Blog

WAF – šta, gdje, kako i zašto

U svijetu u kojem se svaki dan pojavi neka nova vrsta cyber napada, a moramo svakodnevno raditi na istraživanju i uspostavljanju novih sigurnosnih kontrola i zaštita. Najnoviji tipovi napada vrlo često uključuju izvlačenje podataka i događaju se na aplikativnom nivou zbog čega brojni NGFW i IPS/IDS sistemi postaju nemoćni u odbrani protiv takvih napada. Dodatno, većina komunikacije, pogotovo kad pričamo o web aplikacijama danas je kriptirana što predstavlja dodatni problem za takve uređaje. Web Application Firewall – WAF produkti dizajnirani su specifično za web aplikacije – kako bi analizirali svaki HTTP zahtjev na aplikativnom nivou te omogućili potpunu dekripciju SSL/TLS prometa.

Želite li saznati više o WAF produktu? Pogledajte video ili nastavite čitati.

WAF produkti su integralni u uspostavljanju efikasne više-slojne zaštite. Zadnjih nekoliko godina WAF tehnologija se nije pretjerano mijenjala. WAF sistemi provjeravaju da li su zahtjevi usklađeni s onim što je zapisano u RFC dokumentima i primjenjuju različite napadačke signature kako bi donijeli odluku o tome da li je zahtjev legitiman ili ne. S vremenom su dodane nove funkcionalnosti kako bi se omogućilo praćenje korisničke sesije i ponašanje korisnika kroz aplikaciju u cilju sprječavanja potencijalnih Brute Force napada ili preuzimanja sesija (Session Hijacking). Dodano je i filtriranje adresa po reputaciji kako bi se blokirali poznati izvori napada kao što su botneti, anonymizeri i slične prijetnje. Većina WAF produkata i dalje koristi relativno pasivnu tehnologiju koja ima ili limitiranu ili uopće nema sposobnost provjere klijenta.

Pozicioniranje WAF uređaja u mrežno-komunikacijsko-aplikativnom okruženju

Vrlo često se postavlja pitanje gdje treba postaviti jedan takav uređaj. Naravno da postoji više mogućnosti. Komunikacijski put između korisnika i željene aplikacije uključuje više tačaka gdje je moguće postaviti WAF. Međutim, to nikako ne znači da je svaka od tih tačaka jednako dobra opcija. U idealnom slučaju, WAF će se postaviti iza sistema koji u okruženju radi raspodjelu opterećenja i optimizaciju prometa. Na ovaj način optimiziramo upotrebu, performanse i pouzdanost, i paralelno omogućavamo zaštitu aplikacija u data centru – pogotovo ako se radi o aplikacijama koje su javno dostupne.

Prijetnje u online svijetu danas

Većina prijetnji je automatizirana i napadači provode automatizirano skeniranje aplikacija kako bi pronašli moguće ranjivosti. DDoS napadi su u potpunosti automatizirani te omogućuju izvođenje napada volumena od preko 1Tbps. Automatizirane napade teško je detektirati zašto sto su vrlo često dizajnirani upravo na način da izgledaju kao savršeno legitiman promet. CAPTCHA i slične tehnologije koriste se kako bi se detektirali takvi napadi, ali s vremenom takve metode verifikacije postaju nedovoljne i utječu na iskustvo legitimnih korisnika.

Javljaju se i nove prijetnje, npr. Credential Stuffing. Credential Stuffing je poseban tip napada prilikom kojeg se iskorištavaju milioni kombinacija korisničkih imena i lozinki koji su ukradeni prilikom prethodnih napada. Prema posljednjim istraživanjima, korištenje ukradenih kredencijala bio je najčešći tip napada u 2017. godini. Credential Stuffing napade je veoma teško detektirati, jer ne samo da promet izgleda skroz legitimno, već se vrlo često izvode jako sporo kako bi se izbjegla detekcija tih napada kao Brute Force napada.

Malware je sve prisutan u online okruženju te se koristi za iskorištavanje ranjivosti u preglednicima i napade na korisnike koji koriste te preglednike. Postoji nekoliko metoda isporuke malwarea – preko e-mail privitaka pa sve do malicioznih linkova na društvenim mrežama i oglasima. Računala zaražena malwerom nerijetko se koriste za izvođenje DDoS napada, krađu identiteta i prikupljanje podataka. Metode detekcije i mitigacije su limitirane osim ako klijentski računar nije nadgledan od strane iskusnog IT tima.

I naposljetku, DDoS napadi. Oni nisu samo volumetrički po svojoj prirodi. Mnogi su dizajnirani kako bi prouzročili iscrpljivanje resursa – bilo da se radilo o aplikativnim serverima ili database serverima. Detekcija DDoS napada je relativno teška, budući da većina DDoS napada izgleda kao legitiman promet i vrlo često je u skladu sa standardnim provjerama unosa.

Jednostavno rečeno, gore navedeni napadi mogu proći neopaženo kod većine tradicionalnih WAF rješenja budući da izgledaju savršeno legitimno. Reputacijske baze IP adresa u ovom slučaju također imaju limitiranu funkcionalnost budući da broj kompromitiranih uređaja svakodnevno raste, te je spektar zaraženih uređaja sve raznolikiji – modemi, IoT uređaji…. Jasno je da nam je potreban napredniji WAF uređaj i tehnologija kako bi se zaštitili od ovakvih prijetnji.

F5 Application Security Manager – ASM

F5 ASM (Application Security Manager) predstavlja web aplikacijski firewall koji pruža sveobuhvatnu, proaktivnu zaštitu na aplikacijskom sloju od općenitih i ciljanih napada. Kao kod većine ostalih web aplikacijskih firewalla, i u slučaju ASM-a koristi se pozitivan sigurnosni model po kojemu je sve zabranjeno dok se eksplicitno ne dozvoli. Ova logika omogućava ASM-u da propusti samo valjane, ne maliciozne i autorizirane zahtjeve i na taj način automatski štiti kritične web aplikacije od aplikativnih napada. ASM štiti sustav od različitih aplikacijskih, infrastrukturnih i mrežnih napada kao što su cross-site scripting, SQL injection napadi, cookie/session poisoning, parameter tampering, forcefull browsing, DOS napadi i dr…BIG-IP ASM štiti aplikacije na temelju sveobuhvatnih politika sigurnosti bez obzira na to da li se aplikacije nalaze u tradicionalnim, virtualnim ili privatnim cloud okruženjima. Omogućuje procjenu prijetnji i sprječavanje njihovog učinka, vidljivost i vrlo visoku razinu fleksibilnosti te pomaže osigurati nesmetan, pouzdan i siguran rad web aplikacija.

Slika prikazuje u postotcima izloženost web aplikacija napadima koje OWASP navodi kao deset najčešćih web aplikacijskih rizika. Koristeći ASM, korisnik može zaštiti svoj sistem od svih navedenih rizika, a dodatno ASM nudi ugrađena pravila za zaštitu od cijele klase HTTP i HTTPS prijetnji. ASM je jedini web aplikacijski firewall koji nadgleda i pamti normalno ponašanje aplikacije koju štiti i time ima mogućnost pružanja zaštite od svih napada koji ne odgovaraju normalnom ponašanju aplikacije.

Napredna WAF tehnologija – F5 Advanced WAF

F5 je nedavno u svoj portfolio dodao i produkt nazvan „Advanced WAF“ s kojim je još jednom potvrdio zašto je leader u segmentu tržišta za WAF tehnologiju. Advanced WAF uključuje sve potrebne mehanizme kako bi se detektirali i mitigirali napredni napadi prisutni u današnjem online svijetu.

Rješenje između ostalog uključuje i sljedeće:

  • Proactive Bot Defense – korištenjem tehnologije fingerprinting-a i challenge/response tehnike u kombinaciji s bihevioralnom analizom, PBD omogućava detekciju prijetnji na nivou sesije i blokiranje automatiziranih prijetnji. Ovo je mnogo naprednije i efikasnije rješenje nego oslanjanje na reputacijsku bazu IP adresa kako bi se zaštitili od botnet napada.
  • Layer 7 Bihevioral DoS detection and mitigation – F5 Advanced WAF ima sposobnost automatskog profiliranja prometa i kreiranja potpisa za uzorke prometa koji odstupaju od normalnog te na taj način omogućava zaustavljanje DDoS napada prije nego dođe do same aplikacije.
  • DataSafe – DataSafe omogućava zaštitu kredencijala na način da dinamički, on-the-fly, u stvarnom vremenu enkriptira sadržaj stranice kako bi se onemogućili Man-in-the-Browser napadi koje prouzorčuju malware programi. Istovremeno, DataSafe omogućava enkripciju podataka koje korisnik unosi u preglednik– također on-the-fly u stvarnom vremenu.
  • Anti-Bot Mobile SDK –kod korištenja mobilnih aplikacija ne koristi se browser pa PBD zaštita tu gubi na svojoj efikasnosti. Zbog toga je tu Anti-Bot Mobile SDK kako bi se omogućila zaštita od botnet-a čak i na mobilnim uređajima.

I za kraj…

U vremenu kad se većina naše privatne i poslovne komunikacije vodi kroz različite aplikacije, posebnu pozornost potrebno je posvetiti zaštiti istih. 42% kompanija koje su u posljednjih godinu dana bile meta cyber napada reklo je da su napadi došli izvana, pri čemu su dvije najkorištenije metode napada upravo targetirale web aplikacije i različite ranjivosti u softveru. Maliciozni korisnici konstantno napadaju aplikacije, a sigurnosni stručnjaci traže WAF uređaje koji će zaštiti web aplikacije od najsofisticiranijih napada, uključujući i zero-day napade te osigurati zaštitu aplikacija svih formata i zato F5 Advanced WAF – dedicirana sigurnosna platforma koja omogućava uspostavu najnaprednije aplikativne sigurnosti trenutno na tržištu.

Kontaktirajte nas putem online obrasca i korisne poveznice poput F5 Advanced WAF videa i webinara stižu direktno u Vaš inbox!

Business e-mail:*
First and Last name:*
Company:*
Message:
I consent to having Veracomp d.o.o. collect and process my personal data in this form as described in Privacy Notice including Cookie Policy.*
Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter
Treba Vam ponuda ili pomoć pri izradi rješenja? Tražite partnera za implementaciju?
Kontaktirajte nas!