XLabs Web Firewall na defesa de um ataque DDoS em Layer 7 [Caso Real]

No mês de abril do ano de 2015, fomos contratados por uma das maiores empresas em hospedagem de web-sites e cloud computing do Brasil para a defesa de seus sistemas aos quais vinham sofrendo diariamente diversos ataques sofisticados direcionados a sua infra-estrutura de TI e sistemas próprios. O nome e informações do cliente serão omitidos por questões contratuais de sigilo.

Nossa resposta aos incidentes foi praticamente imediata, após o contato com a empresa cliente e contratos assinados, fomos diretamente para as análises que temos como praxe, análises básicas de segurança da infra-estrutura do cliente, de pronto encontramos diversas falhas e configurações inseguras em diversos serviços internos aos quais a empresa mantinha, analisamos a infra-estrutura dos Data-Center’s que esta empresa mantém em São Paulo-SP e também identificamos algumas falhas, o cliente devidamente ciente da situação, começou imediatamente as correções em seus sistemas.

Após as análises de segurança, começou-se então a auditoria de sistemas como regras de firewall’s e auditorias em ambientes de hospedagem e cloud. Identificou-se que algumas regras no firewall estavam duplicadas, outras funcionalidades essenciais para a segurança do negócio desabilitadas, após uma conversa com o Gerente de TI identificamos também que a empresa desconhecia a utilização de Web Application Firewall’s, o mesmo confundia as tecnologias de Next Generation Firewall como sendo a mesma tecnologia de um Web Application Firewall, confusão muito comum para gestores de TI e administradores de empresas, afinal, são diversos sistemas utilizados na segurança digital de uma empresa, gestores não tem o foco somente na segurança de seus sistemas, mas sim na qualidade de seus serviços/produtos e seus funcionários. [Dúvidas entre NGFW e WAF? clique aqui]

Após a identificação destes itens, obtivemos permissão do gestor de TI para administrarmos o firewall da Palo-Alto Networks de modelo PA-3020, firewall este que é de uma das empresas que estão no top 10 do Gartner em liderança de soluções em Next Generation Firewall’s, após obtermos a permissão para a administração do Firewall, durante este “meio tempo” a empresa começou a perceber a lentidão de um dos servidores que faz Application Request Routing (ARR da Microsoft), nosso consultor foi acionado devido a lentidão parecer algum tipo de ataque, ao analisarmos o firewall PA-3020, na feature de URL Filtering percebeu-se então a grande quantidade de requisições chegando ao ARR da empresa com uma assinatura estranha, todas as requisições baseavam-se em requisições “legítimas” tentando acesso a uma URL /*/ext onde * seria substituído por qualquer letra do alfabeto.

Continue lendo este artigo!

Continue lendo este artigo!

Preencha o cadastro e continue a leitura deste artigo! 

Você que gosta de conteúdos de segurança e vê a necessidade de se manter informado e seguro.

Deixe-nos saber quem é você?

Além de você ficar sabendo de nossas notícias em primeira mão, podemos ajudar empresas a ficar cada vez mais seguras na web.

Pronto!

Boa leitura!

Dúvidas? não hesite em entrar em contato conosco!



Facebook