צור קשר

תובנות על שוק חומת האש של יישומי אינטרנט

אבטחת סייבר

תובנות על שוק חומת האש של יישומי אינטרנט

mm
יצא לאור

האם השימוש בחומת אש של יישומי אינטרנט (WAF) הוא סטנדרט חובה לאבטחת משאבי אינטרנט, או שמא מדובר בשכבת הגנה חשובה אך אופציונלית? כיצד לבחור וליישם WAF? מה צופן העתיד לשוק זה? המשיכו לקרוא כדי לקבל את התשובות.

מה עושה חומת אש של אפליקציית אינטרנט?

קשה לדמיין חברה מודרנית שלא צריכה WAFכלי זה מיותר רק אם אין נכסים דיגיטליים להגן עליהם. הוא מסייע בהגנה על משאבי אינטרנט אם הם עמוד השדרה של הפעילות העסקית, אם הם משמשים לאחסון נתונים קריטיים של עובדים ולקוחות, או אם הם מקושרים לתשתית הארגון ועלולים להפוך לנקודת כניסה לפורצים.

חומת אש של יישומי אינטרנט מגנה גם על פתרונות מותאמים אישית בהם משתמשות חברות. מערכות אלו מכילות לעתים קרובות קוד פגיע ויכולות להוות איום על אבטחת הארגון. חומת אש של רשת (WAF) מספקת הגנות בשכבה 7 של חיבור המערכות הפתוחות (Open Systems Interconnect).או אםמודל ). הוא מנתח בקשות שגם חומות אש מסורתיות וגם חומות אש מהדור הבא (NGFW) לא יכולות לשלוט בהן. בנוסף לאבטחת אתר אינטרנט של החברה, הוא מגן על שרתי יישומי אינטרנט, מפקח על אינטגרציות עם שירותי צד שלישי ומטפל באיומים שאינם קשורים לפגיעויות, כגון התקפות DDoS.

ישנם שני הבדלים מהותיים בין WAF לחומות אש אחרות: פונקציונלי והבדלים אדריכליים. התכונות הפונקציונליות כוללות את היכולת לנתח פורמטים מיוחדים בתוך HTTP (למשל, JSON), דבר ש-NGFW ומערכות אחרות אינן יכולות לעשות. מאפיינים אדריכליים מתייחסים לאופן שבו היא מיושמת בתוך רשת. חומת אש של יישומי אינטרנט פועלת בעיקר כ-reverse proxy, ועוסקת רק ביישומים פנימיים.

באופן פיגורטיבי, WAF הוא מוצר המונע א אתר פגיע מפני פריצה. מבחינת המיקום, NGFW מותקן בשער, בעוד ש-WAF מותקן במקום בו נמצא אתר האינטרנט.

NGFW, חומת אש רגילה ומערכת מניעת חדירות קלאסית (IPS) הם התקנים מרובי פרוטוקולים, בעוד ש-WAF מוגבל לפרוטוקולי יישומי אינטרנט המשתמשים ב-HTTP כאמצעי תעבורה. פתרון כזה מראה יעילות רבה יותר בנישה מסוימת עקב ניתוח מעמיק יותר של פרוטוקולים ייעודיים. חשוב לציין, ש-WAF "יודע" בדיוק אילו יישומים הוא מגן. הוא יכול להחיל מדיניות אבטחה שונות בהתאם לאובייקט שאליו מופנית התעבורה.

האם ניתן להשתמש בפתרון חיצוני בתחום זה? זוהי גישה בת קיימא, אך קשה ביותר ליישם אותה בפועל. במקרה זה, החברה הופכת למעשה למפתחת הפתרון שלה ועליה לטפל לא רק בפיתוחו אלא גם במחזור התמיכה הטכנית המלא.

היבט חשוב נוסף הוא הבחירה בין גרסת יישום מקומית לבין שירות ענן. זוהי במידה רבה שאלה של אמון בספק הענן. שוק אבטחת יישומי האינטרנט עובר באופן פעיל לענן, מה שאומר שיותר ויותר לקוחות מוצאים את הסיכונים של שירותים כאלה כמקובל.

כמו כן, ראוי להתייחס ליתרונות ולחסרונות של ערכות כלים מוכנות לתוכנה וחומרה של WAF לעומת מקבילותיהן המבוססות על תוכנה בלבד. פתרונות המותאמים לחומרה ספציפית עשויים לפעול ביעילות רבה יותר ממערכות אוניברסליות הפועלות על כל ציוד. הצד השני של המטבע מסתכם ברצון הסביר של הלקוח לעבוד עם פלטפורמות חומרה מסוימות שכבר נמצאות בשימוש.

לנושא יש גם היבטים ארגוניים ובירוקרטיים. לפעמים קל יותר למחלקת אבטחת מידע לרכוש חבילת חומרה ותוכנה מוכנה מאשר להצדיק שני סעיפי תקציב נפרדים.

תכונות WAF

לכל WAF יש סט של מודולי הגנה שכל התעבורה עוברת דרכם. האבטחה מתחילה בדרך כלל ברמות הבסיסיות - DDoS תכונות הגנה וניתוח חתימות. היכולת לפתח מדיניות אבטחה משלך ותת-מערכת למידה מתמטית היא רמה אחת גבוהה יותר. בלוק של אינטגרציה עם מערכות צד שלישי מופיע בדרך כלל באחד משלבי הפריסה הסופיים.

רכיב חשוב נוסף של WAF הוא סורק פסיבי או אקטיבי שיכול לזהות פגיעויות על סמך תגובות שרת וסקרי נקודות קצה. חומות אש מסוימות יכולות לזהות פעילות סוררת בצד הדפדפן.

באשר לטכנולוגיות לגילוי תקיפות, ישנן שתי משימות שונות באופן מהותי: אימות (בדיקת נתונים בבקשות ספציפיות) וניתוח התנהגותי. כל אחד מהמודלים הללו מיישם סט אלגוריתמים משלו.

אם נבחן את פעולת ה-WAF מבחינת שלבי עיבוד הבקשות, יש סדרה של מנתחים, מודולי פענוח (אין להתבלבל עם פענוח), ומערכת של כללי חסימה האחראים על פסק הדין הסופי. שכבה נוספת משתרעת על פני מדיניות אבטחה שפותחה על ידי בני אדם או המבוססת על אלגוריתמים של למידת מכונה.

בנוגע לאינטראקציה של חומת אש של יישומי אינטרנט עם קונטיינרים, ההבדל היחיד עשוי להיות במוזרויות הפריסה, אך העקרונות הבסיסיים תמיד זהים. בסביבה מבוססת קונטיינרים, ה-WAF יכול לשמש כשער IP על ידי סינון כל הבקשות הזורמות למערכת האקולוגית של הווירטואליזציה. בנוסף, הוא יכול לפעול כקונטיינר בפני עצמו ולהיות משולב עם אפיק נתונים.

האם ניתן לספק WAF על בסיס תוכנה כשירות (SaaS)? בעיקרו של דבר, עקרון ה-SaaS מעניק גישה מלאה לאפליקציה ולניהולה בענן. גישה זו אינה מביאה יתרונות משמעותיים, אך היא הצעד הראשון להעברת תשתית IT לענן. אם החברה גם מאצילת את השליטה במערכת לצד שלישי, הדבר מזכיר יותר את הפרדיגמה של ספק שירותי אבטחה מנוהלים (MSSP), שיכולה לספק כמה יתרונות משמעותיים.

בדיקת חדירה שהלקוח יכול לבצע בשלב פרויקט הפיילוט תעזור להעריך את יעילות ה-WAF. בנוסף, ספקים ומשלבי מערכות יכולים לספק ללקוח דוחות ביצועים קבועים של חומת אש המשקפים את תוצאות ניתוח התעבורה.

כיצד לפרוס חומת אש של יישומי אינטרנט

השלבים העיקריים של פריסת WAF הם כדלקמן:

  •       יצירת פרויקט פיילוט.
  •       בחירת הספק.
  •       קביעת הארכיטקטורה של הפתרון.
  •       הגדרת טכניקות גיבוי.
  •       פריסת קומפלקס התוכנה או החומרה.
  •       הכשרה והנעת הצוות לשימוש ב-WAF.

בעולם אידיאלי, שילוב שירות ניטור WAF באפליקציה אחת לוקח דקות ספורות. עם זאת, הגדרת הכללים לחסימת איומים תדרוש זמן נוסף. ישנם גם היבטים נוספים של היישום, כולל אישורים, הכשרת כוח אדם ופרטים טכניים אחרים. תקופת הפריסה תלויה גם בשיטה, כמו גם ביישום הספציפי ובסוגי התעבורה שיש לנטר.

תהליך פריסה מתוזמן היטב יסייע למזער תוצאות חיוביות שגויות. בדיקות מקיפות בשלב טרום הייצור ולאחר השקת המערכת אמורות לעשות את העבודה. חלק חשוב משגרה זו הוא "ללמד" את הפתרון: מומחה אבטחה יכול לתקן חלק מהממצאים שלו במהלך הבדיקות. צוותי אבטחת מידע צריכים ללמוד סטטיסטיקות שנוצרו על ידי WAF במהלך החודש הראשון לפעילות כדי לראות אם המערכת חוסמת תעבורה לגיטימית. יחד עם זאת, מומחים מדגישים שלכל כלי WAF יש שיעור מסוים של תוצאות חיוביות שגויות.

בכל הנוגע לשילוב WAF עם מנגנוני אבטחה אחרים, להלן התחומים העיקריים של פעילות זו:

  •       מערכות אבטחת מידע וניהול אירועים (SIEM) ‏(WAF משמש כספק נתונים).
  •       סוגים שונים של ארגזי חול.
  •       ליבות אנטי-וירוס.
  •       מניעת אובדן נתונים (DLP) מערכות.
  •       סורקי פגיעויות.
  •       כלי אבטחה בתוך פלטפורמת Kubernetes.
  •       NGFW.

מגמות ותחזיות בשוק WAFs

הפופולריות של ממשקי API שונים בקוד פתוח נמצאת במגמת עלייה, ואנליסטים צופים שינוי במיקוד פתרונות האבטחה לכיוון מסגרות אלו. לגרטנר יש אפילו הגדרה למוצר כזה - Web Application & API Protection (WAAP).

המגפה גרמה לעלייה דרמטית בתלות בעולם המקוון. לכן, חשיבותו של WAF תגדל, והוא עשוי להפוך לאחד התנאים המוקדמים העיקריים להבטחת אבטחתו של כל משאב אינטרנט. סביר להניח שהוא יהפוך "קרוב" עוד יותר ליישומי אינטרנט וישולב בתהליך הפיתוח.

בנוגע למגמות הטכנולוגיות של התפתחות WAF, מומחים צופים מעורבות פעילה יותר של בינה מלאכותית ומערכות למידת מכונה רב-שכבתיות. זה ידרוש את היכולות לזהות איומים שונים לרמה חדשה, והשימוש במודלים שנוצרו מראש בתוך החברה יהפוך לנורמה. בנוסף, אנליסטים מציינים את היישום הגובר של מנגנוני סינון המבוססים על גורמים התנהגותיים.

בצד הפריסה, שילוב WAF עם שירותי ענן יימשך. מגמה של שימוש במערכות אבטחה פתוחות תשפיע גם על תעשייה זו. הן לקוחות והן ספקים ייהנו מתגובה טבעית זו לדרישות השוק הנוכחיות.

Takeaways

חומת האש של יישומי אינטרנט היא מרכיב מרכזי באבטחת האינטרנט של ימינו. המספר ההולך וגדל של משימות קריטיות המבוצעות באמצעות ממשקי אינטרנט וממשקי API פתוחים הוא כוח מניע רב עוצמה בתחום זה. לקוח יכול לבחור בין פריסת WAF בתוך התשתית שלו, שילוב מערכות חומרה ותוכנה מוכנות לתוכה, או שימוש בשירותי ענן.

מגמה נוספת שמשנה את כללי המשחק היא שילוב WAF עם מערכות אבטחת מידע אחרות ותהליכי עבודה של פיתוח אתרים. זה הופך אותו למרכיב בלתי נפרד מתהליך DevSecOps יעיל.

נושאים קשורים:
mm

דיוויד בלבן הוא חוקר אבטחת מחשבים עם למעלה מ-17 שנות ניסיון בניתוח תוכנות זדוניות והערכת תוכנות אנטי-וירוס. דיוויד מנהל MacSecurity.net ו פרטיות-PC.com פרויקטים המציגים חוות דעת מומחים בנושאים עכשוויים של אבטחת מידע, כולל הנדסה חברתית, תוכנות זדוניות, בדיקות חדירה, מודיעין איומים, פרטיות מקוונת ופריצת דרך לבנה (white hat hacking). לדוד ניסיון מעמיק בפתרון בעיות תוכנות זדוניות, עם התמקדות לאחרונה באמצעי נגד של תוכנות כופר.