Blog

WAF – šta, gde, kako i zašto

U svetu u kojem se svaki dan pojavi neka nova vrsta cyber napada moramo svakodnevno raditi na istraživanju i uspostavljanju novih sigurnosnih kontrola i zaštita. Najnoviji tipovi napada vrlo često uključuju izvlačenje podataka i događaju se na aplikativnom nivou, zbog čega brojni NGFW i IPS/IDS sistemi postaju nemoćni u obrani protiv takvih napada. Osim toga, većina komunikacije, pogotovo kad pričamo o web aplikacijama, danas je kriptovana, što predstavlja dodatni problem za takve uređaje. Web Application Firewall – WAF proizvodi dizajnirani su specifično za web aplikacije – kako bi analizirali svaki HTTP zahtev na aplikativnom nivou i omogućili potpunu dekripciju SSL/TLS saobraćaja.

Da li želite saznati više o WAF produktu? Pogledajte video ili nastavite čitati.

WAF proizvodi su integralni u uspostavljanju efikasne višeslojne zaštite. Poslednjih nekoliko godina WAF tehnologija se nije preterano menjala. WAF sistemi proveravaju da li su zahtevi usklađeni s onim što je zapisano u RFC dokumentima i primenjuju različite napadačke signature kako bi doneli odluku o tome da li je zahtev legitiman ili ne. S vremenom su dodate nove funkcionalnosti kako bi se omogućilo praćenje korisničke sesije i ponašanje korisnika kroz aplikaciju, u cilju sprečavanja potencijalnih Brute Force napada ili preuzimanja sesija (Session Hijacking). Dodato je i filtriranje adresa po reputaciji kako bi se blokirali poznati izvori napada kao što su botnetianonymizeri i slične pretnje. Većina WAF proizvoda i dalje koristi relativno pasivnu tehnologiju koja ili ima limitiranu ili uopše nema sposobnost provere klijenta.

Pozicioniranje WAF uređaja u mrežno-komunikacijsko-aplikativnom okruženju

Vrlo često se postavlja pitanje gde treba postaviti jedan takav uređaj. Naravno da postoji više mogućnosti. Komunikacijski put između korisnika i željene aplikacije uključuje više tačaka gde je moguće postaviti WAF. Međutim, to nikako ne znači da je svaka od tih točaka jednako dobra opcija. U idealnom slučaju WAF će se postaviti iza sistema koji u okruženju radi raspodelu opterećenja i optimizaciju saobraćaja. Na ovaj način optimizujemo upotrebu, performanse i pouzdanost, i paralelno omogućavamo zaštitu aplikacija u data centru – pogotovo ako se radi o aplikacijama koje su javno dostupne.

Pretnje u online svetu danas

Većina pretnji je automatizovana i napadači sprovode automatizovano skeniranje aplikacija kako bi pronašli moguće ranjivosti. DDoS napadi su u potpunosti automatizovani, te omogućuju izvođenje napada volumena od preko 1Tbps. Automatizovane napade teško je detektovati zato što su vrlo često dizajnirani upravo na način da izgledaju kao savršeno legitiman saobraćaj. CAPTCHA i slične tehnologije koriste se kako bi se detektovali takvi napadi, ali vremenom takve metode verifikacije postaju nedovoljne i utiču na iskustvo legitimnih korisnika.

Javljaju se i nove pretnje, npr. Credential Stuffing. Credential Stuffing je poseban tip napada prilikom kojeg se iskorišćavaju milioni kombinacija korisničkih imena i lozinki, koji su ukradeni prilikom prethodnih napada. Prema poslednjim istraživanjima, korišćenje ukradenih kredencijala bio je najčešći tip napada 2017. godine. Credential Stuffing napade je veoma teško detektovati, jer ne samo da saobraćaj izgleda skroz legitimno, već se vrlo često izvode jako sporo kako bi se izbegla detekcija tih napada kao Brute Force napada.

Malware je sveprisutan u online okruženju, te se koristi za iskorišćavanje ranjivosti u brauzerima i napade na korisnike koji koriste te brauzere. Postoji nekoliko metoda isporuke malwarea – preko e-mail atačmenta, pa sve do malicioznih linkova na društvenim mrežama i oglasima. Računari zaraženi malwerom često se koriste za izvođenje DDoS napada, krađu identiteta i prikupljanje podataka. Metode detekcije i mitigacije su limitirane, osim ako klijentski računar nije nadgledan od strane iskusnog IT tima.

I naposletku, DDoS napadi. Oni nisu samo volumetrički po svojoj prirodi. Mnogi su dizajnirani kako bi prouzrokovali iscrpljivanje resursa – bilo da se radi o aplikativnim serverima ili database serverima. Detekcija DDoS napada je relativno teška, budući da većina DDoS napada izgleda kao legitiman saobraćaj i vrlo često je u skladu sa standardnim proverama unosa.

Jednostavno rečeno, gore navedeni napadi mogu proći neopaženo kod većine tradicionalnih WAF rešenja budući da izgledaju savršeno legitimno. Reputacijske baze IP adresa u ovom slučaju takođe imaju limitiranu funkcionalnost budući da broj kompromitovanih uređaja svakodnevno raste, pa je spektar zaraženih uređaja sve raznolikiji – modemi, IoT uređaji… Jasno je da nam je potreban napredniji WAF uređaj i tehnologija kako bi se zaštitili od ovakvih pretnji.

F5 Application Security Manager – ASM

F5 ASM (Application Security Manager) predstavlja web aplikacijski fajervol koji pruža sveobuhvatnu, proaktivnu zaštitu na aplikacijskom sloju od opštih i ciljanih napada. Kao kod većine ostalih web aplikacijskih fajervolova, i u slučaju ASM-a koristi se pozitivan sigurnosni model po kome je sve zabranjeno dok se eksplicitno ne dozvoli. Ova logika omogućava ASM-u da propusti samo valjane, nemaliciozne i autorizovane zahteve i na taj način automatski štiti kritične web aplikacije od aplikativnih napada. ASM štiti sistem od različitih aplikacijskih, infrastrukturnih i mrežnih napada, kao što su cross-site scripting, SQL injection napadi, cookie/session poisoning, parameter tampering, forcefull browsing, DOS napadi i dr. BIG-IP ASM štiti aplikacije na temelju sveobuhvatnih politika sigurnosti bez obzira na to da li se aplikacije nalaze u tradicionalnim, virtualnim ili privatnim cloud okruženjima. Omogućuje procenu pretnji i sprečavanje njihovog efekta, vidljivost i vrlo visok nivo fleksibilnosti, te pomaže da se osigura nesmetan, pouzdan i siguran rad web aplikacija.

Slika prikazuje u procentima izloženost web aplikacija napadima koje OWASP navodi kao deset najčešćih web aplikacijskih rizika. Koristeći ASM, korisnik može zaštititi svoj sistem od svih navedenih rizika, a dodatno ASM nudi ugrađena pravila za zaštitu od cele klase HTTP i HTTPS pretnji. ASM je jedini web aplikacijski fajervol koji nadgleda i pamti normalno ponašanje aplikacije koju štiti i time ima mogućnost pružanja zaštite od svih napada koji ne odgovaraju normalnom ponašanju aplikacije.

Napredna WAF tehnologija – F5 Advanced WAF

F5 je nedavno u svoj portfolio dodao i proizvod nazvan „Advanced WAF“ , kojim je još jednom potvrdio zašto je lider u segmentu tržišta za WAF tehnologiju. Advanced WAF uključuje sve potrebne mehanizme kako bi se detektovali i ublažili napredni napadi prisutni u današnjem online svetu.

Rešenje između ostalog uključuje i sledeće:

  • Proactive Bot Defense – korišćenjem tehnologije fingerprintinga i challenge/response tehnike u kombinaciji s bihejvioralnom analizom, PBD omogućava detekciju pretnji na nivou sesije i blokiranje automatizovanih pretnji. Ovo je mnogo naprednije i efikasnije rešenje nego oslanjanje na reputacijsku bazu IP adresa kako bi se zaštitili od botnet napada.
  • Layer 7 Bihevioral DoS detection and mitigation – F5 Advanced WAF ima sposobnost automatskog profilisanja saobraćaja i kreiranja potpisa za uzorke saobraćaja koji odstupaju od normalnog, te na taj način omogućava zaustavljanje DDoS napada pre nego dođe do same aplikacije.
  • DataSafe – DataSafe omogućava zaštitu kredencijala na način da dinamički, on-the-fly, u realnom vremenu enkriptuje sadržaj stranice kako bi se onemogućili Man-in-the-Browser napadi koje prouzrokuju malware programi. Istovremeno, DataSafe omogućava enkripciju podataka koje korisnik unosi u brauzer – takođe on-the-fly u realnom vremenu.
  • Anti-Bot Mobile SDK – kod korišćenja mobilnih aplikacija ne koristi se browser, pa PBD zaštita tu gubi na svojoj efikasnosti. Zbog toga je tu Anti-Bot Mobile SDK kako bi se omogućila zaštita od botneta čak i na mobilnim uređajima.

I za kraj…

U vreme kad se većina naše privatne i poslovne komunikacije vodi kroz različite aplikacije, posebnu pažnju potrebno je posvetiti zaštiti istih. Čak 42% kompanija koje su u poslednjih godinu dana bile meta cyber napada reklo je da su napadi došli spolja, pri čemu su dve najkorićenije metode napada upravo targetirale web aplikacije i različite ranjivosti u softveru. Maliciozni korisnici konstantno napadaju aplikacije, a sigurnosni stručnjaci traže WAF uređaje koji će zaštiti web aplikacije od najsofisticiranijih napada, uključujući i zero-day napade, te osigurati zaštitu aplikacija svih formata. I zato F5 Advanced WAF – dedicate sigurnosna platforma koja omogućava uspostavljanje najnaprednije aplikativne sigurnosti trenutno na tržištu.

Kontaktirajte nas putem online zahteva i korisni linkovi kao F5 Advanced WAF video i webinar dolaze direktno u Vaš inbox!

Business e-mail:*
First and Last name:*
Company:*
Message:
I consent to having Veracomp d.o.o. collect and process my personal data in this form as described in Privacy Notice including Cookie Policy.*
Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter
Treba Vam ponuda ili pomoć pri izradi rešenja? Tražite partnera za implementaciju?
Kontaktirajte nas!