Indsigt i Web Application Firewall Market

Er brugen af ​​en webapplikationsfirewall (WAF) en obligatorisk standard for sikring af webressourcer, eller er det et vigtigt, men valgfrit beskyttelseslag? Hvordan vælger og implementerer man en WAF? Hvad byder fremtiden på for dette marked? Fortsæt med at læse for at få svarene.

Hvad gør en webapplikations firewall?

Det er svært at forestille sig en moderne virksomhed, der ikke har brug for en WAF. Dette instrument er kun overflødigt, hvis der ikke er nogen digitale aktiver at beskytte. Det hjælper med at beskytte webressourcer, hvis de er rygraden i forretningsaktivitet, hvis de bruges til at opbevare kritiske data om medarbejdere og kunder, eller hvis de er knyttet til organisationens infrastruktur og kan blive et indgangspunkt for ubudne gæster.

En webapplikations firewall beskytter også brugerdefinerede løsninger, der bruges af virksomheder. Disse systemer indeholder ofte sårbar kode og kan udgøre en trussel mod virksomhedens sikkerhed. En WAF leverer forsvar på Layer 7 af Open Systems Interconnect (ELLER HVIS) model. Den analyserer anmodninger, som hverken traditionelle firewalls eller næste-generations firewalls (NGFW'er) kan kontrollere. Ud over at sikre en virksomheds hjemmeside beskytter den webapplikationsservere, overvåger integrationer med tredjepartstjenester og håndterer trusler, der ikke er relateret til sårbarheder, såsom DDoS-angreb.

Der er to grundlæggende forskelle mellem en WAF og andre firewalls: funktionel og arkitektonisk. Funktionelle funktioner inkluderer muligheden for at parse specialiserede formater inden for HTTP (f.eks. JSON), hvilket er noget, som NGFW og andre systemer ikke kan. Arkitektoniske karakteristika relaterer sig til den måde, det implementeres i et netværk. En webapplikationsfirewall fungerer primært som en omvendt proxy, der kun beskæftiger sig med interne applikationer.

Billedligt talt er en WAF et produkt, der forhindrer en sårbar hjemmeside fra at blive hacket. Med hensyn til placeringen er NGFW installeret ved gatewayen, mens WAF er installeret der, hvor hjemmesiden ligger.

NGFW, en almindelig firewall og et klassisk intrusion prevention system (IPS) er multiprotokol-enheder, mens en WAF er begrænset til webapplikationsprotokoller, der bruger HTTP som transport. En sådan løsning viser større effektivitet i en bestemt niche på grund af den dybere analyse af specialiserede protokoller. Det er vigtigt, at en WAF "ved" præcis, hvilke applikationer den beskytter. Det kan anvende forskellige sikkerhedspolitikker afhængigt af hvilket objekt trafikken er dirigeret til.

Er det muligt at bruge en outsourcet løsning på dette område? Dette er en holdbar tilgang, men den er ekstremt svær at omsætte i praksis. I dette tilfælde bliver virksomheden i det væsentlige udvikleren af ​​sin egen løsning og skal håndtere ikke kun dens udvikling, men også hele den tekniske supportcyklus.

Et andet vigtigt aspekt er valget mellem en on-premises implementeringsvariant og en cloud-tjeneste. Dette er i høj grad et spørgsmål om tillid til cloud-udbyderen. Markedet for webapplikationssikkerhed migrerer aktivt til skyen, hvilket betyder, at flere og flere kunder finder risiciene ved sådanne tjenester acceptable.

Det er også værd at berøre fordele og ulemper ved standard software- og hardware-WAF-værktøjssæt i forhold til deres modstykker, der kun er baseret på software. Løsninger finjusteret til specifik hardware kan fungere mere effektivt end universelle systemer, der kører på noget udstyr. Den anden side af medaljen koger ned til kundens sandsynlige ønske om at arbejde med visse hardwareplatforme, der allerede er i brug.

Spørgsmålet har også organisatoriske og bureaukratiske aspekter. Nogle gange er det nemmere for en informationssikkerhedsafdeling at købe en nøglefærdig hardware- og softwarepakke end at retfærdiggøre to separate budgetposter.

WAF funktioner

Hver WAF har et sæt beskyttelsesmoduler, al trafik passerer igennem. Sikkerheden starter normalt med de grundlæggende niveauer – DDoS beskyttelsesfunktioner og signaturanalyse. Evnen til at udvikle dine egne sikkerhedspolitikker og et matematisk læringsundersystem er et niveau højere. En blok af integration med tredjepartssystemer vises normalt på et af de sidste implementeringsstadier.

En anden vigtig komponent i en WAF er en passiv eller aktiv scanner, der kan opdage sårbarheder baseret på serversvar og slutpunktsundersøgelser. Nogle firewalls kan registrere useriøs aktivitet på browsersiden.

Hvad angår angrebsdetekteringsteknologier, er der to fundamentalt forskellige opgaver: validering (kontrol af data i specifikke anmodninger) og adfærdsanalyse. Hver af disse modeller anvender sit eget sæt af algoritmer.

Hvis vi ser på WAF-drift i forhold til anmodningsbehandlingsstadierne, er der en række parsere, afkodningsmoduler (ikke at forveksle med dekryptering) og et sæt blokeringsregler, der er ansvarlige for den endelige dom. Et andet lag spænder over sikkerhedspolitikker udviklet af mennesker eller baseret på maskinlæringsalgoritmer.

Med hensyn til interaktionen af ​​en webapplikations firewall med containere, kan den eneste forskel være i installationens særegenheder, men de grundlæggende principper er altid de samme. I et containeriseret miljø kan WAF fungere som en IP-gateway ved at filtrere alle anmodninger, der strømmer ind i virtualiseringsøkosystemet. Derudover kan den selv fungere som en container og integreres med en databus.

Er det muligt at levere en WAF på en software-as-a-service (SaaS) basis? I det væsentlige giver SaaS-princippet fuld adgang til en applikation og dens administration i skyen. Denne tilgang medfører ikke væsentlige fordele, men det er det første skridt til at flytte en it-infrastruktur til skyen. Hvis virksomheden også uddelegerer systemkontrol til en tredjepart, minder dette mere om managed security service provider-paradigmet (MSSP), som kan give nogle væsentlige fordele.

En test, som kunden kan udføre på pilotprojektstadiet, vil hjælpe med at vurdere, hvor effektiv WAF er. Derudover kan leverandører og systemintegratorer give kunden regelmæssige firewall-ydeevnerapporter, der afspejler resultaterne af trafikanalyse.

Sådan installeres en webapplikations firewall

De vigtigste stadier af WAF-udrulning er som følger:

•       Oprettelse af et pilotprojekt.
•       Valg af leverandør.
•       Bestemmelse af løsningens arkitektur.
•       Angivelse af sikkerhedskopieringsteknikker.
•       Implementering af software- eller hardwarekomplekset.
•       Træning og motivering af personalet til at bruge WAF.

I en ideel verden tager det kun få minutter at integrere en WAF-overvågningstjeneste i en enkelt applikation. Det vil dog tage ekstra tid at konfigurere reglerne til at blokere trusler. Der er også yderligere aspekter af implementeringen, herunder godkendelser, personaleuddannelse og andre tekniske detaljer. Implementeringsperioden afhænger også af metoden samt den specifikke applikation og de typer trafik, der skal overvåges.

En velorganiseret implementeringsproces hjælper med at minimere falske positiver. Omfattende test på præproduktionsstadiet og efter systemlanceringen burde gøre det trick. En vigtig del af denne rutine er at "lære" løsningen: en sikkerhedsspecialist kan rette nogle af sine domme under testene. InfoSec-hold bør studere WAF-genereret statistik inden for den første driftsmåned for at se, om systemet blokerer for lovlig trafik. Samtidig understreger eksperter, at alle WAF-værktøjer har en vis falsk positiv rate.

Når det kommer til WAF-integration med andre sikkerhedsmekanismer, er her hovedområderne for denne aktivitet:

•       Sikkerhedsinformation og hændelsesstyring (SIEM) systemer (WAF fungerer som en dataleverandør).
•       Forskellige slags sandkasser.
•       Antivirus kerner.
•       Forebyggelse af datatab (DLP) systemer.
•       Sårbarhedsscannere.
•       Sikkerhedsværktøjer inden for Kubernetes-platformen.
•       NGFW.

WAF markedstendenser og forudsigelses

Populariteten af ​​forskellige open source web-API'er er stigende, og analytikere forudser et skift i sikkerhedsløsningernes fokus hen imod disse rammer. Gartner har endda en definition for et sådant produkt – Web Application & API Protection (WAAP).

Pandemien har fået afhængigheden af ​​onlineverdenen til at vokse dramatisk. Derfor vil betydningen af ​​WAF øges, og det kan blive en af ​​hovedforudsætningerne for at sikre sikkerheden af ​​enhver webressource. Det vil højst sandsynligt blive endnu "tættere" på webapplikationer og vil blive integreret i udviklingsprocessen.

Med hensyn til de teknologiske tendenser inden for WAF-evolution forudsiger eksperter en mere aktiv involvering af kunstig intelligens og multi-level machine learning-systemer. Dette vil tage evnerne til at opdage forskellige trusler til et nyt niveau, og brugen af ​​prægenererede modeller skabt inde i virksomheden vil blive normen. Derudover bemærker analytikere den voksende implementering af filtreringsmekanismer baseret på adfærdsfaktorer.

På implementeringssiden vil integrationen af ​​WAF med cloud-tjenester fortsætte. En tendens til at bruge åbne sikkerhedssystemer vil også påvirke denne industri. Både kunder og leverandører vil drage fordel af dette naturlige svar på de aktuelle markedskrav.

Takeaways

Webapplikationens firewall er et nøgleelement i nutidens websikkerhed. Det voksende antal kritiske opgaver udført via webgrænseflader og åbne API'er er en stærk drivkraft på dette område. En kunde kan vælge mellem at implementere en WAF inden for deres infrastruktur, integrere hyldevare- og softwaresystemer i den eller bruge cloud-tjenester.

En anden spilskiftende tendens er integrationen af ​​WAF med andre informationssikkerhedssystemer og arbejdsgange for hjemmesideudvikling. Dette gør det til en umistelig del af en effektiv DevSecOps-proces.