F5 WAF решење за заштиту апликација
Web application firewall (WAF) је решење које има за циљ да заштити веб апликацију од различитих напада апликационог нивоа као што су cross-site scripting (XSS), SQL injection, и cookie poisoning. Напади на апликације су водећи узрок неовлашћеном приступу подацима. Са одабиром одговарајуће заштите могуће је блокирати широку лепезу напада који имају за циљ да извуку податке компромитацијом система.
WAF штити веб апликаицју филтрирањем, мониторингом и блокирањем малициозног HTTP/S сабраћаја ка апликацији и спречавањем неауторизованог преузимања података из апликације. Помоћу полиса утврђује да ли је саобраћај дозвољен или не. Полисе могу бити формиране тако да штите једну или више веб апликација. Помоћу механизама машинског учења апдејтују се информацијама о новим рањивостима и претњама.
WAF је креиран са намером да анализира HTTP/S захтеве. Свестан је корисника, сесије, сервиса и апликације коју штити. Понаша се као посредник између корисника и апликације, анализирајући комплетан саобраћај.
Различити деплојмент модели
WAF може да буде постављен на различите начине у зависности од места апликације, флексибилности архитектуре и жељеног начина управљања. Утицај на одлуку имплементације може да има локација апликације (on premisse, cloud, microservice architecture in multiple clouds), да ли је у питању једна или више апликација. Такође је битан ниво ангажовања који клијент жели током инсталације и одржавања WAF -а.
Било да је инсталација у клијентском систему или клауд окружењу, одлука да клијент сам одржава WAF решење пружа комплетну грануларну контролу над конфигурацијом функција тако да одговарају специфичним пословним потребама. Ипак, овај начин одржавања захтева ангажовање безбедносних и апликационих инжењера да формирају и поставе заштитне полисе које ће се примењивати на одређену апликацију. Овакав начин инсталације и одржавања је најподеснији за организације са развијеним безбедносним тимом јер пружа највише флексибилности при конфигурацији.
Употреба за SaaS (software-as-a-service) облика WAF решења смањује издатке и количину ангажовања од стране администратора. Са функционалностима сличним он премиссе инсталацији,SaaS пружа најједноставнију примену заштите апликативних рањивости и блокирања напада. Погодује примени у DevOps тимовима за интеграцију заштите у развоју софтвера са релативно минималним активностима одржавања и апдејтовања.
SaaS пружа флексибилност и преносивост безбедносних полиса за мултиклауд окружења. Задржава контролу над саобраћајем и подешавањима безбедносних полиса. Ове опције могу да одговоре и на најзахтевније пројекте где су флексибилност архитектуре, перформанце и напредна заштита од кључног значаја.
Рад са партнерском фирмом може да буде најлакши начин да се започне рад са WAF решењем у клауду. Аутоматизација омогућава једноставно постављање безбедносних полиса за инстант заштиту веб апликација и података. Fully Managed WAF опција пружа подршку 24/7 SOC-a (Security Operations Center). Упркос брзој инсталацији и покретању основних функционалности WAF решења у оваквом облику, ипак, у поређењу са претходним, изостаће попуна флексибилност архитектуре. Неке опције неће дозволити директну административну контролу над безбедносним полисама. Такође, издаци оваквог решења су углавном већи од других модела имплементације али не у поређењу са ангажовањем нових безбедносних инжењера са одговарајућим знањем и пуним радним временом да одржавају WAF.
Основне могућности WAF решења
WAF штити веб апликације од различитих напада апликативног нивоа:
- Cross-site scripting (XSS): прикупљање приватних информација применом малициозних софтвера на уређаје корисника помоћу легитимних сајтова.
- SQL injection: искоришћавање веб апликације помоћу SQL -а преко веб форми, са циљем да се оствари приступ back-end бази података и/или апликативним подацима. Захтев може да оствари нежељено или штетно понашање апликације.
- Cookie poisoning: пресретање cookies-а пре повратка до сервера зарад извлачења и модификације информација. Модификација cookies-а омогућава лажно представљање и неовлашћен приступ додатним корисничким подацима.
WAF примењује сет полиса који помажу детекцију малициозног саобраћаја. Као што прокси сервер штити веб клијента понашајући се као посредник у комуникацији, WAF функционише у супротном смеру (зато се зове реверзни прокси) постављајући се као посредник да би заштитио веб апликацију. Филтирира, врши мониторинг и блокира сав злонамерни HTTP/S саобраћај ка апликацији и спречава неауторизовано извлачење података из апликације.
Заштита помоћу модерног WAF-а
WAF решења су креирана да адресирају проблем апликационих веб сервера који су имали рањив код подложан великом броју познатих напада, нарочито XSS и SQL injection. Савремени WAF пружа активну заштиту која утврђује карактеристике крајњег уређаја који успоставља сесију и динамички ојачава заштиту веб апликација. Примењује детекцију и заустављање апликационих напада.
Због комплетније процене свих појединачних клијентских сесија интегрише бихејвиоралну анализу и динамичку ињекцију кода. Утврђивање основе (baseline) нормалног апликационог саобраћаја олакшава детекцију аномалија. Као што је аутоматизација увећала могућности нападача, вештачка интелигенција и машинско учење могу да разликују нормални саобраћај од аномалије на начин недоступан човеку.
Савремена WAF решења користе напредну аналитику и машинско учење да генеришу динамичке сигнатуре које блокирају малициозни саобраћај без интервенције администратора.
Утврђивање да ли је корисник човек који управља претраживачем, врши се помоћу JavaScript ињекције. То омогућава детекцију ботова и аутоматизованих алата и прикупљање више информација од само IP адресе о томе ко изазива напад.
Проактивна заштита од ботова анализира сваку клијентску сесију, утврђује природу сваког клијента и разликује добронамерне ботове од злонамерних. Процесс којим се та анализа обавља не ремети искуство клијента током коришћења апликације.
Модерна WAF решења такође штите и API интерфејсе од неких апликационих напада аутоматизацијом и формирањем одговарајућих правила за сваки видљиви API. WAF постављен испред апликације или интегрисан у више различитих компоненти апликације смештене у контејнер може да помогне у управљању безбедности API заштите на ефикасан начин.
Карактеристике савременог WAF-а:
- Напредна заштита апликација: комбинација машинског учења, threat intelligence и дубинске апликационе експертизе.
- Проактивна заштита од ботова: штити апликације од аутоматизовнаих ботова и осталих малициозних алата.
- Антибот заштита за мобилни SDK (Software Development Kit): штити мобилне апликације помоћу листе дозвољених активности, бихејвиоралне анализе, провере безбедности cookie-a и напредног ојачавања апликација.
- Енкрипција података у претраживачуу: енкриптује податке на апликационом нивоу у циљу заштите од малвера за преузимање података и man-in-the-browser напада.
- Бихејвиорална DoS заштита: пружа врло тачну детекцију и заштиту DoS напада седмог нивоа.
- Безбедност API протокола: поставља се алат који ојачавају REST (Representational State Transfer), JSON (JavaScript Object Notation), XML (Extensible Markup Language), и GWT (Google Web Toolkit) API-је.
- Заштита за OWASP Top 10: заштита критичних апликација од данашњих највећих безбедносних изазова који су сврстани у OWASP Top 10 рањивости.
- Заштита креденцијала од brute-force напада који користе украдене креденцијале.
10 кључних аргумената у корист WAF заштите апликација
- WAF треба да ради у складу са L4 слојем или NGFW (Next Generation Firewall), не да га замени – Фајервол штити кориснике и мрежни саобраћај а WAF веб апликације. Потребно је да буде саставни део сигурносног екосистема.
- WAF треба да се интегрише са другим безбедносним решењима – Интеграција са осталим решењима попут IPS -а, vulnerability scanner-a и SIEM решења је потребна да WAF не би постао само још један изоловани уређај за засебно управљање.
- WAF треба да буде конфигурисан тако да одговара специфичној апликацији – WAF полисе и правила треба да се подесе у складу са заштитом, потребама за усклађеношћу са полисама и регулацијом, очекиваним перформансама апликација.
- WAF полисе не треба да се забораве након иницијалног подешавања (set and forget приступ) – WAF полисе треба редовно апдејтовати да одговарају променам у апликацији и да остану ефективне против нових вектора напада.
- WAF треба да поседује способност бихејвиоралног учења – Вештачка интелигенција и технологија машинског учења омогућавају WAF-у да идентификује нормално понашање апликације и да се адаптира када се детектују аномалије, које могу указати на малициозну активност.
- WAF треба да спречи злоупотребу креденцијала и заштиту личних података – Злоупотреба креденцијала је велики узрочник компромитовања апликација, што води у неауторизован приступ личним и другим осетљивим подацима.
- WAF треба да анализира долазни и одлазни саобраћај – WAF се понаша као реверзни прокси који штити веб апликацију против малициозног inbound саобраћаја. Међутим, WAF треба исто тако да анализира излазни саобраћај да би се спречила потенцијална ексфилтрација осетљивих података.
- WAF треба да буде DevOps friendly – WAF треба да буде интегрални део имплеметационих процеса (CI/CD) pipeline -а), спречавајући искоришћавања рањивости кода који је постављен у продукционо окружење.
- WAF треба да штити API – API је интегрални део развоја апликације и third party интеграције па је посебно интересантна мета. WAF треба да пружи робусну заштиту веб апликације као и API -ја.
- OWASP препорука за WAF: OWASP фондација је лидер у заштити веб апликација и препоручује употребу WAF заштите