Web Application Firewall, sobrevivendo a ataques Web

Firewall’s normais ou modernos e sistemas de prevenção de intrusão não fornecem proteções suficientes para a maioria dos sites voltados ao público ou aplicações Web personalizadas e críticas para os negócios internos de empresas e todos os negócios que envolvem a web. Explicamos como os Web Application Firewall’s podem ajudar os gestores de segurança a proteger melhor esta parte dos sistemas da empresa que ficam expostos à grande rede.

 


Seu Web Site está sob-ataque? Contrate nosso WAF!
 

Uma breve análise

No final dos anos 90, a maioria das empresas não estavam usando WAF’s para proteger seus servidores Web e suas aplicações. Firewall’s foram a melhor prática, a detecção e prevenção de intrusão ainda estavam amadurecendo. A relativamente baixa complexidade dos aplicativos Web não eram motivos suficientes para justificar um investimento adicional, e os atacantes ainda não tinham motivos financeiros.

Desde então, as aplicações Web se tornaram mais complexas, contando com linguagens mais avançadas, como HTML5, Java, JavaScript, PHP e para “aplicação de interface rica” (Rich Interface Application ou RIA em inglês), framework’s extensos e bibliotecas de terceiros complexas. Os falsos positivos e hits de desempenho decorrentes de proteções que contavam com tráfego-padrão tornou-se um problema real. Fornecedores de IPS’s tendo que desativar a maioria das assinaturas de proteção de aplicações Web por padrão para reduzir esses problemas. Organizações do tipo A perceberam a necessidade de uma nova abordagem para a segurança de aplicações Web, e adicionaram WAF’s às suas carteiras de produtos.

Em 2008, o PCI Security Standards Council (PCI SSC) lançou o Padrão de Segurança de Dados PCI (PCI DSS) 1.2 com um requisito de atualização atual de versão 6.6, o que permitiu os WAF’s surgirem como uma alternativa viável para avaliações de vulnerabilidades em aplicações Web.

O requisito do PCI tem dado um impulso adicional para o mercado de WAF’s, ajudando-o a expandir para além de casos de uso do próprio nicho, especialmente em organizações financeiras e bancárias.

Infelizmente, muitas empresas e fornecedores WAF usam um baixo padrão de conformidade PCI como meta e não procuram mais do que uma auditoria bem-sucedida.
Bom a segurança de aplicativos Web exige mais do que uma boa abordagem na seleção da “caixa que irá proporcionar a segurança”. A maioria dos WAFs pode fornecer a marca de verificação PCI, mas, como a história muitas vezes nos faz lembrar, o cumprimento não é automaticamente equivalente com boa segurança.

Avaliações competitivas para as tecnologias WAF ainda são complicadas e exigem uma prova longa de conceito, porque nomes de funcionalidades semelhantes mascaram discrepâncias significativas na profundidade da segurança. Uma vez em produção, WAF’s continuam a exigir um acompanhamento atento para oferecer um alto valor.

Esta pesquisa abrange os principais recursos da tecnologia WAF, explica as opções de implantação e fornece diretrizes de seleção. Ele irá ajudar os líderes de segurança responsáveis por projetos de segurança de aplicativos Web para entender melhor os benefícios e desafios da implementação de um WAF.

Continue lendo este artigo!

Continue lendo este artigo!

Preencha o cadastro e continue a leitura deste artigo! 

Você que gosta de conteúdos de segurança e vê a necessidade de se manter informado e seguro.

Deixe-nos saber quem é você?

Além de você ficar sabendo de nossas notícias em primeira mão, podemos ajudar empresas a ficar cada vez mais seguras na web.

Pronto!

Boa leitura!

Dúvidas? não hesite em entrar em contato conosco!





Facebook