Sua empresa usa aplicações web? Então o web application firewall (WAF) é um componente essencial para a proteção do seu negócio. Afinal, o volume e a complexidade dos ataques cibernéticos voltados a esse tipo de aplicação nunca foram tão altos como atualmente; e com tantos dados sensíveis que as aplicações armazenam, protegê-los é um dever.
E quanto ao firewall de rede que você já utiliza? Ele exerce um papel importante na sua linha de defesa, porém é insuficiente para lidar com ataques direcionados à camada de aplicação. É necessário dispor de ferramentas projetadas para combater tais ameaças, como é o caso do WAF.
O que é um web application firewall?
WAF é um tipo de firewall que protege aplicações web a partir do controle e monitoramento de tráfego HTTP e HTTPS. Com ele, é possível criar um conjunto de análise de tráfego instantânea para que ameaças como Cross-Site Scripting, SQL injections e DDoS sejam identificadas e tratadas antes de chegarem à aplicação.
Diferentemente de um firewall tradicional, que atua na camada de rede e se propõe a impedir acessos não autorizados ou ataques a redes privadas seguindo uma lógica previamente implementada pelo administrador do firewall – a qual denominamos “stateless” –, o WAF protege os componentes da aplicação expostos à Web usando uma abordagem diferente.
Logo, o WAF não substitui um firewall de rede, mas o complementa, avaliando em tempo real se a requisição se enquadra em padrões conhecidos de ataques a partir de uma base independente de ações do administrador para análise – esta lógica, por sua vez, é conhecida como “stateful”. Nela, o WAF considera todas as pré-configurações de perfis de tráfego definidos e realiza a classificação deles.
Como funciona um WAF?
A implementação do WAF acontece entre a aplicação web e a internet. Quando uma requisição percorre as camadas de rede e transporte (3 e 4) e chega até a camada de aplicação (7), o WAF, por meio de um conjunto de regras, realiza a filtragem de tráfego, bloqueando as requisições que configuram potenciais ameaças.
Imagine a sua aplicação como um show ou evento esportivo. Para que consigam entrar, os fãs têm de passar pelo primeiro controle de acesso, onde eles se identificam, apresentam o ingresso, são inspecionados por detectores de metais, etc.
Porém, existe um setor reservado a convidados, e estes precisam preencher os requisitos para obter acesso – caso contrário serão barrados. No contexto de aplicações web, quando o usuário não se enquadra às condições que o credenciam como legítimo, sua requisição é bloqueada.
Que tipos de ataque um WAF pode prevenir?
OWASP Top 10
O OWASP (Open Web Application Security Project) mantém um documento popularmente conhecido como “OWASP Top 10”, o qual “representa um amplo consenso sobre os riscos de segurança de aplicativos mais críticos para aplicativos da web”, além de ser “globalmente reconhecido pelos desenvolvedores como o primeiro passo para uma codificação mais segura”.
A lista da OWASP compreende vetores de ataque que representam a maior parcela de eventos de segurança cibernética, como SQL injections, Cross-Site Scripting (XSS) e XML External Entities (XXE). Portanto, a capacidade de um WAF em prevenir os riscos e ameaças relacionadas ao OWASP Top 10 deve ser considerada um requisito.
Bots
Ataques de bots têm como característica a automatização; são softwares programados para executar diversos tipos de práticas e técnicas maliciosas, como account takeover (ATO), API abuse e DDoS. Hoje em dia, bots sofisticados simulam o comportamento humano a ponto de gerar dúvidas se existe um ataque em curso.
O seu site está protegido contra bad bots? Nós temos um relatório gratuito que revela a resposta.
Zero-day
São ataques que consistem na exploração de uma vulnerabilidade recém-descoberta para atacar um sistema. Casos como o Log4Shell ilustram o efeito de um ataque zero-day e sua repercussão no mundo inteiro; afinal, quanto mais tempo se leva para corrigir a vulnerabilidade, maiores as chances de sofrer um ataque potencialmente devastador.
DDoS
Como explicamos há pouco, ataques DDoS da camada de aplicação podem ser causados por bots, e o trabalho de distinguir uma requisição mal intencionada é complicado. Normalmente, o objetivo do invasor é derrubar o servidor web aplicando métodos baseados em volumetria diretamente em alguma vulnerabilidade do sistema.
Vulnerabilidades desconhecidas
Vulnerabilidades não passam a existir somente quando são descobertas. Uma vulnerabilidade existente na sua aplicação, incluindo todos os sistemas operacionais e third-party que a compõem, representa um risco que pode acarretar um ataque zero-day.
Não é qualquer solução de WAF que tem a capacidade de proteger a sua aplicação em situações como esta. Como a vulnerabilidade em si não tem assinatura, não há como um WAF baseado em assinaturas solucionar o problema.
Sete perguntas a fazer antes de escolher uma solução WAF
1. Quais são suas capacidades e funcionalidades?
Pergunte ao fornecedor se a solução é capaz de minimizar casos de falsos-positivos, distinguir robôs e usuários humanos com precisão, bloquear ataques zero-day e outras ameaças complexas; e como se propõe a fazê-lo. Coloque tudo na balança ao analisar as opções de mercado.
2. Tem recursos de automatização?
Automatizar o máximo de tarefas de segurança possível ajuda o time de experts a ser mais produtivo e atuante em operações com graus maiores de criticidade e complexidade. Para a área de TI como um todo, integrar regras de WAF ao fluxo de CI/CD é interessante para agilizar o desenvolvimento de software seguro e fortalecer a cultura SecDevOps entre as equipes.
3. É compatível com sistemas legados?
Você precisa ter certeza de que não terá problemas com a implementação do WAF em seus sistemas e infraestrutura legados. Por isso, considere soluções de WAF compatíveis com qualquer modelo computacional, sistemas e tipos de infraestrutura existentes, pois estas atenderão tanto suas necessidades presentes quanto futuras.
4. Oferece recursos de observabilidade?
É importante que o WAF seja integrável a plataformas analíticas – de SIEM e Big Data, por exemplo – para que seu time de experts obtenha insights que permitam aprimorar a inteligência de ameaças cibernéticas. Isso habilita, por exemplo, o rastreamento de ameaças baseado em dados, automatização de respostas a incidentes e auditorias de segurança cibernética mais aprofundadas.
5. Qual o método de detecção de ameaças?
Outro ponto é o método de segurança utilizado para detecção de ameaças. Um WAF baseado em assinaturas impõe obstáculos na identificação de ameaças zero-day. Em contrapartida, soluções baseadas em scoring são imunes ao fator tempo, pois identificam os vetores de ataque a partir de anomalias no tráfego e comportamentos de usuário não confiáveis.
6. Facilita a compliance?
Criar conjuntos de regras personalizadas é algo imprescindível para organizações que precisam atender a requisitos de compliance. Por isso, convém analisar se a solução é aderente às necessidades do negócio e se o fornecedor cumpre com padrões de segurança reconhecidos internacionalmente, como PCI DSS e SOC.
7. Bloqueia o ataque WAF Bypass?
Em dezembro de 2022, a equipe de pesquisadores de segurança da Claroty apresentou uma forma genérica de contornar os WAFs vendidos por vários fornecedores populares. Segundo Noam Moshe, um dos pesquisadores do time, criminosos poderiam acessar um banco de dados no back-end e usar vulnerabilidades e exploits adicionais para extrair informações.
Conclusão: soluções contornadas pelo WAF Bypass não se mostraram preparadas para prevenir ataques zero-day ou ameaças que explorem vulnerabilidades recentemente descobertas.
Por que o WAF da Azion?
Com o Web Application Firewall da Azion, você conta com algoritmos de scoring que garantem uma mitigação mais precisa contra ameaças sofisticadas, além de recursos avançados para:
- streaming de dados integrável com as principais plataformas analíticas;
- automatização de resposta a incidentes;
- implementação em pipelines CI/CD a fim de acelerar a validação de software;
- construção de regras personalizadas que simplificam a compliance com PCI-DSS e outros padrões de segurança;
- integração e configuração rápidas de verdade (em apenas 30 minutos).
Você também pode complementar a proteção do Web Application Firewall da Azion com os demais módulos do Edge Firewall – incluindo o DDoS Protection – e com soluções third-party disponíveis no Azion Marketplace. Conheça os benefícios mais de perto experimentando a solução gratuitamente ou acessando a documentação.
