Sua empresa usa aplicações web? Então o web application firewall (WAF) é um componente essencial para a proteção do seu negócio. Afinal, o volume e a complexidade dos ataques cibernéticos voltados a esse tipo de aplicação nunca foram tão altos como atualmente; e com tantos dados sensíveis que as aplicações armazenam, protegê-los é um dever.
E quanto ao firewall de rede que você já utiliza? Ele exerce um papel importante na sua linha de defesa, porém é insuficiente para lidar com ataques direcionados à camada de aplicação. É necessário dispor de ferramentas projetadas para combater tais ameaças, como é o caso do WAF.
O que é um web application firewall?
WAF é um tipo de firewall que protege aplicações web a partir do controle e monitoramento de tráfego HTTP e HTTPS. Com ele, é possível criar um conjunto de análise de tráfego instantânea para que ameaças como Cross-Site Scripting, SQL injections e DDoS sejam identificadas e tratadas antes de chegarem à aplicação.
Diferentemente de um firewall tradicional, que atua na camada de rede e se propõe a impedir acessos não autorizados ou ataques a redes privadas seguindo uma lógica previamente implementada pelo administrador do firewall – a qual denominamos “stateless” –, o WAF protege os componentes da aplicação expostos à Web usando uma abordagem diferente.
Logo, o WAF não substitui um firewall de rede, mas o complementa, avaliando em tempo real se a requisição se enquadra em padrões conhecidos de ataques a partir de uma base independente de ações do administrador para análise – esta lógica, por sua vez, é conhecida como “stateful”. Nela, o WAF considera todas as pré-configurações de perfis de tráfego definidos e realiza a classificação deles.
Como funciona um WAF?
A implementação do WAF acontece entre a aplicação web e a internet. Quando uma requisição percorre as camadas de rede e transporte (3 e 4) e chega até a camada de aplicação (7), o WAF, por meio de um conjunto de regras, realiza a filtragem de tráfego, bloqueando as requisições que configuram potenciais ameaças.
Imagine a sua aplicação como um show ou evento esportivo. Para que consigam entrar, os fãs têm de passar pelo primeiro controle de acesso, onde eles se identificam, apresentam o ingresso, são inspecionados por detectores de metais, etc.
Porém, existe um setor reservado a convidados, e estes precisam preencher os requisitos para obter acesso – caso contrário serão barrados. No contexto de aplicações web, quando o usuário não se enquadra às condições que o credenciam como legítimo, sua requisição é bloqueada.
Que tipos de ataque um WAF pode prevenir?
OWASP Top 10
O OWASP (Open Web Application Security Project) mantém um documento popularmente conhecido como “OWASP Top 10”, o qual “representa um amplo consenso sobre os riscos de segurança de aplicativos mais críticos para aplicativos da web”, além de ser “globalmente reconhecido pelos desenvolvedores como o primeiro passo para uma codificação mais segura”.
A lista da OWASP compreende vetores de ataque que representam a maior parcela de eventos de segurança cibernética, como SQL injections, Cross-Site Scripting (XSS) e XML External Entities (XXE). Portanto, a capacidade de um WAF em prevenir os riscos e ameaças relacionadas ao OWASP Top 10 deve ser considerada um requisito.
Bots
Ataques de bots têm como característica a automatização; são softwares programados para executar diversos tipos de práticas e técnicas maliciosas, como account takeover (ATO), API abuse e DDoS. Hoje em dia, bots sofisticados simulam o comportamento humano a ponto de gerar dúvidas se existe um ataque em curso.
O seu site está protegido contra bad bots? Nós temos um relatório gratuito que revela a resposta.
Zero-day
São ataques que consistem na exploração de uma vulnerabilidade recém-descoberta para atacar um sistema. Casos como o Log4Shell ilustram o efeito de um ataque zero-day e sua repercussão no mundo inteiro; afinal, quanto mais tempo se leva para corrigir a vulnerabilidade, maiores as chances de sofrer um ataque potencialmente devastador.
DDoS
Como explicamos há pouco, ataques DDoS da camada de aplicação podem ser causados por bots, e o trabalho de distinguir uma requisição mal intencionada é complicado. Normalmente, o objetivo do invasor é derrubar o servidor web aplicando métodos baseados em volumetria diretamente em alguma vulnerabilidade do sistema.
Vulnerabilidades desconhecidas
Vulnerabilidades não passam a existir somente quando são descobertas. Uma vulnerabilidade existente na sua aplicação, incluindo todos os sistemas operacionais e third-party que a compõem, representa um risco que pode acarretar um ataque zero-day.
Não é qualquer WAF que tem a capacidade de proteger a sua aplicação em situações como esta. Uma vez que a vulnerabilidade em si não tem assinatura, um WAF baseado em assinaturas não pode solucionar o problema de um jeito eficaz.
Aliás, o método de bloqueio é um aspecto determinante para a eficácia de um WAF. Para entender mais a respeito, confira este post no qual explicamos as diferenças entre WAFs baseados em assinaturas e scoring.
