Cibersegurança
Visão geral do mercado de firewall de aplicativos web

É o uso de um firewall de aplicativos web (WAF) um padrão obrigatório para proteger recursos web, ou é uma camada de proteção importante, mas opcional? Como escolher e implementar um WAF? O que o futuro reserva para este mercado? Continue lendo para obter as respostas.
O que faz um firewall de aplicativos web?
É difícil imaginar uma empresa moderna que não precise de um WAF. Esse instrumento é redundante apenas se não houver ativos digitais para proteger. Ele ajuda a proteger recursos web se forem a espinha dorsal da atividade empresarial, se forem usados para armazenar dados críticos de funcionários e clientes, ou se estiverem ligados à infraestrutura da organização e puderem se tornar um ponto de entrada para intrusos.
Um firewall de aplicativos web também protege soluções personalizadas usadas por empresas. Esses sistemas frequentemente contêm código vulnerável e podem representar uma ameaça à segurança empresarial. Um WAF fornece defesas na Camada 7 do modelo de sistema aberto de interconexão (OSI). Ele analisa solicitações que nem firewalls tradicionais nem firewalls de próxima geração (NGFWs) podem controlar. Além de proteger um site corporativo, ele protege servidores de aplicativos web, supervisiona integrações com serviços de terceiros e lida com ameaças não relacionadas a vulnerabilidades, como ataques DDoS.
Há duas diferenças fundamentais entre um WAF e outros firewalls: funcionais e arquiteturais. As características funcionais incluem a capacidade de analisar formatos especializados dentro do HTTP (por exemplo, JSON), o que é algo que NGFW e outros sistemas não podem fazer. As características arquiteturais relacionam-se com a forma como ele é implementado dentro de uma rede. Um firewall de aplicativos web funciona principalmente como um proxy reverso, lidando apenas com aplicativos internos.
Figurativamente falando, um WAF é um produto que impede que um site vulnerável seja hackeado. Em termos de localização, NGFW é instalado no gateway, enquanto WAF é instalado onde o site reside.
NGFW, um firewall regular e um sistema clássico de prevenção de intrusão (IPS) são dispositivos multiprotocolo, enquanto um WAF é limitado a protocolos de aplicativos web que usam HTTP como transporte. Essa solução mostra maior eficiência em uma nicho específico devido à análise mais profunda de protocolos especializados. É importante notar que um WAF “sabe” exatamente quais aplicativos está protegendo. Ele pode aplicar políticas de segurança diferentes dependendo do objeto para o qual o tráfego é direcionado.
É possível usar uma solução terceirizada nessa área? Essa é uma abordagem viável, mas é extremamente difícil de colocar em prática. Nesse caso, a empresa efetivamente se torna o desenvolvedor de sua própria solução e deve lidar não apenas com o desenvolvimento, mas também com o ciclo completo de suporte técnico.
Outro aspecto importante é a escolha entre uma implementação local e um serviço de nuvem. Isso é em grande parte uma questão de confiança no provedor de nuvem. O mercado de segurança de aplicativos web está migrando ativamente para a nuvem, o que significa que mais e mais clientes consideram os riscos desses serviços aceitáveis.
Também é importante tocar na questão dos prós e contras de kits de ferramentas WAF de software e hardware prontos para uso versus seus equivalentes baseados apenas em software. Soluções ajustadas para hardware específico podem funcionar mais eficientemente do que sistemas universais que rodam em qualquer equipamento. O outro lado da moeda se resume ao provável desejo do cliente de trabalhar com plataformas de hardware específicas já em uso.
A questão também tem aspectos organizacionais e burocráticos. Às vezes é mais fácil para um departamento de segurança de informações comprar um pacote de hardware e software pronto para uso do que justificar dois itens de orçamento separados.
Recursos do WAF
Todo WAF tem um conjunto de módulos de proteção que todo o tráfego passa. A segurança geralmente começa com os níveis básicos – proteção contra DDoS e análise de assinatura. A capacidade de desenvolver suas próprias políticas de segurança e um subsistema de aprendizado matemático é um nível acima. Um bloco de integração com sistemas de terceiros geralmente aparece em uma das etapas finais de implantação.
Outro componente importante de um WAF é um scanner passivo ou ativo que pode detectar vulnerabilidades com base em respostas do servidor e pesquisas de endpoint. Alguns firewalls podem detectar atividade maliciosa no lado do navegador.
Quanto às tecnologias de detecção de ataques, há duas tarefas fundamentalmente diferentes: validação (verificação de dados em solicitações específicas) e análise comportamental. Cada um desses modelos aplica seu próprio conjunto de algoritmos.
Se olharmos para a operação de um WAF em termos de estágios de processamento de solicitações, há uma série de analisadores, módulos de decodificação (não confundir com decodificação), e um conjunto de regras de bloqueio responsáveis pelo veredito final. Outra camada abrange políticas de segurança desenvolvidas por humanos ou baseadas em algoritmos de aprendizado de máquina.
Quanto à interação de um firewall de aplicativos web com contêineres, a única diferença pode estar nas peculiaridades de implantação, mas os princípios básicos são sempre os mesmos. Em um ambiente contêinerizado, o WAF pode atuar como um gateway IP, filtrando todas as solicitações que fluem para o ecossistema de virtualização. Além disso, ele pode operar como um contêiner em si e ser integrado a um barramento de dados.
É possível fornecer um WAF como um serviço de software (SaaS)? Essencialmente, o princípio SaaS concede acesso total a um aplicativo e sua administração na nuvem. Essa abordagem não traz vantagens significativas, mas é o primeiro passo para mover uma infraestrutura de TI para a nuvem. Se a empresa também delega o controle do sistema a um terceiro, isso se assemelha mais ao paradigma de provedor de serviços de segurança gerenciada (MSSP), que pode trazer benefícios significativos.
Um teste de penetração que o cliente pode realizar na fase do projeto piloto ajudará a avaliar a eficácia do WAF. Além disso, fornecedores e integradores de sistemas podem fornecer ao cliente relatórios regulares de desempenho do firewall, refletindo os resultados da análise de tráfego.
Como implantar um firewall de aplicativos web
As principais etapas de implantação de um WAF são as seguintes:
- Criar um projeto piloto.
- Selecionar o fornecedor.
- Determinar a arquitetura da solução.
- Especificar técnicas de backup.
- Implantar o complexo de software ou hardware.
- Treinar e motivar o pessoal a usar o WAF.
No mundo ideal, leva apenas minutos para integrar um serviço de monitoramento WAF a um aplicativo único. No entanto, configurar as regras para bloquear ameaças levará mais tempo. Há também aspectos adicionais da implementação, incluindo aprovações, treinamento de pessoal e outras questões técnicas. O período de implantação também depende do método, bem como do aplicativo específico e dos tipos de tráfego a serem monitorados.
Um processo de implantação bem orquestrado ajudará a minimizar falsos positivos. Testes extensivos na fase de pré-produção e após o lançamento do sistema devem resolver o problema. Uma parte importante dessa rotina é “ensinar” a solução: um especialista em segurança pode corrigir alguns de seus vereditos durante os testes. As equipes de InfoSec devem estudar as estatísticas geradas pelo WAF dentro do primeiro mês de operação para ver se o sistema está bloqueando tráfego legítimo. Ao mesmo tempo, os especialistas enfatizam que todos os ferramentas WAF têm uma taxa de falsos positivos.
Quando se trata da integração do WAF com outros mecanismos de segurança, aqui estão as principais áreas de atividade:
- Sistemas de gerenciamento de informações e eventos de segurança (SIEM) (WAF atua como fornecedor de dados).
- Diferentes tipos de caixas de areia.
- Núcleos de antivírus.
- Sistemas de prevenção de perda de dados (DLP).
- Scanners de vulnerabilidade.
- Ferramentas de segurança dentro da plataforma Kubernetes.
- NGFW.
Tendências e previsões do mercado de WAF
A popularidade de várias APIs web de código aberto está aumentando, e os analistas preveem uma mudança no foco das soluções de segurança para esses frameworks. A Gartner até tem uma definição para esse produto – Proteção de Aplicativos Web e API (WAAP).
A pandemia fez com que a dependência do mundo online aumentasse dramaticamente. Portanto, a importância do WAF aumentará, e ele pode se tornar uma das principais pré-requisitos para garantir a segurança de qualquer recurso web. Ele provavelmente se tornará ainda mais “próximo” dos aplicativos web e será integrado ao processo de desenvolvimento.
Quanto às tendências tecnológicas da evolução do WAF, os especialistas preveem uma participação mais ativa de sistemas de inteligência artificial e sistemas de aprendizado de máquina multilayer. Isso levará as capacidades de detecção de diversas ameaças a um novo nível, e o uso de modelos pré-gerados criados dentro da empresa se tornará a norma. Além disso, os analistas observam a implementação crescente de mecanismos de filtragem baseados em fatores comportamentais.
No lado da implantação, a integração do WAF com serviços de nuvem continuará. Uma tendência de usar sistemas de segurança abertos influenciará essa indústria também. Tanto os clientes quanto os fornecedores se beneficiarão disso, que é uma resposta natural às demandas atuais do mercado.
Conclusões
O firewall de aplicativos web é um elemento-chave da segurança web atual. O aumento do número de tarefas críticas realizadas por meio de interfaces web e APIs abertas é um poderoso motor nessa área. Um cliente pode escolher entre implantar um WAF
Outra tendência que muda o jogo é a integração do WAF com outros sistemas de segurança de informações e fluxos de trabalho de desenvolvimento de sites. Isso o torna um componente inalienável de um processo DevSecOps eficaz.












