrementais. No entanto, proteções de IPS contra vulnerabilidades Web são baseadas em assinaturas de vulnerabilidades conhecidas.
Sites corporativos e aplicações Web que transportam as operações críticas de empresas e negócios, como exemplo uma folha de pagamento, ou transações de internet banking e encomendas de comércio eletrônico, muitas vezes incluem uma combinação de código personalizado, com vulnerabilidades auto-infligidas e componentes de terceiros.
CIO’s não podem decidir deixar servidores web críticos intocados por medo de falsos alertas ou interrupções de serviço, porque linguagens Web complexas (HTML5, JavaScript) dão aos atacantes alvos atraentes.
Gestores de segurança devem considerar investir em WAF’s, complementando com testes de segurança em aplicativos e proteger o desenvolvimento de seus códigos se sua organização possui websites ou aplicações críticas abertos para a internet.
Conclusões
Firewall’s de Aplicações Web (WAF’s) são diferentes dos firewall’s de nova geração (NGFW’s ou Next Generation Firewall) e sistemas de prevenção de intrusão (IPS’s ou Intrusion Prevention System).
WAFs protegem em um nível especial aplicativos da Web, tanto os conhecidos como também os personalizados de empresas contra ataques na internet.
Mesmo quando NGFWs e IPSs são implantados, o WAF é muitas vezes a única tecnologia que inspeciona o tráfego da Web de entradas criptografadas e não criptografadas.
Equipes que entendem como um WAF trabalha e como ele realiza suas tarefas é um fator crítico na decisão de você empregar um WAF. Evitar falsos alertas (“falsos positivos”), em particular, requer atenção específica de um profissional capacitado.
Empresas tendem a concentrar os seus esforços sobre o cumprimento do WAF em proteger os aplicativos Web personalizados voltados para o público, mas os aplicativos internos muitas vezes são negligenciados, porém são igualmente importantes.
Também não podemos de deixar de mencionar nossa tecnologia desenvolvida 100% nacionalmente, ao qual defende na nuvem aplicações web, API’s Web, websites e demais sistemas baseados em web: o XLabs Web Application Firewall, que é capaz de aplicar todos os benefícios de um WAF na nuvem, trazendo estabilidade, segurança e alto padrão de criptografia HTTPS/SSL para seu sistema web.
Relativo a