Blog

WAF – kaj, kje, kako in zakaj

V svetu, v katerem se vsak dan pojavi nova vrsta kibernetskega napada, moramo vsakodnevno raziskovati in vzpostavljati nove varnostne kontrole in zaščite. Najnovejše vrste napadov zelo pogosto vključujejo prenašanje podatkov in se dogajajo na ravni aplikacij, zaradi česar številni sistemi NGFW in IPS/IDS postajajo nemočni pri obrambi pred takšnimi napadi. Poleg tega je večina komunikacij, posebej ko govorimo o spletnih aplikacijah, danes šifriranih, kar predstavlja še dodatno težavo za takšne naprave. Izdelki Web Application Firewall – WAF so razviti posebej za spletne aplikacije. Njihova naloga je analizirati vsako zahtevo HTTP na ravni aplikacije in omogočiti popolno dešifriranje prometa SSL/TLS.

Želite izvedeti več o WAF rešitvi? Oglejte si posnetek ali nadaljujte z branjem.

Izdelki WAF so del vzpostavljanja učinkovite večslojne zaščite. V zadnjih nekaj letih se tehnologija WAF ni pretirano spremenila. Sistemi WAF preverjajo, ali so zahteve usklajene s tem, kar je zapisano v dokumentih RFC, in uporabljajo različne podpise napadov, da bi ugotovili, ali je zahteva legitimna ali ne. Sčasoma so bile dodane nove funkcionalnosti za spremljanje uporabniške seje in obnašanje uporabnikov v aplikaciji, da bi preprečili morebitne napade z grobo silo (Bruto Force) ali ugrabitev sej (Session Hijacking). Dodano je bilo tudi filtriranje naslovov po ugledu, da bi blokirali znane vire napadov, kot so botneti, anonymizerji in podobne grožnje. Večina izdelkov WAG še vedno uporablja dokaj pasivno tehnologijo, ki ima omejeno sposobnost preverjanja odjemalca, ali pa je celo brez nje.

Pozicioniranje naprave WAF v omrežno-komunikacijsko-aplikacijskem okolju

Zelo pogosto se pojavlja vprašanje, kam je treba namestiti takšno napravo. Seveda obstaja več možnosti. Komunikacijska pot med uporabnikom in želeno aplikacijo vključuje več točk, na katerih je mogoče namestiti WAF. To pa vsekakor ne pomeni, da je vsaka od teh točk enako dobro izbira. V idealnem primeru je WAF nameščen za sistemom, ki v okolju razporeja obremenitev in optimizira promet. S tem optimiziramo uporabo, učinkovitost delovanja in zanesljivost ter hkrati omogočamo zaščito aplikacij v podatkovnem središču, posebej ko gre za javno dostopne aplikacije.

Grožnje na spletu danes

Večina groženj je avtomatiziranih in napadalci za odkrivanje morebitnih ranljivosti uporabljajo avtomatizirano skeniranje aplikacij. Napadi DDoS so povsem avtomatizirani in omogočajo izvajanje napadov z volumnom, ki presega 1 Tbps. Avtomatizirane napade je težko odkriti, ker so zelo pogosto videti kot povsem legitimen promet. Za odkrivanje takšnih napadov se uporabljajo CAPTCHA in podobne tehnologije, vendar takšne metode preverjanje pristnosti sčasoma postanejo nezadostne in vplivajo na izkušnjo legitimnih uporabnikov.

Pojavljajo se tudi nove grožnje, npr. Credential Stuffing. Gre za posebno vrsto napada, pri katerem se uporabi na milijone kombinacij uporabniških imen in gesel, ukradenih med prejšnjimi napadi. Po zadnjih raziskavah je bila uporaba ukradenih poverilnic najpogostejša vrsta napadov v letu 2017. Napade Credential Stuffing je zelo težko odkriti. Ne samo zato, ker je napad videti povsem legitimen, temveč tudi zato, ker se zelo pogosto izvajajo zelo počasi, da bi preprečili odkrivanje teh napadov kot napadov Brute Force.

Zlonamerna programska oprema je vseprisotna v spletnem okolju in se uporablja za izkoriščanje ranljivosti v brskalnikih in napade na uporabnike, ki jih uporabljajo. Obstaja nekaj metod dostave zlonamerne programske opreme – prek priponk e-poštnih sporočil pa vse do zlonamernih povezav na družbenih omrežjih in v oglasih. Računalnik, okužen z zlonamerno programsko opremo, se uporablja za izvajanje napadov DDoS, krajo identitete in zbiranje podatkov. Metode odkrivanja in preprečitve so omejene, razen če računalnika odjemalca ne nadzira izkušena IT-ekipa.

In nenazadnje so tu še napadi DDoS. Ti po svoji naravi niso samo volumetrični, temveč so številni razviti z namenom izčrpanja virov – naj gre za aplikacijske strežnike ali strežnike podatkovnih zbirk. Odkriti napad DDoS je dokaj težko, saj jih je večina videti kot legitimen promet in so zelo pogosto v skladu s standardnimi preverjanji vnosa.

Povedano preprosto – zgoraj navedeni napadi se lahko izvedejo neopaženo pri večini tradicionalnih WAF-rešitev, saj so videti povsem legitimno. V tem primeru imajo tudi baze z oceno ugleda IP-naslovov omejeno funkcionalnost, saj število ogroženih naprav narašča iz dneva v dan, spekter okuženih naprav pa postaja vse bolj raznolik – modemi, naprave s področja interneta stvari itd. Jasno nam je, da za zaščito pred takšnimi grožnjami potrebujemo naprednejšo napravo WAF in tehnologijo.

F5 Application Security Manager – ASM

F5 ASM (Application Security Manager) je spletni požarni zid za aplikacije, ki zagotavlja celovito, proaktivno zaščito na ravni aplikacije pred splošnimi in ciljnimi napadi. Kot pri večini ostalih spletnih požarnih zidovih za aplikacije se tudi v primeru ASM-ja uporablja pozitiven varnostni model, po katerem je vse prepovedano, dokler ni izrecno dovoljeno. Zaradi tega lahko ASM dovoli samo veljavne zahteve, ne pa tudi škodljivih in avtoriziranih, ter tako samodejno zaščiti ključne spletne aplikacije pred napadi. ASM ščiti sistem pred različnimi napadi na aplikacije, infrastrukturo in omrežje, kot so cross-site scripting, napadi SQL injection, cookie/session poisoning, parameter tampering, forcefull browsing, napadi DOS in drugo. BIG-IP ASM ščiti aplikacije na podlagi celovitih politik varnosti ne glede na to, ali se te nahajajo v tradicionalnih, virtualnih ali zasebnih okoljih v oblaku. Omogoča ocenitev groženj in preprečevanje njihovega učinka, vidnost in zelo visoko raven prilagodljivosti, prav tako pa pomaga zagotoviti neovirano, zanesljivo in varno delovanje spletnih aplikacij.

Slika v odstotkih prikazuje, kako so spletne aplikacije izpostavljene napadom, ki jih OWASP navaja kot deset najpogostejših spletnih tveganj za aplikacije. Z uporabo ASM-ja lahko uporabnik zaščiti svoj sistem pred vsemi navedenimi tveganji, sam ASM pa dodatno zagotavlja vgrajena pravila za zaščito celotnega spektra groženj HTTP in HTTPS. ASM je edini spletni požarni zid za aplikacije, ki nadzoruje in si zapomni običajno obnašanje aplikacije, ki jo ščiti, s čimer omogoča zaščito pred vsemi napadi, ki ne ustrezajo njenemu običajnemu obnašanju.

Napredna tehnologija WAF – F5 Advanced WAF

F5 je v svoj portfelj pred kratkim dodal tudi izdelek, imenovan Advanced WAF, s katerim je še enkrat dokazal, zakaj je vodilno podjetje v segmentu trga za tehnologijo WAF. Advanced WAF vključuje vse potrebne mehanizme za odkrivanje in preprečevanje naprednih napadov v današnjem spletnem okolju.

Rešitev med drugim vključuje tudi naslednje:

  • Proactive Bot Defense – PBD z uporabo tehnologije fingerprintinga in tehnike challenge/response v kombinaciji z analizo obnašanja omogoča odkrivanje groženj na ravni seje in blokiranje avtomatiziranih groženj. Gre za veliko naprednejšo in učinkovitejšo rešitev kot je zanašanje na bazo z oceno ugleda IP-naslovov, če se želite zaščititi pred napadi botnet.
  • Layer 7 Bihevioral DoS detection and mitigation – F5 Advanced WAF je zmožen samodejno profilirati promet in ustvariti podpis za vzorce prometa, ki odstopajo od običajnega, s čimer omogoča ustavitev napada DDoS, preden ta pride do same aplikacije.
  • DataSafe – DataSafe omogoča zaščito poverilnic, tako da dinamično, on-the-fly, v dejanskem času šifrira vsebino strani in tako onemogoči napade Man-in-the-Browser, ki jih povzroča zlonamerna programska oprema. DataSafe hkrati omogoča šifriranje podatkov, ki jih uporabnik vnaša v brskalnik, prav tako on-the-fly, v dejanskem času.
  • Anti-Bot Mobile SDK – pri uporabi mobilnih aplikacij se ne uporablja brskalnik, zaradi česar postane zaščita PBD manj učinkovita. Prav zato je tu Anti-Bot Mobile SDK, ki omogoča zaščito pred botneti tudi na mobilnih napravah.

In pred koncem …

V času, ko večina naše zasebne in poslovne komunikacije poteka prek različnih aplikacij, je treba posebno pozornost nameniti prav njihovi zaščiti. Kar 42 odstotkov podjetij, ki so bila v zadnjem letu tarča kibernetskih napadov, je povedalo, da so napadi izvirali od zunaj, pri čemer sta dve najpogosteje uporabljeni metodi z napadi ciljali prav spletne aplikacije in različne ranljivosti programske opreme. Zlonamerni uporabniki nenehno napadajo aplikacije, strokovnjaki za varnost pa iščejo naprave WAF, ki bodo zaščitile spletne aplikacije pred najbolj sofisticiranimi napadi, vključno z napadi zero-day, ter zagotovile zaščito aplikacij vseh oblik. Tu nastopi FB Advanced WAF – namenska varnostna platforma, ki omogoča vzpostavitev najnaprednejše oblike varnosti aplikacij, ki je trenutno na trgu.

Kontaktirajte nas preko spletnega obrazca in prejemajte uporabne povezave, kot so F5 Advanced WAF posnetki in spletni seminarji, neposredno v vaš nabiralnik!

Business e-mail:*
First and Last name:*
Company:*
Message:
I consent to having Veracomp d.o.o. collect and process my personal data in this form as described in Privacy Notice including Cookie Policy.*
Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter
Potrebujete ponudbo ali pomoč pri konfiguraciji rešitve? Iščete partnerja za implementacijo?
Kontaktirajte nas!