Κυβερνοασφάλεια

Εισαγωγική ανάλυση της αγοράς των τυποποιημένων πυροσβεστήρων ιστού

mm

Η χρήση ενός τυποποιημένου πυροσβεστήρα ιστού (WAF) είναι ένα υποχρεωτικό πρότυπο για την ασφάλεια των πόρων ιστού, ή είναι ένα σημαντικό αλλά προαιρετικό επίπεδο προστασίας; Πώς να επιλέξετε και να εφαρμόσετε ένα WAF; Τι Holds το μέλλον για αυτήν την αγορά; Συνεχίστε να διαβάζετε για να λάβετε τις απαντήσεις.

Τι κάνει ένας τυποποιημένος πυροσβεστήρας ιστού;

Είναι δύσκολο να φανταστείς μια σύγχρονη εταιρεία που δεν χρειάζεται ένα WAF. Αυτό το εργαλείο είναι μόνο περιττό αν δεν υπάρχουν ψηφιακά περιουσιακά στοιχεία για προστασία. Βοηθά στην ασφάλεια των πόρων ιστού αν είναι η σπονδυλική στήλη της επιχειρηματικής δραστηριότητας, αν χρησιμοποιούνται για την αποθήκευση κρίσιμων δεδομένων των υπαλλήλων και των πελατών, ή αν συνδέονται με την υποδομή της οργάνωσης και θα μπορούσαν να γίνουν σημείο εισόδου για εισβολείς.

Ένας τυποποιημένος πυροσβεστήρας ιστού προστατεύει επίσης τις προσαρμοσμένες λύσεις που χρησιμοποιούν οι εταιρείες. Αυτά τα συστήματα συχνά περιέχουν ευάλωτο κώδικα και μπορούν να αποτελέσουν απειλή για την ασφάλεια της επιχείρησης. Ένας WAF παρέχει αμυντικές οχυρώσεις στο επίπεδο 7 του μοντέλου OSI. Αναλύει τις αιτήσεις που δεν μπορούν να ελεγχθούν από τους παραδοσιακούς τείχους προστασίας ή τους τείχους προστασίας της επόμενης γενιάς (NGFWs).除了 την ασφάλεια του εταιρικού ιστοτόπου, προστατεύει επίσης τους διακομιστές εφαρμογών ιστού, εποπτεύει τις ενσωματώσεις με υπηρεσίες τρίτων και χειρίζεται απειλές που δεν σχετίζονται με ευάλωτα σημεία, όπως επιθέσεις DDoS.

Υπάρχουν δύο θεμελιώδεις διαφορές μεταξύ ενός WAF και άλλων τειχών προστασίας: λειτουργικές και αρχιτεκτονικές. Οι λειτουργικές λειτουργίες περιλαμβάνουν την ικανότητα να αναλύει ειδικά формάτ trong HTTP (π.χ. JSON), κάτι που δεν μπορούν να κάνουν τα NGFW και άλλα συστήματα. Οι αρχιτεκτονικές ιδιότητες σχετίζονται με τον τρόπο που εφαρμόζεται σε ένα δίκτυο. Ένας τυποποιημένος πυροσβεστήρας ιστού λειτουργεί κυρίως ως αντίστροφο διακομιστής, ασχολούμενος μόνο με τις εφαρμογές εντός της εταιρείας.

Μεταφορικά, ένας WAF είναι ένα προϊόν που αποτρέπει μια ευάλωτη ιστοσελίδα από το να χακάρει. Όσον αφορά την τοποθεσία, το NGFW εγκαθίσταται στην πύλη, ενώ το WAF εγκαθίσταται όπου βρίσκεται η ιστοσελίδα.

Το NGFW, ένα κανονικό τείχος προστασίας και ένα κλασικό σύστημα πρόληψης εισβολών (IPS) είναι πολυπρωτόκολλα συσκευές, ενώ ένα WAF περιορίζεται σε πρωτόκολλα εφαρμογών ιστού που χρησιμοποιούν HTTP ως μεταφορέας. Μια τέτοια λύση δείχνει μεγαλύτερη αποτελεσματικότητα σε ένα συγκεκριμένο εύρος λόγω της πιο sâuτής ανάλυσης των ειδικών πρωτοκόλλων. Σημαντικά, ένα WAF «ξέρει» ακριβώς ποιες εφαρμογές προστατεύει. Μπορεί να εφαρμόσει διαφορετικές πολιτικές ασφαλείας ανάλογα με το αντικείμενο της κυκλοφορίας.

Είναι δυνατό να χρησιμοποιηθεί μια εξωτερική λύση σε αυτόν τον τομέα; Αυτή είναι μια εφικτή προσέγγιση, αλλά είναι εξαιρετικά δύσκολο να τη θέσετε σε πράξη. Σε αυτήν την περίπτωση, η εταιρεία γίνεται ουσιαστικά ο dévelopτης της δικής της λύσης και πρέπει να χειρίζεται όχι μόνο την ανάπτυξή της, αλλά και τον πλήρη κύκλο τεχνικής υποστήριξης.

Ένας άλλος σημαντικός аспект είναι η επιλογή μεταξύ μιας υλοποίησης εντός της υποδομής και μιας cloud υπηρεσίας. Αυτό είναι σε μεγάλο βαθμό ένα ζήτημα εμπιστοσύνης στον πάροχο cloud. Η αγορά ασφαλείας εφαρμογών ιστού μεταναστεύει ενεργά στο cloud, το οποίο σημαίνει ότι όλο και περισσότεροι πελάτες βρίσκουν τους κινδύνους τέτοιων υπηρεσιών αποδεκτούς.

Αξίζει επίσης να αναφερθούμε στα πλεονεκτήματα και τα μειονεκτήματα των λύσεων WAF που βασίζονται σε υλικό και λογισμικό έναντι των λύσεων που βασίζονται μόνο σε λογισμικό. Οι λύσεις που είναι εξειδικευμένες για συγκεκριμένο υλικό μπορεί να λειτουργούν πιο αποτελεσματικά από τα καθολικά συστήματα που τρέχουν σε οποιοδήποτε εξοπλισμό. Η άλλη πλευρά του νομίσματος οδηγεί στην πιθανή επιθυμία του πελάτη να εργαστεί με συγκεκριμένες πλατφόρμες υλικού που ήδη χρησιμοποιούνται.

Το ζήτημα έχει επίσης οργανωτικά και γραφειοκρατικά аспектούς. Μερικές φορές είναι πιο εύκολο για το τμήμα ασφαλείας πληροφοριών να αγοράσει ένα ολοκληρωμένο πακέτο υλικού και λογισμικού παρά να δικαιολογήσει δύο ξεχωριστά στοιχεία προϋπολογισμού.

Χαρακτηριστικά WAF

Κάθε WAF έχει ένα σύνολο μονάδων προστασίας από τις οποίες περνά όλη η κυκλοφορία. Η ασφάλεια συνήθως ξεκινά από τα βασικά επίπεδα – προστασία DDoS και ανάλυση υπογραφών. Η ικανότητα να αναπτύξετε τις δικές σας πολιτικές ασφαλείας και ένα μαθηματικό σύστημα μάθησης είναι ένα επίπεδο υψηλότερα. Ένα μπλοκ ενσωμάτωσης με συστήματα τρίτων μερών συνήθως εμφανίζεται σε ένα από τα τελικά στάδια της υλοποίησης.

Ένας άλλος σημαντικός компонέντ του WAF είναι ένας παθητικός ή ενεργός σκανερ που μπορεί να ανιχνεύσει ευάλωτα σημεία με βάση τις απαντήσεις του διακομιστή και τις έρευνες τερματικών. Ορισμένα τείχη προστασίας μπορούν να ανιχνεύσουν παράνομη δραστηριότητα στην πλευρά του προγράμματος περιήγησης.

Όσον αφορά τις τεχνολογίες ανίχνευσης επιθέσεων, υπάρχουν δύο θεμελιωδώς διαφορετικά καθήκοντα: επαλήθευση (έλεγχος δεδομένων σε συγκεκριμένες αιτήσεις) και ανάλυση συμπεριφοράς. Κάθε ένα από αυτά τα μοντέλα εφαρμόζει το δικό του σύνολο αλγορίθμων.

Αν κοιτάξουμε την λειτουργία του WAF σε σχέση με τα στάδια επεξεργασίας των αιτήσεων, υπάρχει μια σειρά από αναλυτές, μονάδες αποκωδικοποίησης (μην συγχέεται με την αποκρυπτογράφηση) και ένα σύνολο κανόνων αποκλεισμού που είναι υπεύθυνα για τη τελική απόφαση. Ένα άλλο επίπεδο καλύπτει τις πολιτικές ασφαλείας που αναπτύσσονται από ανθρώπους ή με βάση αλγορίθμους μηχανικής μάθησης.

Όσον αφορά την αλληλεπίδραση του WAF με контέινερ, η μόνη διαφορά μπορεί να είναι στις ιδιαιτερότητες της υλοποίησης, αλλά οι βασικές αρχές είναι πάντα οι ίδιες. Σε ένα περιβάλλον контέινερ, το WAF μπορεί να λειτουργήσει ως πύλη IP, φιλτράροντας όλες τις αιτήσεις που ρέουν στο εικονικό σύστημα. Επιπλέον, μπορεί να λειτουργήσει ως контέινερ και να ενσωματωθεί με ένα δίαυλο δεδομένων.

Είναι δυνατό να παρέχεται ένα WAF με βάση την υπηρεσία λογισμικού (SaaS); Ουσιαστικά, η αρχή SaaS παρέχει πλήρη πρόσβαση σε μια εφαρμογή και τη διαχείρισή της στο cloud. Αυτή η προσέγγιση δεν φέρει κανένα σημαντικό πλεονέκτημα, αλλά είναι το πρώτο βήμα για τη μετεγκατάσταση της υποδομής ΤΠ σε cloud. Αν η εταιρεία επίσης αναθέτει τον έλεγχο του συστήματος σε τρίτο μέρος, αυτό θυμίζει περισσότερο το парадίγμα του παρόχου υπηρεσιών ασφαλείας (MSSP), το οποίο μπορεί να παρέχει ορισμένα σημαντικά πλεονεκτήματα.

Ένα pentest που ο πελάτης μπορεί να διεξάγει στο στάδιο του πιλοτικού έργου θα βοηθήσει στην αξιολόγηση της αποτελεσματικότητας του WAF. Επιπλέον, οι προμηθευτές και οι системικοί ολοκληρωτές μπορούν να παρέχουν στον πελάτη τακτικές αναφορές απόδοσης του WAF, που αντανακλούν τα αποτελέσματα της ανάλυσης της κυκλοφορίας.

Πώς να αναπτύξετε ένα τυποποιημένο πυροσβεστήρα ιστού

Τα κύρια στάδια της υλοποίησης του WAF είναι τα ακόλουθα:

  •       Δημιουργία ενός πιλοτικού έργου.
  •       Επιλογή του προμηθευτή.
  •       Καθορισμός της αρχιτεκτονικής της λύσης.
  •       Καθορισμός τεχνικών αντιγράφων ασφαλείας.
  •       Υλοποίηση του λογισμικού ή του υλικού συστήματος.
  •       Εκπαίδευση και κίνητρα του προσωπικού για τη χρήση του WAF.

Σε ένα ιδανικό κόσμο, χρειάζονται μόνο λίγα λεπτά για να ενσωματωθεί μια υπηρεσία παρακολούθησης WAF σε μια seule εφαρμογή. Ωστόσο, η ρύθμιση των κανόνων για το μπλοκαρίσμα των απειλών θα χρειαστεί επιπλέον χρόνο. Υπάρχουν επίσης πρόσθετοι аспектοι της υλοποίησης, όπως οι έγκρισεις, η εκπαίδευση του προσωπικού και άλλες τεχνικές λεπτομέρειες. Η περίοδος υλοποίησης εξαρτάται επίσης από τη μέθοδο, καθώς και από την συγκεκριμένη εφαρμογή και τους τύπους κυκλοφορίας που πρέπει να παρακολουθούνται.

Μια καλά συντονισμένη διαδικασία υλοποίησης θα βοηθήσει στην ελαχιστοποίηση των ψευδών θετικών. Εκτενείς δοκιμές στο στάδιο προ-παραγωγής και μετά την εκκίνηση του συστήματος θα κάνουν το κόλπο. Ένα σημαντικό μέρος αυτής της ρουτίνας είναι να «μαθήσετε» τη λύση: ένας ειδικός ασφαλείας μπορεί να διορθώσει ορισμένες από τις αποφάσεις του κατά τη διάρκεια των δοκιμών. Οι ομάδες InfoSec πρέπει να μελετήσουν τις στατιστικές που παράγονται από το WAF μέσα στον πρώτο μήνα λειτουργίας για να δουν αν το σύστημα μπλοκάρει έγκυρη κυκλοφορία. Ταυτόχρονα, οι εμπειρογνώμονες τονίζουν ότι όλα τα εργαλεία WAF έχουν ένα ορισμένο ποσοστό ψευδών θετικών.

Όταν πρόκειται για την ενσωμάτωση του WAF με άλλα μηχανισμοί ασφαλείας, οι κύριες περιοχές αυτής της δραστηριότητας είναι:

  •       Συστήματα διαχείρισης πληροφοριών ασφαλείας και συμβάντων (SIEM) (το WAF λειτουργεί ως πάροχος δεδομένων).
  •       Διάφορες μορφές sandbox.
  •       Πυρήνες ανтивίρου.
  •       Συστήματα πρόληψης απώλειας δεδομένων (DLP).
  •       Σκάνερ ευαλωτότητας.
  •       Εργαλεία ασφαλείας εντός της πλατφόρμας Kubernetes.
  •       NGFW.

Τάσεις και προβλέψεις της αγοράς WAF

Η δημοτικότητα των ανοιχτών API ιστού είναι σε άνοδο, και οι αναλυτές προβλέπουν μια μετατόπιση των λύσεων ασφαλείας προς αυτές τις πλατφόρμες. Η Gartner έχει ακόμη και μια ορισμό για ένα τέτοιο προϊόν – Web Application & API Protection (WAAP).

Η πανδημία έχει προκαλέσει μια δραματική αύξηση της εξάρτησης από τον ψηφιακό κόσμο. Ως εκ τούτου, η σημασία του WAF θα αυξηθεί, και μπορεί να γίνει ένα από τα κύρια προαπαιτούμενα για την ασφάλεια των πόρων ιστού. Θα γίνει πιθανότατα «κοντύτερα» στις εφαρμογές ιστού και θα ενσωματωθεί στη διαδικασία ανάπτυξης.

Όσον αφορά τις τεχνολογικές τάσεις της εξέλιξης του WAF, οι εμπειρογνώμονες προβλέπουν μια πιο ενεργό συμμετοχή της τεχνητής νοημοσύνης και των συστημάτων μηχανικής μάθησης. Αυτό θα αναβαθμίσει τις δυνατότητες ανίχνευσης των απειλών σε ένα νέο επίπεδο, και η χρήση προ-δημιουργημένων μοντέλων που δημιουργούνται εντός της εταιρείας θα γίνει η κανόνας. Επιπλέον, οι αναλυτές σημειώνουν την αυξανόμενη εφαρμογή μηχανισμών φιλτραρίσματος με βάση τις συμπεριφορικές παράμετρους.

Στην πλευρά της υλοποίησης, η ενσωμάτωση του WAF με τις υπηρεσίες cloud θα συνεχιστεί. Μια τάση προς την χρήση ανοιχτών συστημάτων ασφαλείας θα επηρεάσει αυτήν την βιομηχανία. Και οι πελάτες και οι προμηθευτές θα ωφεληθούν από αυτήν την φυσική απάντηση στις τρέχουσες απαιτήσεις της αγοράς.

Συμπεράσματα

Ο τυποποιημένος πυροσβεστήρας ιστού είναι ένα κλειδί στοιχείο της ασφαλείας ιστού της εποχής μας. Η αυξανόμενη Zahl των κρίσιμων εργασιών που εκτελούνται μέσω διαδικτυακών διεπαφών και ανοιχτών API είναι ένας ισχυρός κινητήρας σε αυτόν τον τομέα. Ο πελάτης μπορεί να επιλέξει μεταξύ της υλοποίησης του WAF εντός της υποδομής του, της ενσωμάτωσης λύσεων υλικού και λογισμικού σε αυτό, ή της χρήσης υπηρεσιών cloud.

Μια άλλη game-changing τάση είναι η ενσωμάτωση του WAF με άλλα συστήματα ασφαλείας πληροφοριών και ροές εργασίας ανάπτυξης ιστοσελίδων. Αυτό το καθιστά ένα αναπόσπαστο στοιχείο μιας αποτελεσματικής διαδικασίας DevSecOps.

Ο David Balaban είναι ερευνητής υπολογιστικής ασφάλειας με πάνω από 17 χρόνια εμπειρίας στην ανάλυση κακόβουλου λογισμικού και αξιολόγηση λογισμικού αντίμετρου ιών. Ο David διαχειρίζεται τα projects MacSecurity.net και Privacy-PC.com που παρουσιάζουν ειδικές γνώμες σε σύγχρονα θέματα ασφάλειας πληροφοριών, συμπεριλαμβανομένης της κοινωνικής μηχανικής, κακόβουλου λογισμικού, δοκιμής διείσδυσης, ευφυίας απειλών, διαδικτυακής ιδιωτικής ζωής και white hat hacking. Ο David έχει ισχυρό υπόβαθρο στην αντιμετώπιση προβλημάτων κακόβουλου λογισμικού, με πρόσφατο επίκεντρο στις αντιμετρόπες για το ransomware.