Web Application Firewall – WAF, são mais essenciais do que nunca quando o assunto é interromper os ataques às aplicações. Veja a seguir quais features e funções você deve buscar ao decidir pela aquisição de um WAF.

Adquirir uma solução de WAF que faça sentido para seu negócio é algo extremamente crítico hoje em dia. Ataques às aplicações web são constantes, com os atacantes buscando acesso não-autorizado para dados sensíveis como cartões de crédito e dados de usuários. Essas informações permitem aos criminosos realizarem crimes em nome de outras pessoas, fraudes financeiras entre outros crimes. Como muitos desses dados estão acessíveis via back-end das aplicações web, os criminosos frequentemente atacam as aplicações para conseguir esses dados sensíveis.

Os web application firewall foram criados para prevenir que esses ataque às aplicações web comprometesse os servidores e as bases de dados que estão por trás deles, em última instância prevenindo vazamentos de dados. Ainda que todas as aplicações web que uma empresa pode utilizar podem ser protegidas por um WAF, o melhor ROI ocorre quando a empresa protege aplicações desenvolvidas por terceiros, às quais ela não possui acesso ao código fonte. Nesse cenário, a empresa não pode corrigir diretamente as vulnerabilidades presentes nessas aplicações. Não existe forma para a empresa fazer essa correção, a não ser requisitando ao desenvolvedor por mudanças e aguardando atualizações de correção. Isso deixa um gap de médio e curto prazo, às vezes até de longo prazo, onde a empresa precisa intervir e colocar uma camada de WAF de forma a compensar por essas vulnerabilidades presentes na aplicação.

Como um WAF funciona

Um WAF pode ser implementado de diferentes formas, incluindo uma appliance física, uma appliance virtual ou um serviço baseado na nuvem, posicionado em frente aos servidores web; também pode ser posicionado como um add-on baseado em servidor que funciona diretamente em cada servidor web. Independente da forma como é implementado, um WAF intercepta as requisições de protocolo HTTP, garantindo que são benignas antes que os servidores iniciem o processamento. O WAF analisa cada requisição HTTP assim como cada resposta dos servidores web, considerando dezenas de tipos de ataques conhecidos a aplicações web como: hijacking de sessão, caminho transversal, buffer overflow, DDoS, XSS e SQL Injection. Se o WAF detecta um ataque, ele pode bloquear as requisições ou as respostas correspondentes de atingir o alvo, dessa forma prevenindo que o ataque seja bem sucedido.

As melhores ferramentas presentes nos WAF

Assim como em outros ativos de solução, diferentes WAF podem ter diferentes capacidades. Obviamente, é ideal que o WAF detecte os ataques às aplicações web as quais ele foi implementado para proteger. Os ataques em aplicações web estão cada vez mais customizados para atingir alvos particulares, tornando difícil que tecnologias básicas consigam identificá-los. Para deter esses ataques avançados, os gestores de segurança devem buscar por WAF’s que detectem novos ataques, incluindo ataques de zero-day em vulnerabilidades previamente desconhecidas.

Ao mesmo tempo, é importante que os gestores considerem no momento da aquisição um WAF que não gere tantos falsos positivos. Um falso positivo ocorre quando uma atividade legítima é erroneamente categorizada como maliciosa e inadvertidamente bloqueada, atrapalhando a performance das operações. Um WAF deve ter medidas para minimizar falsos positivos, ou barrar uma onda massiva de alertas que, no final das contas, causarão tantos problemas que os gestores irão acabar por desabilitar o WAF ou parte de suas funcionalidades, deixando o ambiente inseguro.

Outra capacidade a ser identificada é a utilização de uma inteligência de ameaças de alta qualidade. Os serviços de reputação possuem dados sobre IP’s maliciosos, domínios e outras características de rede que podem ser associadas à atividades maliciosas. WAF’s e outros ativos podem usar essa informação para identificar os pontos de ataque antes mesmo deles ocorrerem. No mínimo, um bom WAF deve receber um feed constante e sempre atualizado com informações sobre reputação.

Conclusão

OS WAF’s são soluções muito úteis para proteger suas aplicações web contra uma ampla variedade de ataques. Ao passo em que os WAF são mais úteis para aplicações as quais a empresa não possui o código fonte, outras aplicações web podem se benefiar do fato de que os WAF’s oferecem proteção durante o gap de descoberta de vulnerabilidade e aplicação de patches de correção. Empresas que possuem dados sensíveis em aplicações web definitivamente devem utilizar ativos de WAF como uma linha de defesa importantíssima contra incidentes de segurança.