Web Application Firewall, sobrevivendo a ataques Web

security-scanner

Firewall’s normais ou modernos e sistemas de prevenção de intrusão não fornecem proteções suficientes para a maioria dos sites voltados ao público ou aplicações Web personalizadas e críticas para os negócios internos de empresas e todos os negócios que envolvem a web. Explicamos como os Web Application Firewall’s podem ajudar os gestores de segurança a proteger melhor esta parte dos sistemas da empresa que ficam expostos à grande rede.


Seu Web Site está sob-ataque? Contrate nosso WAF!

Uma breve análise

No final dos anos 90, a maioria das empresas não estavam usando WAF’s para proteger seus servidores Web e suas aplicações. Firewall’s foram a melhor prática, a detecção e prevenção de intrusão ainda estavam amadurecendo. A relativamente baixa complexidade dos aplicativos Web não eram motivos suficientes para justificar um investimento adicional, e os atacantes ainda não tinham motivos financeiros.

Desde então, as aplicações Web se tornaram mais complexas, contando com linguagens mais avançadas, como HTML5, Java, JavaScript, PHP e para “aplicação de interface rica” (Rich Interface Application ou RIA em inglês), framework’s extensos e bibliotecas de terceiros complexas. Os falsos positivos e hits de desempenho decorrentes de proteções que contavam com tráfego-padrão tornou-se um problema real. Fornecedores de IPS’s tendo que desativar a maioria das assinaturas de proteção de aplicações Web por padrão para reduzir esses problemas. Organizações do tipo A perceberam a necessidade de uma nova abordagem para a segurança de aplicações Web, e adicionaram WAF’s às suas carteiras de produtos.

Em 2008, o PCI Security Standards Council (PCI SSC) lançou o Padrão de Segurança de Dados PCI (PCI DSS) 1.2 com um requisito de atualização atual de versão 6.6, o que permitiu os WAF’s surgirem como uma alternativa viável para avaliações de vulnerabilidades em aplicações Web.

O requisito do PCI tem dado um impulso adicional para o mercado de WAF’s, ajudando-o a expandir para além de casos de uso do próprio nicho, especialmente em organizações financeiras e bancárias.

Infelizmente, muitas empresas e fornecedores WAF usam um baixo padrão de conformidade PCI como meta e não procuram mais do que uma auditoria bem-sucedida.
Bom a segurança de aplicativos Web exige mais do que uma boa abordagem na seleção da “caixa que irá proporcionar a segurança”. A maioria dos WAFs pode fornecer a marca de verificação PCI, mas, como a história muitas vezes nos faz lembrar, o cumprimento não é automaticamente equivalente com boa segurança.

Avaliações competitivas para as tecnologias WAF ainda são complicadas e exigem uma prova longa de conceito, porque nomes de funcionalidades semelhantes mascaram discrepâncias significativas na profundidade da segurança. Uma vez em produção, WAF’s continuam a exigir um acompanhamento atento para oferecer um alto valor.

Esta pesquisa abrange os principais recursos da tecnologia WAF, explica as opções de implantação e fornece diretrizes de seleção. Ele irá ajudar os líderes de segurança responsáveis por projetos de segurança de aplicativos Web para entender melhor os benefícios e desafios da implementação de um WAF.

Continue lendo este artigo!

Continue lendo este artigo!

Preencha o cadastro e continue a leitura deste artigo! 

Você que gosta de conteúdos de segurança e vê a necessidade de se manter informado e seguro.

Deixe-nos saber quem é você?

Além de você ficar sabendo de nossas notícias em primeira mão, podemos ajudar empresas a ficar cada vez mais seguras na web.

Pronto!

Boa leitura!

Dúvidas? não hesite em entrar em contato conosco!



Gostou do artigo? Compartilhe.

Share on linkedin
LinkedIn
Share on facebook
Facebook
Share on whatsapp
WhatsApp
Quer proteger seu website e seus dados na web?
Clique e saiba mais
Economize até 25% em TI
Diminua seus custos com infraestrutura em TI, e garanta buscas de falhas de segurança.
Clique e saiba mais
Antecipe falhas de segurança
Teste seus ativos com uma solução altamente confiável.
Clique e saiba mais
Previous
Next

Pesquisar no Blog

Faça parte da nossa lista de emails