{"id":420,"date":"2015-08-22T16:45:14","date_gmt":"2015-08-22T16:45:14","guid":{"rendered":"http:\/\/www.xlabs.com.br\/blog\/?p=420"},"modified":"2021-08-25T17:42:07","modified_gmt":"2021-08-25T20:42:07","slug":"web-application-firewall-sobrevivendo-a-ataques-web","status":"publish","type":"post","link":"https:\/\/www.xlabs.com.br\/blog\/web-application-firewall-sobrevivendo-a-ataques-web\/","title":{"rendered":"Web Application Firewall, sobrevivendo a ataques web"},"content":{"rendered":"\n
Firewall’s normais ou modernos e sistemas de preven\u00e7\u00e3o de intrus\u00e3o n\u00e3o fornecem prote\u00e7\u00f5es suficientes para a maioria dos sites voltados ao p\u00fablico ou aplica\u00e7\u00f5es Web personalizadas e cr\u00edticas para os neg\u00f3cios internos de empresas e todos os neg\u00f3cios que envolvem a web. Explicamos como os Web Application Firewall’s podem ajudar os gestores de seguran\u00e7a a proteger melhor esta parte dos sistemas da empresa que ficam expostos \u00e0 grande rede.<\/p>\n\n\n\n
Uma breve an\u00e1lise<\/strong><\/h4>\n\n\n\n
No final dos anos 90, a maioria das empresas n\u00e3o estavam usando WAF’s para proteger seus servidores Web e suas aplica\u00e7\u00f5es. Firewall’s foram a melhor pr\u00e1tica, a detec\u00e7\u00e3o e preven\u00e7\u00e3o de intrus\u00e3o ainda estavam amadurecendo. A relativamente baixa complexidade dos aplicativos Web n\u00e3o eram motivos suficientes para justificar um investimento adicional, e os atacantes ainda n\u00e3o tinham motivos financeiros.<\/p>\n\n\n\n
Desde ent\u00e3o, as aplica\u00e7\u00f5es Web se tornaram mais complexas, contando com linguagens mais avan\u00e7adas, como HTML5, Java, JavaScript, PHP e para “aplica\u00e7\u00e3o de interface rica” (Rich Interface Application ou RIA em ingl\u00eas), framework’s extensos e bibliotecas de terceiros complexas. Os falsos positivos e hits de desempenho decorrentes de prote\u00e7\u00f5es que contavam com tr\u00e1fego-padr\u00e3o tornou-se um problema real. Fornecedores de IPS’s tendo que desativar a maioria das assinaturas de prote\u00e7\u00e3o de aplica\u00e7\u00f5es Web por padr\u00e3o para reduzir esses problemas. Organiza\u00e7\u00f5es do tipo A perceberam a necessidade de uma nova abordagem para a seguran\u00e7a de aplica\u00e7\u00f5es Web, e adicionaram WAF’s \u00e0s suas carteiras de produtos.<\/p>\n\n\n\n
Em 2008, o PCI Security Standards Council (PCI SSC) lan\u00e7ou o Padr\u00e3o de Seguran\u00e7a de Dados PCI (PCI DSS) 1.2 com um requisito de atualiza\u00e7\u00e3o atual de vers\u00e3o 6.6, o que permitiu os WAF’s surgirem como uma alternativa vi\u00e1vel para avalia\u00e7\u00f5es de vulnerabilidades em aplica\u00e7\u00f5es Web.<\/p>\n\n\n\n
O requisito do PCI tem dado um impulso adicional para o mercado de WAF’s, ajudando-o a expandir para al\u00e9m de casos de uso do pr\u00f3prio nicho, especialmente em organiza\u00e7\u00f5es financeiras e banc\u00e1rias.<\/p>\n\n\n\n
Infelizmente, muitas empresas e fornecedores WAF usam um baixo padr\u00e3o de conformidade PCI como meta e n\u00e3o procuram mais do que uma auditoria bem-sucedida. Bom a seguran\u00e7a de aplicativos Web exige mais do que uma boa abordagem na sele\u00e7\u00e3o da “caixa que ir\u00e1 proporcionar a seguran\u00e7a”. A maioria dos WAFs pode fornecer a marca de verifica\u00e7\u00e3o PCI, mas, como a hist\u00f3ria muitas vezes nos faz lembrar, o cumprimento n\u00e3o \u00e9 automaticamente equivalente com boa seguran\u00e7a.<\/p>\n\n\n\n
Avalia\u00e7\u00f5es competitivas para as tecnologias WAF ainda s\u00e3o complicadas e exigem uma prova longa de conceito, porque nomes de funcionalidades semelhantes mascaram discrep\u00e2ncias significativas na profundidade da seguran\u00e7a. Uma vez em produ\u00e7\u00e3o, WAF’s continuam a exigir um acompanhamento atento para oferecer um alto valor.<\/p>\n\n\n\n
Esta pesquisa abrange os principais recursos da tecnologia WAF, explica as op\u00e7\u00f5es de implanta\u00e7\u00e3o e fornece diretrizes de sele\u00e7\u00e3o. Ele ir\u00e1 ajudar os l\u00edderes de seguran\u00e7a respons\u00e1veis por projetos de seguran\u00e7a de aplicativos Web para entender melhor os benef\u00edcios e desafios da implementa\u00e7\u00e3o de um WAF.<\/p>\n\n\n\n
A tecnologia<\/strong><\/h4>\n\n\n\n
Firewalls de aplica\u00e7\u00f5es Web protegem servidores Web e aplica\u00e7\u00f5es Web hospedadas contra ataques na camada de aplica\u00e7\u00e3o (Layer 7) e ataques “nonvolumetric” na camada de rede. Ele pode ser implementado como um agente endpoint no servidor Web, um dispositivo de rede software ou hardware, um m\u00f3dulo de software hospedado em um controlador de entrega de aplicativos, um dispositivo virtual ou um servi\u00e7o na nuvem.<\/p>\n\n\n\n
Figura 1 \u2013 Op\u00e7\u00f5es de implanta\u00e7\u00e3o de firewall para aplica\u00e7\u00f5es web.<\/figcaption><\/figure><\/div>\n\n\n\n
Ataques web demandam mais que assinaturas<\/strong><\/h4>\n\n\n\n
Amea\u00e7as contra aplica\u00e7\u00f5es Web est\u00e3o bem documentadas. O projeto Open Web Application Security Project (OWASP) Top Ten ou Top10, Exploit-DB, Securityfocus dentre outras organiza\u00e7\u00f5es, Referenciam elementos que podem ajudar a aumentar a conscientiza\u00e7\u00e3o sobre o cen\u00e1rio de amea\u00e7as, proporcionando a justificativa da necessidade de tecnologia dedicada a seguran\u00e7a de aplicativos Web. No entanto, as equipes de seguran\u00e7a muitas vezes n\u00e3o conseguem explicar como WAF’s podem fornecer uma prote\u00e7\u00e3o mais espec\u00edfica, especialmente desenvolvidos para a prote\u00e7\u00e3o aplicativos Web, diferentes de NGFW’s e IPS’s.<\/p>\n\n\n\n
Figura 2 \u2013 Principais Diferen\u00e7as entre o WAF, IPS e NGFW.<\/figcaption><\/figure><\/div>\n\n\n\n
Firewall’s e IPS’s fornecem assinaturas, principalmente contra inje\u00e7\u00f5es de SQL (SQLi) ou cross-site scripting (XSS), mas n\u00e3o incluem funcionalidades mais avan\u00e7adas que as tecnologias WAF podem oferecer, tais como:<\/p>\n\n\n\n
“Patching virtual”<\/strong>: O nome \u00e9 um exagero. O WAF pode aproveitar os dados dos testes din\u00e2micos de seguran\u00e7a na aplica\u00e7\u00e3o ou dynamic application security testing (DAST) realizados por ferramentas para sugerir ou permitir controles\/assinaturas adicionais para prote\u00e7\u00e3o contra as amea\u00e7as detectadas. O n\u00edvel de valor fornecido depende da qualidade da ferramenta de avalia\u00e7\u00e3o de vulnerabilidade utilizada.<\/li>
A pol\u00edtica de aprendizagem autom\u00e1tica<\/strong>: O mecanismo de seguran\u00e7a WAF ouve solicita\u00e7\u00f5es HTTP\/Response para dom\u00ednios Web configurados, cria um mapa de URL’s e seus par\u00e2metros, em seguida, sugere a aplica\u00e7\u00e3o de whitelist’s apropriadas (muitas vezes chamado-se modelo de seguran\u00e7a ativo).<\/li>
Contextualizada inspe\u00e7\u00e3o de tr\u00e1fego Web<\/strong>: WAF’s incorporam mecanismos de inspe\u00e7\u00e3o dedicados para protocolos e linguagens da Web, para realizar a decodifica\u00e7\u00e3o de tr\u00e1fego e normaliza\u00e7\u00e3o antes de aplicar em contexto de inspe\u00e7\u00e3o de seguran\u00e7a. Isso melhora a efic\u00e1cia da defesa de vulnerabilidades e ataques Web.<\/li>
Anti-automa\u00e7\u00e3o<\/strong>: Isso distingue humanos reais de clientes automatizados que interagem com um aplicativo da Web.<\/li>
Defesa l\u00f3gica do neg\u00f3cio<\/strong>: WAFs monitoram sess\u00f5es de usu\u00e1rios para detectar ataques que exploram as transa\u00e7\u00f5es comerciais, que tem por objetivo realizar atividades maliciosas que interrompem uma pr\u00e1tica comercial normal.<\/li>
![\"Opc\u0327o\u0303es-de-implantac\u0327a\u0303o-de-firewall-para-aplicac\u0327o\u0303es-Web-xlabs-post\"](\"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2015\/08\/Opc\u0327o\u0303es-de-implantac\u0327a\u0303o-de-firewall-para-aplicac\u0327o\u0303es-Web.png\")
![\"Principais-Diferenc\u0327as-waf-xlabs-post\"](\"https:\/\/www.xlabs.com.br\/blog\/wp-content\/uploads\/2015\/08\/Principais-Diferenc\u0327as.png\")