Connect with us

Securitate cibernetică

Perspective asupra pieței de apărare a aplicațiilor web

mm
Published
Updated

Este utilizarea unui zid de apărare pentru aplicații web (WAF) o normă obligatorie pentru securizarea resurselor web, sau este un strat important, dar opțional, de protecție? Cum se alege și implementează un WAF? Ce ne rezervă viitorul pentru această piață? Continuați să citiți pentru a obține răspunsurile.

Ce face un zid de apărare pentru aplicații web?

Este greu de imaginat o companie modernă care nu are nevoie de un WAF. Acest instrument este redundant doar dacă nu există active digitale de protejat. Acesta ajută la protejarea resurselor web dacă acestea sunt coloana vertebrală a activității comerciale, dacă sunt utilizate pentru stocarea datelor critice ale angajaților și clienților, sau dacă sunt legate de infrastructura organizației și ar putea deveni un punct de intrare pentru intruși.

Un zid de apărare pentru aplicații web protejează, de asemenea, soluțiile personalizate utilizate de companii. Aceste sisteme conțin adesea cod vulnerabil și pot reprezenta o amenințare pentru securitatea întreprinderii. Un WAF oferă apărare la stratul 7 al modelului Open Systems Interconnect (OSI). Acesta analizează solicitările pe care nici firewalls tradiționale, nici firewalls de ultimă generație (NGFW) nu le pot controla. În plus față de securizarea unui site web corporativ, acesta protejează serverele de aplicații web, supraveghează integrările cu servicii terțe și gestionează amenințările care nu sunt legate de vulnerabilități, cum ar fi atacurile DDoS.

Există două diferențe fundamentale între un WAF și alte firewalls: funcționale și arhitecturale. Caracteristicile funcționale includ capacitatea de a analiza formate specializate în HTTP (de exemplu, JSON), ceea ce nu pot face NGFW și alte sisteme. Caracteristicile arhitecturale se referă la modul în care este implementat într-o rețea. Un zid de apărare pentru aplicații web funcționează în primul rând ca proxy invers, tratând doar aplicații interne.

Vorbind figurativ, un WAF este un produs care previne ca un site web vulnerabil să fie compromis. În ceea ce privește locația, NGFW este instalat la poartă, în timp ce WAF este instalat acolo unde se află site-ul web.

NGFW, un firewall regulat și un sistem clasic de prevenire a intruziunilor (IPS) sunt dispozitive multiprotocol, în timp ce un WAF este limitat la protocoalele de aplicații web care utilizează HTTP ca transport. O astfel de soluție arată o eficiență mai mare într-un anumit nișă datorită analizei mai profunde a protocoalelor specializate. În mod important, un WAF „știe” exact care sunt aplicațiile pe care le protejează. Acesta poate aplica politici de securitate diferite în funcție de obiectul către care se îndreaptă traficul.

Este posibil să se utilizeze o soluție externalizată în acest domeniu? Acesta este un mod viabil, dar este extrem de greu de pus în practică. În acest caz, compania devine, în esență, dezvoltatorul propriei soluții și trebuie să gestioneze nu numai dezvoltarea, ci și întregul ciclu de suport tehnic.

Un alt aspect important este alegerea între o variantă de implementare locală și un serviciu cloud. Acesta este, în mare măsură, o chestiune de încredere în furnizorul de cloud. Piața securității aplicațiilor web se mută activ către cloud, ceea ce înseamnă că tot mai mulți clienți consideră riscurile unor astfel de servicii acceptabile.

De asemenea, este important să se atingă și aspectele pro și contra ale seturilor de instrumente WAF de tip software și hardware, precum și ale celor bazate numai pe software. Soluțiile ajustate pentru anumite hardware pot funcționa mai eficient decât sistemele universale care rulează pe orice echipament. Partea cealaltă a monedei se reduce la dorința clientului de a lucra cu anumite platforme hardware deja în uz.

Problema are și aspecte organizaționale și birocratice. Uneori este mai ușor pentru un departament de securitate a informației să cumpere un pachet hardware și software complet decât să justifice două articole de buget separate.

Caracteristici WAF

Fiecare WAF are un set de module de protecție prin care trece toate traficul. Securitatea începe, de obicei, cu nivelurile de bază – protecția împotriva atacurilor DDoS și analiza semnăturilor. Capacitatea de a dezvolta politici de securitate personalizate și un subsistem de învățare matematică este la un nivel superior. Un bloc de integrare cu sisteme terțe apare, de obicei, la una dintre etapele finale de implementare.

Un alt component important al unui WAF este un scanner pasiv sau activ care poate detecta vulnerabilități pe baza răspunsurilor serverului și a anchetelor de pe punctele de capăt. Unele firewalls pot detecta activități suspecte pe partea browserului.

În ceea ce privește tehnologiile de detectare a atacurilor, există două sarcini fundamental diferite: validarea (verificarea datelor în solicitări specifice) și analiza comportamentală. Fiecare dintre aceste modele aplică un set propriu de algoritmi.

Dacă ne uităm la funcționarea WAF în termeni de etape de procesare a solicitărilor, există o serie de parsori, module de decodare (nu trebuie confundate cu decodificarea), și un set de reguli de blocare responsabile pentru verdictul final. Un alt strat cuprinde politici de securitate dezvoltate de oameni sau bazate pe algoritmi de învățare automată.

În ceea ce privește interacțiunea unui zid de apărare pentru aplicații web cu containere, singura diferență poate fi în particularitățile de implementare, dar principiile de bază sunt întotdeauna aceleași. Într-un mediu containerizat, WAF poate acționa ca o poartă IP, filtrând toate solicitările care curg în ecosistemul de virtualizare. În plus, poate funcționa ca un container în sine și poate fi integrat cu un autobuz de date.

Este posibil să se ofere un WAF în regim de serviciu software (SaaS)? În esență, principiul SaaS oferă acces deplin la o aplicație și la administrarea acesteia în cloud. Acest abordare nu aduce niciun avantaj semnificativ, dar este primul pas pentru a muta o infrastructură IT în cloud. Dacă compania deleagă, de asemenea, controlul sistemului către o terță parte, acest lucru este mai asemănător cu paradigma furnizorului de servicii de securitate gestionate (MSSP), care poate oferi anumite beneficii semnificative.

Un test de penetrare pe care clientul îl poate efectua la stadiul proiectului pilot va ajuta la evaluarea eficacității WAF. În plus, furnizorii și integratorii de sisteme pot oferi clientului rapoarte regulate de performanță ale firewall-ului, care reflectă rezultatele analizei traficului.

Cum se implementează un zid de apărare pentru aplicații web

Principalele etape de implementare a unui WAF sunt următoarele:

  •       Crearea unui proiect pilot.
  •       Selectarea furnizorului.
  •       Determinarea arhitecturii soluției.
  •       Specificarea tehnicilor de backup.
  •       Implementarea complexului de software sau hardware.
  •       Instruirea și motivarea personalului pentru a utiliza WAF.

Într-o lume ideală, integrarea unui serviciu de monitorizare WAF într-o singură aplicație durează doar câteva minute. Cu toate acestea, configurarea regulilor pentru a bloca amenințările va dura mai mult timp. Există și aspecte suplimentare ale implementării, inclusiv aprobări, instruirea personalului și alte aspecte tehnice. Perioada de implementare depinde, de asemenea, de metodă, precum și de aplicația specifică și de tipurile de trafic care trebuie monitorizate.

Un proces de implementare bine orchestrat va ajuta la minimizarea falselor pozitive. Testarea extinsă la stadiul pre-producție și după lansarea sistemului ar trebui să facă treaba. O parte importantă a acestei rutine este să „învețe” soluția: un specialist în securitate poate corecta unele dintre verdicturile sale în timpul testelor. Echipele de securitate a informației ar trebui să studieze statistica generată de WAF în prima lună de funcționare pentru a vedea dacă sistemul blochează traficul legitim. În același timp, experții subliniază că toate instrumentele WAF au o anumită rată de fals pozitive.

Atunci când vine vorba de integrarea WAF cu alte mecanisme de securitate, principalele domenii de activitate sunt:

  •       Sisteme de gestionare a informațiilor și evenimentelor de securitate (SIEM) (WAF acționează ca furnizor de date).
  •       Diferite tipuri de cutii de nisip.
  •       Nuclei antivirus.
  •       Sisteme de prevenire a pierderii de date (DLP).
  •       Scanere de vulnerabilități.
  •       Unelte de securitate în cadrul platformei Kubernetes.
  •       NGFW.

Tendințe și previziuni pe piața WAF

Popularitatea diferitelor API-uri web deschise este în creștere, iar analiștii prevăd o schimbare a accentului soluțiilor de securitate către aceste cadre. Gartner are chiar o definiție pentru un astfel de produs – Protecția aplicațiilor și API-urilor web (WAAP).

Pandemia a determinat o creștere dramatică a dependenței de lumea online. Prin urmare, importanța WAF va crește, și este posibil ca acesta să devină una dintre principalele condiții prealabile pentru asigurarea securității oricărei resurse web. Acesta va deveni, probabil, și mai „aproape” de aplicațiile web și va fi integrat în procesul de dezvoltare.

În ceea ce privește tendințele tehnologice ale evoluției WAF, experții prevăd o implicare mai activă a inteligenței artificiale și a sistemelor de învățare automată multistrat. Acest lucru va duce la o nouă nivel a capacităților de detectare a diferitelor amenințări, și utilizarea modelelor pregenerate create în interiorul companiei va deveni norma. În plus, analiștii remarcă o creștere a implementării mecanismelor de filtrare bazate pe factori comportamentali.

Pe partea de implementare, integrarea WAF cu serviciile cloud va continua. O tendință de utilizare a sistemelor de securitate deschise va influența, de asemenea, această industrie. Atât clienții, cât și furnizorii vor beneficia de această reacție naturală la cerințele actuale ale pieței.

Concluzii

Zidul de apărare pentru aplicații web este un element cheie al securității web actuale. Numărul tot mai mare de sarcini critice efectuate prin interfețe web și API-uri deschise este o forță puternică de conducere în acest domeniu. Un client poate alege între implementarea unui WAF în cadrul infrastructurii sale, integrarea sistemelor hardware și software of-the-shelf în aceasta sau utilizarea serviciilor cloud.

O altă tendință care schimbă jocul este integrarea WAF cu alte sisteme de securitate a informației și fluxuri de lucru de dezvoltare a site-urilor web. Acest lucru face ca WAF să devină un component inalienabil al unui proces eficient DevSecOps.

Related Topics:
mm

David Balaban este un cercetător în domeniul securității calculatoarelor, cu peste 17 ani de experiență în analiza malware-ului și evaluarea software-ului antivirus. David conduce proiectele MacSecurity.net și Privacy-PC.com care prezintă opinii ale experților pe probleme actuale de securitate a informației, incluzând ingineria socială, malware, testarea de penetrare, inteligența amenințărilor, confidențialitatea online și hacking-ul cu pălărie albă. David are o puternică experiență în soluționarea problemelor de malware, cu o focalizare recentă pe măsurile de contracarare a ransomware-ului.