Zbulime gjithmonë aktive në firewall-in e aplikacionit web

Informatec Digital » Burime » Zbulime gjithmonë aktive në firewall-in e aplikacionit web

Siguria në internet nuk ka më të bëjë vetëm me instalimin e softuerit antivirus dhe kryqëzimin e gishtave. Sot, Aplikacionet web dhe API-të janë në zemër të pothuajse çdo biznesi.Dhe kjo i bën ata një objektiv kryesor për sulme. Që nga dyqanet online Nga bankat dixhitale te platformat SaaS, gjithçka kalon përmes HTTP dhe HTTPS… pikërisht aty ku hyn në lojë firewall-i i aplikacioneve web.

Një WAF modern nuk filtron vetëm trafikun: ai ofron zbulime gjithmonë aktive në firewall-in e aplikacionit webAi i përshtat rregullat e tij në kohë reale, integrohet me shtresa të tjera të mbrojtjes dhe ndihmon në përmbushjen e rregulloreve të tilla si PCI DSS ose GDPR. Çelësi është të kuptohet plotësisht se çfarë bën, si funksionon, cilat modele ekzistojnë dhe si ta zbatoni atë pa kompromentuar performancën ose përvojën e përdoruesit.

Çfarë është një WAF dhe pse është kaq i rëndësishëm sot?

Një firewall i aplikacionit web (WAF) është një mekanizëm i specializuar sigurie në shtresën 7 Bazuar në modelin OSI, një WAF është projektuar për të monitoruar, filtruar dhe bllokuar trafikun HTTP dhe HTTPS që hyn dhe del nga një aplikacion web ose API. Ndryshe nga një firewall tradicional, i cili mbron rrjetin në tërësi (shtresat 3 dhe 4), një WAF ndodhet midis klientit dhe aplikacionit dhe kupton kontekstin e kërkesave web.

Misioni i saj kryesor është për të ndaluar sulmet që shfrytëzojnë dobësitë në vetë aplikacioninInjeksione SQL, skriptime ndërfaqësore (XSS), falsifikim kërkesash ndërfaqësore (CSRF), abuzim me autentifikimin, përpjekje me forcë brutale, shfrytëzim i dobësive kriptografike ose të kontrollit të aksesit, etj. Shumë nga këto kërcënime përfshihen në OWASP Top 10 të famshëm, i cili mbetet pika referuese e industrisë dekada më vonë.

Ky lloj firewall-i mund të ofrohet si pajisje fizike, softuer i instaluar në servera ose shërbim në cloudCilado qoftë modeli, ideja është e njëjtë: inspektoni çdo kërkesë HTTP/HTTPS, krahasojeni atë me një sërë politikash sigurie dhe vendosni në milisekonda nëse do ta lejoni, bllokoni apo sfidoni klientin (për shembull, me një captcha ose një sfidë JavaScript).

Në një mjedis ku aplikacionet publikohen shpejt, me komponentë me burim të hapur dhe vendosje të vazhdueshme, është e zakonshme të kesh dobësitë në prodhim para azhurnimitKëtu WAF vepron si një "jastëk ajri": nuk e rregullon kodin, por mund të parandalojë sulmet që e shfrytëzojnë atë.

Kërcënimet kryesore që bllokon një firewall i aplikacionit web

Një WAF i konfiguruar mirë mund të zbusë një gamë shumë e gjerë sulmesh kundër aplikacioneve dhe API-ve. Disa nga më të zakonshmet janë:

• Injeksion SQL (SQLi)Sulmuesi përpiqet të injektojë komanda SQL në formularë ose parametra për të lexuar, modifikuar ose fshirë të dhëna nga baza e të dhënave.
• Skriptimi ndër-faqesh (XSS)Kjo përfshin injektimin e skripteve dashakeqe në faqet e internetit për të ekzekutuar kodin në shfletuesit e përdoruesve të tjerë.
• Falsifikim i Kërkesave Ndër-Site (CSRF)Përdoruesi mashtrohet duke dërguar kërkesa të padëshiruara në një aplikacion ku është tashmë i kyçur.
• Sulme me forcë brutale dhe mbushje kredencialeshFjalëkalimet ose kombinimet e emrit të përdoruesit/fjalëkalimit testohen derisa të jenë të suksesshme, zakonisht në një mënyrë masive dhe të automatizuar.
• Mbingarkesat e memorjes dhe shfrytëzimi i dobësive të serveritmodele anomale të të dhënave hyrëse që kërkojnë të prishin logjikën ose memorien e aplikacionit.
• DDoS në nivel aplikacioni: përmbytë URL ose pika fundore specifike me kërkesa për të shteruar burimet e aplikacionit.

Përveç kësaj, WAF-të moderne përfshijnë aftësi për zbuloni dhe ndaloni trafikun e botëve dashakeq (grumbullim agresiv, hyrje automatike, blerje biletash me shumicë, etj.) duke përdorur teknika të tilla si verifikimi JavaScript, CAPTCHA, analiza e sjelljes ose identifikimi i pajisjes.

Si funksionon zbulimi gjithmonë aktiv në një WAF

Funksionimi i brendshëm i një WAF bazohet në një motor inspektimi të thellë për trafikun HTTP/HTTPS dhe brenda një sërë politikash ose rregullash. Çdo kërkesë analizohet në disa nivele për të përcaktuar fatin e saj:

Nga njëra anë, ka rregulla të paracaktuaraKëto rregulla shpesh bazohen në grupe standarde siç është OWASP ModSecurity Core Rule Set ose ekuivalentët e tyre pronësorë. Ato mbulojnë nënshkrime të njohura të sulmit (modele tipike të injektimit SQL, XSS, përshkimit të shtegut, etj.).

Nga ana tjetër, zbulimi gjithmonë aktiv mbështetet në metoda më të avancuara të analizës:

• Shprehje të rregullta për të gjetur modele të dyshimta brenda parametrave, kokave, trupave dhe shtigjeve.
• Modelet e vlerësimit të rrezikut që caktojnë një "pikë rreziku" duke kombinuar sinjale të shumëfishta nga secila kërkesë.
• SmartParse të strukturave komplekse (JSON, XML, ngarkesa të koduara) për të identifikuar sulmet që janë të maskuara midis të dhënave legjitime.
• Analiza e sjelljes dhe korrelacioni historik i trafikut për të dalluar sjelljen normale nga modelet më delikate të sulmit.

Me të gjitha këto, WAF mund të zbatojë politika në kohë reale: lejoni, bllokoni, regjistroni ose kundërshtoni një kërkesëPërveç kësaj, ai regjistron ngjarjet në regjistra të detajuar që më pas mund të dërgohen në një platformë SIEM ose SOAR për korrelacion, auditim dhe përgjigje të automatizuar.

Një pikë kyçe është se zbulimet nuk janë statike. Një WAF efektiv ka përditësime të vazhdueshme të rregullave dhe nënshkrimeve për t'u përshtatur me dobësitë dhe teknikat e reja të shmangies, dhe shumë prej tyre përfshijnë të mësuarit automatik dhe inteligjencën e kërcënimeve në cloud për të përsosur zbulimin pa ndërhyrje të vazhdueshme manuale.

Modelet e sigurisë: lista e zezë, lista e bardhë dhe hibride

Sjellja e firewall-it të aplikacionit mund të përcaktohet sipas tre qasjeve kryesore të sigurisë:

• Modeli negativ i sigurisë (lista e zezë)Kërkesat lejohen si parazgjedhje, përveç atyre që përputhen me nënshkrime ose modele të kategorizuara si keqdashëse.
• Modeli pozitiv i sigurisë (lista e bardhë)Çdo gjë që nuk lejohet në mënyrë të qartë bllokohet; lejohen vetëm kërkesat që plotësojnë një profil shumë specifik të "trafikut të mirë".
• Modeli hibridTë dyja qasjet kombinohen, duke aplikuar lista të bardha për operacionet kritike dhe lista të zeza për pjesën tjetër të trafikut.

Lista e bardhë zakonisht është më të sigurta, por edhe më të kërkuara për t'u konfiguruarSepse kërkon një kuptim të plotë se cili trafik është legjitim. Një listë e zezë është më e thjeshtë fillimisht, por mund të lërë boshllëqe për sulme zero-day ose teknika të reja. Kjo është arsyeja pse shumë WAF moderne zgjedhin një qasje hibride, të rregullueshme sipas aplikacionit ose pikës fundore.

Llojet e WAF-ve sipas vendosjes së tyre

Në varësi të vendit dhe mënyrës së instalimit të tyre, mund të dallojmë disa lloje të firewall-eve të aplikacioneve web, secili me pro dhe kundrat e veta në aspektin e: kosto, kontroll, dukshmëri dhe performancë:

• WAF-të e bazuara në rrjet (hardware)pajisje fizike që vendosen në infrastrukturën e rrjetit, midis internetit dhe serverave të aplikacioneve.
• WAF-të e bazuara në host ose softuerAto instalohen direkt në serverat ku funksionon aplikacioni, ose si një modul i integruar në grupin e vetë aplikacionit.
• WAF-të e bazuara në cloudTë ofruara si shërbim nga një ofrues i cloud ose edge/CDN, ato zakonisht konfigurohen duke ndryshuar cilësimet e DNS ose të proxy-t.
• Vendosjet hibrideAto kombinojnë WAF-të lokale (në ambiente të brendshme ose host) me WAF-të e bazuara në cloud për të mbuluar njëkohësisht mjedise të përziera, të trashëguara dhe cloud-native.

Pajisjet e rrjetit ofrojnë Latenci e ulët dhe shumë kontroll lokalMegjithatë, ato kërkojnë investime në harduer dhe mirëmbajtje. WAF-të e bazuara në host ofrojnë një dukshmëri shumë të detajuar të aplikacionit, megjithëse konsumojnë burime të serverit dhe kërkojnë më shumë menaxhim. Shërbimet cloud dallohen për shkallëzueshmërinë, vendosjen e shpejtë dhe lehtësinë e mirëmbajtjes, megjithëse ato përfshijnë sakrifikimin e një pjese të kontrollit të brendshëm dhe, në disa raste, të kontekstit të plotë të të gjitha kërcënimeve.

WAF kundrejt sistemeve të tjera të sigurisë: NGFW, IPS dhe firewall-et tradicionale

Është e zakonshme të ngatërrohet roli i një WAF-i me pajisje të tjera sigurie. Secila prej tyre ka vendin e vet në arkitekturë:

Un firewall tradicional Ai përcakton perimetrin midis rrjetit të brendshëm dhe të jashtëm, duke kontrolluar portet, adresat IP dhe protokollet e nivelit të ulët. Nuk e kupton logjikën e aplikacioneve web, as përmbajtjen e formularëve ose URL-ve.

Un firewall i gjeneratës së ardhshme (NGFW) Ai zgjeron atë model klasik duke shtuar inspektim të thellë të paketave, kontroll të përdoruesit dhe aplikacioneve, integrim të antivirusit, anti-malware dhe inteligjencës së kërcënimeve. Disa NGFW përfshijnë aftësi WAF, por fokusi i tyre mbetet kryesisht në rrjet, ndërsa WAF është tërësisht i fokusuar në shtresën e aplikacioneve.

Nga ana e saj, a sistemi i parandalimit të ndërhyrjeve (IPS) Ai analizon të gjithë trafikun e rrjetit, në të gjitha protokollet, për të zbuluar modelet gjenerike të sulmeve. Zakonisht mbështetet në nënshkrime dhe rregulla që janë më pak kontekstuale sesa një WAF, dhe nuk hulumton gjithmonë aq thellë në semantikën HTTP ose logjikën e biznesit të aplikacionit.

Në praktikë, një arkitekturë e fuqishme kombinon NGFW, IPS dhe WAFsecila e specializuar në shtresën e saj, duke ushqyer një SIEM qendror që korrelon ngjarjet, gjeneron alarme dhe mundëson një përgjigje të koordinuar, dhe duke i lidhur ato me mjete sigurie për të automatizuar menaxhimin.

Mënyrat për të vendosur një WAF në arkitekturën e aplikacionit

Përveç llojit të zgjidhjes, duhet të merret një vendim Si futet WAF në rrjedhën e trafikut? të aplikacionit. Qasjet më të zakonshme janë:

• Urë transparenteWAF ndodhet në internet, i lidhur me të njëjtat porta si aplikacioni, pa e "parë" atë në mënyrë të qartë nga klientët ose serverët.
• Proxy transparent i kundërtAplikacionet janë të vetëdijshme për WAF-in, por klientit i duket sikur po flasin drejtpërdrejt me aplikacionin.
• Proxy i kundërt i qartëKlientët e dinë që po lidhen me një proxy, i cili nga ana tjetër i përcjell kërkesat te serverët e brendshëm.

Modaliteti i urës është zakonisht më i lehtë për t'u zbatuar sepse kërkon më pak ndryshime në konfigurim, por Ofron më pak izolim midis aplikacionit dhe firewall-it.Varietetet e ndryshme të proxy-t të kundërt e izolojnë më mirë aplikacionin, lehtësojnë shkarkimin e TLS, lejojnë inspektimin e trafikut të enkriptuar dhe ofrojnë më shumë hapësirë ​​për zbatimin e rregullave të avancuara ose logjikës së balancimit të ngarkesës.

Përparësitë kryesore të përdorimit të një firewall-i për aplikacione web

Përshtatja e një WAF-i të mirë-akorduar ofron përfitime të qarta si në nivelin teknik ashtu edhe në atë të biznesit. Ndër më të rëndësishmet janë:

• Mbrojtje e avancuar kundër sulmeve specifike të aplikacionittë cilat një firewall rrjeti ose një IPS i thjeshtë nuk mund t'i bllokonte me të njëjtën saktësi.
• Zvogëlimi i rrezikut të shkeljeve të të dhënave dhe ndërprerjeve të shërbimitduke shmangur kostot direkte (ndërprerjet, shpëtimet, gjobat) dhe kostot indirekte (dëmtimi i reputacionit, humbja e besimit).
• Ndihmë me pajtueshmërinë rregullatoreveçanërisht në kërkesa të tilla si PCI DSS, të cilat kërkojnë mbrojtje të aplikacioneve të orientuara drejt internetit dhe prova të monitorimit dhe bllokimit të kërcënimeve.
• Shkallueshmëria dhe fleksibilitetiSidomos në modelet cloud dhe edge, të cilat lejojnë thithjen e rritjeve të trafikut dhe ngarkesave të ndryshueshme pa ridizajnuar të gjithë infrastrukturën.

Shumë ofrues profesionistë të hostingut përfshijnë një WAF të integruar në platformën e tyre. Kjo thjeshton procesin e sigurimit që një faqe interneti ose aplikacion të ketë qasje në të që nga dita e parë. Zbutje automatike kundër injektimit, XSS, sulmeve bazë DDoS dhe abuzimit me autentifikimin, pa pasur nevojë që ekipi të fillojë nga e para me rregulla komplekse.

Sfidat reale gjatë zbatimit të një WAF dhe si t'i trajtoni ato

Vetëm pse një WAF është i fuqishëm nuk do të thotë se gjithçka do të shkojë mirë. Ka një numër sfidash që duhen mbajtur parasysh për t'u siguruar që zbulimi të jetë gjithmonë aktiv. mos i lini të bëhen bllokime bezdisëse dhe të përhershme:

• Pozitive falseKy është një problem klasik. Një rregull i keqakorduar mund të bllokojë trafikun legjitim, të ndërpresë një rrjedhë blerjeje ose të parandalojë që një API të funksionojë siç duhet.
• Nevojë për përditësime të vazhdueshmeNëse firmat dhe politikat nuk modernizohen, WAF do të mbetet i verbër ndaj teknikave të reja të sulmit.
• Kompleksiteti i konfigurimitPërcaktimi i rregullave të mira, kuptimi i regjistrave dhe përshtatja e politikave kërkon njohuri të specializuara.
• Ndikimi në performancëÇdo inspektim shton një ngarkesë. Projektimi i dobët ose një vendndodhje e keqe mund të rezultojë në vonesë të lartë.
• Teknikat e evazionit nga sulmuesit, të cilët fragmentojnë paketat, kodojnë ngarkesat në mënyra të çuditshme ose abuzojnë me veçoritë e protokollit për të anashkaluar kontrollet.

Zbutja e këtyre sfidave përfshin kombinimin e dizajn i mirë fillestar dhe mirëmbajtje e vazhdueshmeVendosni kritere performance, regjistroni metrika (përdorues të njëkohshëm, kërkesa për sekondë, kohë përgjigjeje), përcaktoni role të qarta (kush menaxhon rregullat, kush shqyrton alarmet, sa shpesh rishikohen politikat) dhe integroni WAF me SOC, DevOps dhe mjetet e monitorimit të organizatës.

Praktikat më të mira për të përfituar sa më shumë nga zbulimi gjithmonë aktiv

Për t'u siguruar që muri mbrojtës i aplikacionit tuaj funksionon në favorin tuaj dhe jo kundër jush, këshillohet të ndiqni një sërë praktikash që shumë prodhues dhe ekipe sigurie i konsiderojnë thelbësore:

• Integroni WAF-in me infrastrukturën ekzistuese (CDN, balancues të ngarkesës, proxy, SIEM, zgjidhje DDoS, IPS) në vend që ta shohin atë si një "kub të izoluar".
• Përcaktoni KPI-të e performancës dhe sigurisë që nga fillimi (shkallë pozitive të rreme, sulme të bllokuara, latencë e shtuar, etj.).
• Prezantoni role specifike të menaxhimit të WAF-it, në përputhje me zhvillimin, operacionet dhe SOC-në, në mënyrë që rregullat të evoluojnë së bashku me aplikacionet.
• Përdorni listat e rregullave të parakonfiguruara si bazë, por përshtatini ato për secilin aplikacion: përcaktoni përjashtime, lista të bardha specifike dhe rregulla të personalizuara për rrjedhat kritike.
• Integro me platformat e menaxhimit të ngjarjeve (SIEM) për të lidhur regjistrat WAF me sensorë të tjerë dhe për të marrë një pasqyrë të përgjithshme.
• Rishikoni politikat periodikisht, duke eliminuar rregullat e vjetruara dhe duke përshtatur pragjet e kufizimit të shpejtësisë, kontrollin e sesioneve dhe mbrojtjen kundër botëve sipas sjelljes aktuale të përdoruesve.

WAAP dhe WAAS: evolucioni i WAF për aplikacionet dhe API-të moderne

Me rritjen e arkitekturave të bazuara në cloud, mikroshërbimeve dhe API-ve kudo, WAF klasik ka dështuar. Prandaj lindja e Mbrojtja e Aplikacioneve Web dhe API-ve (WAAP), shpesh ofrohet si WAAS (Siguria e Aplikacionit Web dhe API) në modalitetin e shërbimitqë shkon një hap më tej:

• Zbulimi automatik i aplikacioneve dhe pikave fundore të API-tduke parandaluar që shërbimet të mbeten të ekspozuara pa mbrojtje.
• Importimi i specifikimeve të API-t (Swagger, OpenAPI, etj.) për të vërtetuar që kërkesat janë në përputhje me kontratën e përcaktuar.
• Mbrojtje specifike për OWASP API Top 10 dhe për abuzime të logjikës së biznesit në thirrjet API.
• Bot i integruar në nivel aplikacioni dhe zbutje e DDoSpërveç funksioneve tradicionale WAF.
• Aftësia për të aplikuar politika të ndryshme për çdo pikë fundoreduke i bërë ata që menaxhojnë të dhëna të ndjeshme shumë më të vështirë.

Kjo qasje i përgjigjet realitetit aktual: shumë shkelje nuk ndodhin më për shkak të uebit tipik "klasik", por sepse API të dokumentuara dobët, pika fundore të harruara dhe shërbime të ekspozuara në cloud të shumëfishtaAutomatizimi i zbulimit të tyre dhe mbrojtja e tyre me të njëjtat aftësi zbulimi gjithmonë aktive është thelbësore për të shmangur lënien e hapur të dyerve të pasme.

Në përgjithësi, një kuptim i mirë i asaj që bën një WAF, si funksionojnë mekanizmat e tij të zbulimit të vazhdueshëm, cilat modele të vendosjes ekzistojnë dhe si ta integroni atë me pjesën tjetër të ekosistemit të sigurisë ju lejon të ndërtoni një mbrojtje shumë më të fortë rreth aplikacioneve dhe API-ve, duke zvogëluar rrezikun e sulmeve të suksesshme pa penalizuar shkathtësinë ose përvojën e përdoruesit.

Artikulli i lidhur:

Siguria në internet në Django: një udhëzues praktik dhe i hollësishëm