Mga laging naka-on na detection sa web application firewall

Informatec Digital » Kayamanan » Mga laging naka-on na detection sa web application firewall

Ang seguridad sa web ay hindi na lamang tungkol sa pag-install ng antivirus software at pag-aapura. Ngayon, Ang mga web application at API ay nasa puso ng halos anumang negosyoAt dahil diyan, sila ang pangunahing target ng mga pag-atake. online na mga tindahan Mula sa digital banking hanggang sa mga SaaS platform, lahat ay dumadaan sa HTTP at HTTPS… kung saan mismo pumapasok ang web application firewall.

Hindi lang sinasala ng isang modernong WAF ang trapiko: nag-aalok ito ng mga laging naka-on na detection sa web application firewallInaayos nito ang mga patakaran nito sa totoong oras, sumasama sa iba pang mga patong ng depensa, at tumutulong na sumunod sa mga regulasyon tulad ng PCI DSS o GDPR. Ang susi ay ang lubos na maunawaan kung ano ang ginagawa nito, kung paano ito gumagana, kung anong mga modelo ang umiiral, at kung paano ito ipatupad nang hindi nakompromiso ang pagganap o karanasan ng gumagamit.

Ano ang WAF at bakit ito napakahalaga ngayon?

Ang web application firewall (WAF) ay isang espesyalisadong mekanismo ng seguridad sa layer 7 Batay sa modelo ng OSI, ang isang WAF ay idinisenyo upang subaybayan, salain, at harangan ang trapiko ng HTTP at HTTPS na pumapasok at lumalabas sa isang web application o API. Hindi tulad ng tradisyonal na firewall, na nagpoprotekta sa pangkalahatang network (mga layer 3 at 4), ang isang WAF ay nasa pagitan ng client at ng application at nauunawaan ang konteksto ng mga web request.

Ang pangunahing misyon nito ay upang pigilan ang mga pag-atake na nagsasamantala sa mga kahinaan sa mismong aplikasyonSQL injections, cross-site scripting (XSS), cross-site request forgery (CSRF), authentication abuse, brute-force attempts, pagsasamantala sa mga kahinaan sa cryptographic o access control, atbp. Marami sa mga bantang ito ay kasama sa sikat na OWASP Top 10, na nananatiling benchmark ng industriya pagkalipas ng ilang dekada.

Ang ganitong uri ng firewall ay maaaring ialok bilang pisikal na aparato, software na naka-install sa mga server, o serbisyo sa cloudAnuman ang modelo, pareho pa rin ang ideya: siyasatin ang bawat kahilingan ng HTTP/HTTPS, ihambing ito sa isang hanay ng mga patakaran sa seguridad, at magpasya sa loob ng millisecond kung papayagan, haharangan, o hahamunin ang kliyente (halimbawa, gamit ang captcha o JavaScript challenge).

Sa isang kapaligiran kung saan mabilis na inilalabas ang mga aplikasyon, gamit ang mga open-source na bahagi at patuloy na pag-deploy, karaniwan na magkaroon ng mga kahinaan sa produksyon bago ang pag-patchDiyan gumaganap ang WAF bilang isang "airbag": hindi nito inaayos ang code, ngunit mapipigilan nito ang pagsasamantala dito ng mga pag-atake.

Mga pangunahing banta na hinaharangan ng isang web application firewall

Ang isang mahusay na na-configure na WAF ay maaaring magpagaan isang napakalawak na hanay ng mga pag-atake laban sa mga aplikasyon at API. Ang ilan sa mga pinakakaraniwan ay:

• SQL Injection (SQLi)Sinusubukan ng attacker na magpasok ng mga SQL command sa mga form o parameter upang mabasa, baguhin, o mabura ang data mula sa database.
• Scripts sa Cross-Site (XSS)Kabilang dito ang paglalagay ng mga malisyosong script sa mga web page upang isagawa ang code sa mga browser ng ibang mga user.
• Pagpatawad sa Kahilingan sa Cross-Site (CSRF)Niloloko ang user na magpadala ng mga hindi gustong kahilingan sa isang application kung saan sila naka-log in na.
• Mga pag-atake ng brute force at pagpupuno ng kredensyalAng mga password o kombinasyon ng username/password ay sinusubok hanggang sa maging matagumpay ang mga ito, kadalasan sa isang malawakan at awtomatikong paraan.
• Mga buffer overflow at pagsasamantala sa mga kahinaan ng server: mga maanomalyang pattern ng input na naglalayong sirain ang lohika o memorya ng application.
• DDoS sa antas ng aplikasyon: binabaha ang mga partikular na URL o endpoint ng mga kahilingan upang maubos ang mga mapagkukunan ng application.

Bukod pa rito, ang mga modernong WAF ay may kasamang mga kakayahan para sa tuklasin at pigilan ang malisyosong trapiko ng bot (agresibong pag-scrape, mga awtomatikong pag-login, pagbili ng maramihang tiket, atbp.) gamit ang mga pamamaraan tulad ng pag-verify ng JavaScript, CAPTCHA, pagsusuri sa pag-uugali, o pagkilala sa device.

Paano gumagana ang always-on detection sa isang WAF

Ang mga panloob na gawain ng isang WAF ay batay sa isang malalim na inspeksyon na makina para sa trapiko ng HTTP/HTTPS at sa loob ng isang hanay ng mga patakaran o tuntunin. Ang bawat kahilingan ay sinusuri sa iba't ibang antas upang matukoy ang kahihinatnan nito:

Sa isang banda, mayroon paunang natukoy na mga tuntuninAng mga patakarang ito ay kadalasang nakabatay sa mga karaniwang hanay tulad ng OWASP ModSecurity Core Rule Set o mga katumbas nito. Sakop ng mga ito ang mga kilalang lagda ng pag-atake (mga tipikal na pattern ng SQL injection, XSS, path traversal, atbp.).

Sa kabilang banda, ang always-on detection ay nakasalalay sa mas advanced na mga pamamaraan ng pagsusuri:

• Mga regular na expression upang mahanap ang mga kahina-hinalang pattern sa loob ng mga parameter, header, katawan, at path.
• Mga modelo ng pagmamarka ng panganib na nagtatalaga ng "hazard score" sa pamamagitan ng pagsasama-sama ng maraming signal mula sa bawat kahilingan.
• SmartParse ng mga kumplikadong istruktura (JSON, XML, mga naka-encode na payload) upang matukoy ang mga pag-atake na nakabalatkayo sa mga lehitimong datos.
• pagsusuri ng pag-uugali at makasaysayang ugnayan ng trapiko upang maiba ang normal na pag-uugali mula sa mas banayad na mga pattern ng pag-atake.

Sa lahat ng ito, maaaring ilapat ng WAF ang mga patakaran sa totoong oras: pahintulutan, harangan, i-log, o hamunin ang isang kahilinganBukod pa rito, itinatala nito ang mga kaganapan sa detalyadong mga log na maaaring ipadala sa isang SIEM o SOAR platform para sa korelasyon, pag-awdit, at awtomatikong tugon.

Ang isang mahalagang punto ay ang mga pagtuklas ay hindi static. Ang isang epektibong WAF ay mayroon patuloy na pag-update sa mga patakaran at lagda upang umangkop sa mga bagong kahinaan at mga pamamaraan ng pag-iwas, at marami ang nagsasama ng machine learning at cloud threat intelligence upang pinuhin ang pag-detect nang walang patuloy na manu-manong interbensyon.

Mga modelo ng seguridad: blacklist, whitelist, at hybrid

Ang pag-uugali ng firewall ng aplikasyon ay maaaring tukuyin ayon sa tatlong pangunahing pamamaraan ng seguridad:

• Modelo ng negatibong seguridad (blacklist)Pinapayagan bilang default ang mga kahilingan, maliban sa mga tumutugma sa mga lagda o pattern na ikinategorya bilang malicious.
• Positibong modelo ng seguridad (whitelist)Lahat ng hindi hayagang pinapayagan ay hinaharangan; tanging ang mga kahilingang nakakatugon sa isang partikular na profile ng "mabuting trapiko" ang pinapayagang dumaan.
• Modelo ng hybridPinagsasama ang parehong pamamaraan, na naglalapat ng mga whitelist sa mga kritikal na operasyon at mga blacklist sa iba pang bahagi ng trapiko.

Ang whitelist ay karaniwang mas ligtas ngunit mas mahirap ding i-configureDahil nangangailangan ito ng masusing pag-unawa kung aling trapiko ang lehitimo. Mas simple sa simula ang isang blacklist, ngunit maaari itong mag-iwan ng mga puwang para sa mga zero-day attack o mga nobelang pamamaraan. Kaya naman maraming modernong WAF ang pumipili ng hybrid na pamamaraan, na maaaring isaayos ayon sa aplikasyon o endpoint.

Mga uri ng WAF ayon sa kanilang pag-deploy

Depende sa kung saan at paano naka-install ang mga ito, maaari nating makilala ang ilang uri ng mga web application firewall, bawat isa ay may kanya-kanyang mga kalamangan at kahinaan sa mga tuntunin ng... gastos, kontrol, kakayahang makita at pagganap:

• Mga WAF (hardware) na nakabatay sa network: mga pisikal na device na inilalagay sa imprastraktura ng network, sa pagitan ng Internet at mga application server.
• Mga WAF na nakabatay sa host o nakabatay sa softwareDirektang naka-install ang mga ito sa mga server kung saan tumatakbo ang aplikasyon, o bilang isang module na isinama sa sariling stack ng app.
• mga WAF na nakabatay sa cloud: iniaalok bilang serbisyo ng isang cloud o edge/CDN provider, karaniwang kino-configure ang mga ito sa pamamagitan ng pagbabago ng mga setting ng DNS o proxy.
• Mga hybrid na pag-deployPinagsasama nila ang mga lokal na WAF (on-premises o host) sa mga cloud-based na WAF upang sabay-sabay na masakop ang mga mixed, legacy, at cloud-native na kapaligiran.

Nag-aalok ang mga device sa network Mababang latency at maraming lokal na kontrolGayunpaman, nangangailangan ang mga ito ng pamumuhunan sa hardware at pagpapanatili. Ang mga Host-based WAF ay nagbibigay ng napakadetalyadong visibility sa application, bagama't kumokonsumo ang mga ito ng mga resources ng server at nangangailangan ng mas maraming pamamahala. Ang mga cloud service ay namumukod-tangi dahil sa kanilang scalability, mabilis na pag-deploy, at kadalian ng pagpapanatili, bagama't kinabibilangan ito ng pagsasakripisyo ng ilang internal control at, sa ilang mga kaso, ang buong konteksto ng lahat ng mga banta.

WAF kumpara sa iba pang mga sistema ng seguridad: NGFW, IPS at tradisyonal na mga firewall

Karaniwang mapagkamalan ang papel ng isang WAF sa iba pang mga aparatong pangseguridad. Bawat isa ay may kanya-kanyang lugar sa arkitektura:

Un tradisyonal na firewall Tinutukoy nito ang perimeter sa pagitan ng internal at external network, mga port na kumokontrol, mga IP address, at mga low-level protocol. Hindi nito nauunawaan ang lohika ng mga web application, ni ang nilalaman ng mga form o URL.

Un firewall ng susunod na henerasyon (NGFW) Pinalalawak nito ang klasikong modelong iyon sa pamamagitan ng pagdaragdag ng malalim na inspeksyon ng packet, kontrol ng user at application, antivirus, antimalware, at pagsasama ng threat intelligence. Ang ilang NGFW ay may kasamang mga kakayahan sa WAF, ngunit ang kanilang pokus ay pangunahing nananatili sa network, habang ang WAF ay ganap na nakatuon sa application layer.

Sa kanyang bahagi, a sistema ng pag-iwas sa panghihimasok (IPS) Sinusuri nito ang lahat ng trapiko sa network, sa lahat ng protocol, upang matukoy ang mga generic na pattern ng pag-atake. Karaniwan itong umaasa sa mga signature at rule na hindi gaanong kontekstol kumpara sa isang WAF, at hindi palaging sumisiyasat nang malalim sa HTTP semantics o sa business logic ng application.

Sa pagsasagawa, pinagsasama ng isang matatag na arkitektura NGFW, IPS at WAFbawat isa ay dalubhasa sa layer nito, na nagpapakain sa isang sentral na SIEM na nag-uugnay sa mga kaganapan, bumubuo ng mga alerto at nagbibigay-daan sa isang koordinadong tugon, at nag-uugnay sa mga ito sa mga tool sa seguridad para i-automate ang pamamahala.

Mga paraan upang mag-deploy ng WAF sa arkitektura ng aplikasyon

Bukod sa uri ng solusyon, kailangan ding gumawa ng desisyon Paano ipinapasok ang WAF sa daloy ng trapiko? ng aplikasyon. Ang mga pinakakaraniwang pamamaraan ay:

• Tulay na malinawAng WAF ay matatagpuan online, naka-link sa parehong mga port gaya ng application, nang hindi ito tahasang "nakikita" ng mga client o server.
• Transparent na reverse proxyAlam ng mga application ang tungkol sa WAF, ngunit para sa client ay tila direkta silang nakikipag-usap sa app.
• Malinaw na reverse proxyAlam ng mga kliyente na kumokonekta sila sa isang proxy, na siya namang nagpapasa ng mga kahilingan sa mga internal na server.

Ang bridge mode ay karaniwang pinakamadaling ipatupad dahil mas kaunting pagbabago sa configuration ang kailangan nito, ngunit Nag-aalok ito ng mas kaunting paghihiwalay sa pagitan ng app at ng firewall.Ang iba't ibang uri ng reverse proxy ay mas mahusay na naghihiwalay sa aplikasyon, nagpapadali sa pag-offload ng TLS, nagpapahintulot sa pag-inspeksyon ng naka-encrypt na trapiko, at nagbibigay ng mas malawak na saklaw para sa paglalapat ng mga advanced na panuntunan o lohika ng pagbabalanse ng load.

Mga pangunahing bentahe ng paggamit ng web application firewall

Ang paggamit ng isang mahusay na naayos na WAF ay nag-aalok ng malinaw na mga benepisyo sa parehong teknikal at antas ng negosyo. Kabilang sa mga pinaka-kaugnay ay:

• Advanced na proteksyon laban sa mga pag-atake na partikular sa aplikasyonna hindi kayang harangan ng network firewall o ng isang simpleng IPS nang may parehong katumpakan.
• Pagbabawas ng panganib ng mga paglabag sa datos at mga pagkawala ng serbisyopag-iwas sa mga direktang gastos (mga pagpapahinto, pagsagip, multa) at mga hindi direktang gastos (pinsala sa reputasyon, pagkawala ng tiwala).
• Tulong sa pagsunod sa mga regulasyonlalo na sa mga kinakailangan tulad ng PCI DSS, na nangangailangan ng proteksyon ng mga aplikasyong nakatuon sa Internet at ebidensya ng pagsubaybay at pagharang sa banta.
• Scalability at flexibilitylalo na sa mga modelo ng cloud at edge, na nagbibigay-daan sa pagsipsip ng mga pagtaas ng trapiko at pabagu-bagong karga nang hindi muling idinidisenyo ang buong imprastraktura.

Maraming propesyonal na hosting provider ang may kasamang WAF na isinama sa kanilang platform. Pinapasimple nito ang proseso ng pagtiyak na may access dito ang isang website o application mula pa noong una. Awtomatikong pagpapagaan laban sa iniksyon, XSS, mga pangunahing pag-atake ng DDoS, at pang-aabuso sa pagpapatotoo, nang hindi na kailangang magsimula ang koponan mula sa simula gamit ang mga kumplikadong patakaran.

Mga totoong hamon sa pagpapatupad ng WAF at kung paano haharapin ang mga ito

Hindi porket makapangyarihan ang isang WAF ay magiging maayos na ang lahat. Mayroong ilang mga hamon na dapat tandaan upang matiyak na laging aktibo ang pagtukoy. huwag hayaang maging nakakainis at permanenteng hadlang ang mga ito:

• Maling positiboIsa itong klasikong problema. Ang isang hindi maayos na naayos na panuntunan ay maaaring humarang sa lehitimong trapiko, makasira sa daloy ng pagbili, o makahadlang sa isang API na gumana nang nararapat.
• Pangangailangan para sa patuloy na mga pag-updateKung ang mga kompanya at patakaran ay hindi magiging moderno, ang WAF ay mananatiling bulag sa mga bagong pamamaraan ng pag-atake.
• Pagiging kumplikado ng pag-configureAng pagtukoy sa mahuhusay na patakaran, pag-unawa sa mga talaan, at pagsasaayos ng mga patakaran ay nangangailangan ng espesyal na kaalaman.
• Epekto sa PagganapAng bawat inspeksyon ay nagdaragdag ng bigat. Ang mahinang disenyo o maling lokasyon ay maaaring magresulta sa mataas na latency.
• Mga diskarte sa pag-iwas ng mga umaatake, na nagpipira-piraso ng mga packet, nag-e-encode ng mga payload sa kakaibang paraan, o inaabuso ang mga kakaibang katangian ng protocol upang malampasan ang mga kontrol.

Ang pagpapagaan ng mga hamong ito ay kinabibilangan ng pagsasama-sama ng mahusay na panimulang disenyo at patuloy na pagpapanatili: magtatag ng pamantayan sa pagganap, magtala ng mga sukatan (mga sabay-sabay na gumagamit, mga kahilingan bawat segundo, mga oras ng pagtugon), tukuyin ang mga malinaw na tungkulin (sino ang namamahala sa mga patakaran, sino ang sumusuri ng mga alerto, kung gaano kadalas sinusuri ang mga patakaran) at isama ang WAF sa SOC, DevOps at mga tool sa pagsubaybay ng organisasyon.

Mga pinakamahusay na kasanayan para masulit ang always-on detection

Para matiyak na ang firewall ng iyong application ay gumagana pabor sa iyo at hindi laban sa iyo, ipinapayong sundin ang isang serye ng mga kasanayan na itinuturing ng maraming tagagawa at mga pangkat ng seguridad na mahalaga:

• Isama ang WAF sa kasalukuyang imprastraktura (CDN, load balancers, proxy, SIEM, DDoS solutions, IPS) sa halip na tingnan ito bilang isang "isolated cube".
• Tukuyin ang mga KPI ng pagganap at seguridad mula sa simula (maling positibong rate, mga naharang na atake, dagdag na latency, atbp.).
• Ipakilala ang mga partikular na tungkulin sa pamamahala ng WAF, na nakahanay sa pag-unlad, operasyon, at SOC, upang ang mga patakaran ay umuunlad kasabay ng mga aplikasyon.
• Gumamit ng mga paunang na-configure na listahan ng panuntunan bilang batayan, ngunit iakma ang mga ito sa bawat aplikasyon: tukuyin ang mga eksepsiyon, mga partikular na whitelist at mga pasadyang panuntunan para sa mga kritikal na daloy.
• Pagsasama sa mga platform ng pamamahala ng kaganapan (SIEM) upang iugnay ang mga WAF log sa iba pang mga sensor at makakuha ng pangkalahatang-ideya.
• Repasuhin ang mga patakaran nang pana-panahon, pag-aalis ng mga lipas na tuntunin at pag-aangkop sa mga limitasyon sa paglilimita ng rate, pagkontrol sa sesyon at proteksyon laban sa mga bot ayon sa aktwal na pag-uugali ng mga gumagamit.

WAAP at WAAS: ang ebolusyon ng WAF para sa mga modernong aplikasyon at API

Dahil sa pagsikat ng mga cloud-native na arkitektura, microservices, at APIs sa lahat ng dako, ang klasikong WAF ay nagkulang. Kaya naman isinilang ang Proteksyon ng Aplikasyon sa Web at API (WAAP), kadalasang iniaalok bilang Ang WAAS (Web Application at API Security) ay nasa service modena mas malalim pa:

• Awtomatikong pagtuklas ng mga aplikasyon at mga endpoint ng APIpinipigilan ang mga serbisyo na maiwang nakalantad nang walang proteksyon.
• Pag-import ng mga detalye ng API (Swagger, OpenAPI, atbp.) upang patunayan na ang mga kahilingan ay sumusunod sa tinukoy na kontrata.
• Espesipikong proteksyon para sa OWASP API Top 10 at para sa mga pang-aabuso sa business logic sa mga API call.
• Pinagsamang bot sa antas ng aplikasyon at pagpapagaan ng DDoSbilang karagdagan sa mga tradisyunal na tungkulin ng WAF.
• Kakayahang maglapat ng iba't ibang patakaran sa bawat endpointna ginagawang mas mahirap para sa mga namamahala ng sensitibong data.

Ang pamamaraang ito ay tumutugon sa kasalukuyang katotohanan: maraming paglabag ang hindi na nangyayari dahil sa tipikal na "klasikong" sapot, ngunit dahil Mga API na hindi maayos ang dokumentasyon, mga nakalimutang endpoint, at mga serbisyong nakalantad sa maraming cloudMahalagang i-automate ang kanilang pagtuklas at protektahan ang mga ito gamit ang parehong palaging naka-on na kakayahan sa pag-detect upang maiwasan ang pag-iwang bukas ng mga backdoor.

Sa pangkalahatan, ang mahusay na pag-unawa sa ginagawa ng isang WAF, kung paano gumagana ang mga mekanismo ng patuloy na pagtuklas nito, kung anong mga modelo ng pag-deploy ang umiiral, at kung paano ito isama sa iba pang bahagi ng ecosystem ng seguridad ay nagbibigay-daan sa iyong bumuo ng mas matibay na depensa sa mga aplikasyon at API, na binabawasan ang panganib ng matagumpay na mga pag-atake nang hindi pinaparusahan ang liksi o karanasan ng gumagamit.