Nossa jornada sobre segurança de aplicações web já teve capítulos importantes, como um guia detalhado para escolher seu WAF e uma lista mostrando como o WAF da Azion ajuda a combater cada uma das ameaças OWASP Top 10.
Neste post, revisitaremos brevemente os principais métodos de detecção de ameaças adotados por WAFs disponíveis no mercado e demonstraremos as vantagens de adotar o WAF da Azion para proteger suas aplicações e APIs de ameaças já conhecidas, emergentes e de zero-day.
Principais métodos de detecção de ameaças
Como você pode verificar com maiores detalhes neste artigo, um WAF (Web Application Firewall) é uma solução que monitora e controla o tráfego HTTP e HTTPS entre servidores e clientes na internet. Ele pode bloquear ou permitir requisições a partir de regras pré-estabelecidas, que podem ser baseadas em assinaturas (também conhecidas como “vacinas”) ou em scoring. Abaixo, traçamos uma breve descrição.
Método Signature-Based
Um WAF baseado em assinatura (ou signature-based) compara cada requisição com uma lista de padrões de ataques conhecidos (as “assinaturas”). Assim, se uma requisição corresponder a alguma das assinaturas contidas no WAF, ela é bloqueada.
Trata-se de um método simples e que pode ser bastante eficaz contra ataques já conhecidos, mas que tem algumas limitações, entre as quais o fato de que ele dificilmente consegue conter um ataque ainda não registrado em seu banco de assinaturas.
Dessa forma, uma aplicação ou API protegida por um WAF baseado em assinatura pode ainda assim estar completamente exposta a ataques emergentes e ameaças de zero-day, pois atacantes empenham seus esforços em ocultar ou contornar caracteres ou comandos suspeitos para que suas requisições não sejam correspondentes a determinadas assinaturas. Para conter essa deficiência, WAFs baseados em assinatura precisam de atualizações constantes para serem capazes de detectar novos ataques que surgem diariamente.
Mas não é só isso: por realizar a comparação de cada requisição com as assinaturas de milhares de ataques, esse método de detecção tende a afetar a latência de sites e aplicações, provocando prejuízos à experiência do usuário, o que pode ser especialmente danoso para serviços time-sensitive como meios de pagamento e streaming.
Método Scoring-Based
Um WAF baseado em scoring, por sua vez, analisa requisições com base em critérios como comandos e dados contidos nelas. Dessa forma, atribui-se uma pontuação (ou score) para cada requisição, e caso ela esteja acima do limite definido no WAF, a requisição é bloqueada.
Assim, em vez de comparar as requisições com um banco de assinaturas conhecidas, o WAF se baseia em regras estabelecidas pelo administrador para monitorar informações das requisições e bloqueá-las caso sejam encontrados elementos considerados suspeitos (como “INSERT” ou “\\”, por exemplo).
Entre os benefícios dessa abordagem, está o fato de que ela não impacta a latência como a signature-based, já que realiza comparações de campos específicos da requisição com um conjunto pequeno de regras, em vez de comparar a requisição inteira com um banco de milhares de assinaturas.
Além disso, como as regras podem ser estabelecidas partindo de características de requisições que normalmente são suspeitas, um WAF scoring-based consegue bloquear inclusive ameaças que ainda não foram descobertas, sendo muito mais confiável e efetivo contra ataques emergentes e de zero-day.
Conheça o WAF da Azion
Como funciona
Para oferecer a melhor proteção aos nossos clientes, o WAF da Azion utiliza o método de detecção scoring-based. Isso significa que cada requisição recebida é comparada com um conjunto detalhado de regras e recebe uma pontuação, que pode ser associada a riscos de segurança em aplicações web.
Uma vantagem significativa de associar essa abordagem à arquitetura de proteção multi-camadas da Azion é que a nossa plataforma de edge é altamente distribuída em pontos de presença (ou edge locations) independentes, o que faz com que as requisições sejam diretamente recebidas e tratadas em nossa infraestrutura, sem a necessidade de uma nova conexão com a origem ou utilização de um ambiente isolado em cloud. Toda requisição recebida é tratada utilizando um conjunto de regras de segurança eficiente e performático e, de acordo com o score atribuído, requisições suspeitas podem ser bloqueadas diretamente nas edge locations, sem a necessidade de uma nova requisição ou conexão com a origem, resultando na mitigação da origem do ataque.
Além disso, você pode personalizar a sensibilidade desejada para o bloqueio de cada família de ameaças de acordo com as especificidades da sua aplicação e do seu negócio, diminuindo o risco de falsos-positivos ao mesmo tempo em que mantém sua aplicação e seus usuários seguros contra ameaças de todos os tipos. Isso também é garantido na etapa de aprendizagem da ferramenta, em que o WAF Rule Set identifica os comportamentos legítimos da sua aplicação e os insere em uma lista de permissões conhecida como whitelist.
O WAF Tuning também permite adaptar o comportamento do seu WAF por meio da análise de IPs normalmente bloqueados, flexibilizando as regras de scoring para tráfego interno e testes legítimos realizados na sua aplicação.
Para mais detalhes sobre as configurações de sensibilidade, do Rule Set e do WAF Tuning, além de todo o processo de implementação e utilização do WAF da Azion, você pode consultar a nossa documentação.
Vantagens
O WAF da Azion é Baseado em Scoring
Como já destacamos acima, o método de detecção de ameaças mais seguro e com menor impacto sobre a performance das suas aplicações é o scoring-based, e esse é o adotado pelo WAF da Azion. Dessa forma, você maximiza a detecção e mitigação de ameaças conhecidas e desconhecidas, reduz o número de falsos positivos e aplica políticas específicas para bots e usuários humanos, sem perder em performance e sem necessitar de atualizações frequentes.
O WAF da Azion tem configuração e implementação ultrarrápidas
Além de garantir proteção eficiente após implantado, o WAF da Azion também traz como benefício uma configuração e implementação fáceis e ultrarrápidas. Utilizando dashboards e interfaces intuitivas, você cria seu WAF, define regras específicas para o seu negócio, estabelece graus de sensibilidade e implementa a segurança em toda a rede global de edge locations da Azion em minutos.
O WAF da Azion conta com regras preestabelecidas e customizáveis
Para contar com todos esses benefícios, você pode utilizar as regras preestabelecidas do WAF da Azion (que adota o mais alto grau de sensibilidade como padrão), ou pode customizar regras e condições de acordo com as necessidades e especificidades do seu campo de atuação, reforçando a proteção contra ameaças mais frequentes e diminuindo o grau de sensibilidade de outras para evitar falsos positivos. Na imagem a seguir, você tem um exemplo de como tudo isso é feito de forma simples no nosso Real-Time Manager.
O WAF da Azion atende às regras de compliance mais reconhecidas no mercado
Na economia da informação globalizada, atender a regras estritas de compliance de dados é imprescindível para cuidar da segurança das informações dos seus usuários. Para garantir isso aos nossos clientes, o WAF da Azion atende a requisitos de compliance reconhecidos mundialmente, como o SOC 3 e o PCI DSS v4.0.
Além disso, por contar com edge locations distribuídas em cinco continentes, a Azion simplifica a forma como você atende a regras locais de compliance, evitando que dados sensíveis circulem por servidores não afinados com regras de países e regiões específicos.
O WAF da Azion faz parte da Plataforma de Edge Computing mais confiável do mundo
O WAF da Azion é um módulo do Edge Firewall, o stack completo de segurança da Azion. Com ele, além de se proteger dos ataques da OWASP Top 10, ataques emergentes e de zero-day, você ainda conta com proteção DDoS ilimitada gratuita com o DDoS Protection e um perímetro programável de proteção para sua camada de rede com o Network Layer Protection.
Além disso, tanto o WAF quanto todas as nossas soluções de segurança são facilmente integradas ao Real-Time Metrics, ao Data Streaming e às nossas outras ferramentas de observabilidade, o que possibilita conexão simples com sua ferramenta de SIEM e análise de dados em tempo real para aprimorar suas regras de segurança, evitando falsos-positivos e detectando possíveis falhas que podem dar abertura para ameaças emergentes.
Na Azion você também conta com o Azion Marketplace, um catálogo digital com soluções prontas para implementação que potecializam suas aplicações e sua segurança em apenas poucos cliques, sem precisar escrever código do zero.
Por fim, a Plataforma de Edge Computing da Azion conta com ferramentas para desenvolver e entregar as melhores aplicações modernas rodando nas nossas mais de 100 edge locations distribuídas globalmente. Ferramentas como o Image Processor e Edge Caching ajudam a garantir que, mesmo contando com a mais completa e moderna proteção, suas aplicações entregarão também a melhor performance e experiência do usuário.
Casos de sucesso
A efetividade extensiva do nosso WAF scoring-based é atestada por clientes e mesmo por eventos globais.
No fim de 2022, um ataque bem-sucedido de SQL Injection (SQLi), que ficou conhecido popularmente como “WAF Bypass”, afetou um grande número de aplicações protegidas por WAFs de alguns dos maiores players globais. O WAF da Azion, por sua vez, foi capaz de bloquear esse ataque sem necessitar regras adicionais ou qualquer tipo de atualização: a proteção padrão do nosso WAF contra SQLi se mostrou efetiva em 100% dos testes realizados.
No primeiro semestre de 2023, mais um ataque, agora conhecido CRLF Injection Bypass, também surpreendeu grandes provedores de serviços que utilizam WAFs signature-based e se viram vulneráveis a essa ameaça emergente. Mais uma vez, o WAF da Azion provou sua efetividade sem necessidade de quaisquer atualizações.
Nossos clientes também atestam a eficácia e eficiência do WAF da Azion diariamente. Empresas como B2W (que engloba plataformas como Americanas.com e Submarino.com), Magalu e Netshoes são algumas das que têm usado nossa solução para bloquear milhões de ataques por ano e reduzir drasticamente o número de falsos positivos, frequentes em WAFs signature-based e que podem ser prejudiciais por impedir que tráfego legítimo chegue até suas aplicações.
Conclusão
O WAF da Azion é o match ideal para empresas que querem proteger suas aplicações contra ameaças da OWASP Top 10, ataques emergentes e ameaças de zero-day sem perder em performance nem bloquear tráfego legítimo. Crie uma conta grátis agora mesmo para comprovar todos os benefícios do nosso WAF e do edge computing na prática, e fale com um dos nossos experts para descobrir como a Azion pode impulsionar a revolução digital na sua empresa.
