Firewall de aplicativo da Web - Web application firewall

Parte de uma série sobre
Segurança da informação
Categorias de segurança relacionadas
Segurança informática Segurança automotiva Cibercrime Tráfico de cibersexo Fraude de computador Cybergeddon Terrorismo cibernético Cyberwarfare Guerra eletronica Guerra de informação Segurança da Internet Segurança para celulares Segurança de rede Proteção contra cópia Gestão de direitos digitais
Ameaças
Adware Ameaça persistente avançada Execução de código arbitrário Backdoors Backdoors de hardware Injeção de código Crimeware Cross-site scripting Malware de criptojacking Botnets Violação de dados Download drive-by objetos auxiliares do navegador Crime virtual Vírus Raspagem de dados Negação de serviço Espionagem Fraude de email Spoofing de e-mail Exploits Keyloggers Bombas lógicas Bombas-relógio Bombas fork Bombas zip Discadores fraudulentos Malware Carga útil Phishing Motor polimórfico Escalada de privilégios Ransomware Rootkits Bootkits Scareware Shellcode Spamming Engenharia social (segurança) Captura de tela Spyware Bugs de software cavalos de Tróia Trojans de hardware Trojans de acesso remoto Vulnerabilidade Conchas da web Limpador Worms injeção SQL Software de segurança desonesto Zumbi
Defesas
Segurança do aplicativo Codificação segura Seguro por padrão Seguro desde a concepção Caso de uso indevido Controle de acesso ao computador Autenticação Autenticação multifator Autorização Software de segurança de computador Software antivírus Sistema operacional focado na segurança Segurança centrada em dados Ofuscação de código Mascaramento de dados Encriptação Firewall Sistema de detecção de intrusão Sistema de detecção de intrusão baseado em host (HIDS) Detecção de anomalia Informações de segurança e gerenciamento de eventos (SIEM) Gateway seguro móvel Autoproteção de aplicativo em tempo de execução
v t e

Um firewall de aplicativo da web (WAF) é uma forma específica de firewall de aplicativo que filtra, monitora e bloqueia o tráfego HTTP de e para um serviço da web . Ao inspecionar o tráfego HTTP, ele pode evitar ataques que exploram vulnerabilidades conhecidas de um aplicativo da web, como injeção de SQL , script entre sites (XSS), inclusão de arquivo e configuração inadequada do sistema.

História

Os firewalls de aplicativos da Web dedicados entraram no mercado no final da década de 1990, durante uma época em que os ataques a servidores da Web estavam se tornando mais prevalentes.

Uma versão inicial do WAF foi desenvolvida pela Perfecto Technologies com seu produto AppShield , que se concentrava no mercado de comércio eletrônico e protegia contra entradas ilegais de caracteres em páginas da web. Em 2002, o projeto de código aberto ModSecurity foi formado para tornar a tecnologia WAF mais acessível. Eles finalizaram um conjunto de regras básicas para proteger aplicativos da web, com base no trabalho de vulnerabilidade do OASIS Web Application Security Technical Committee (WAS TC). Em 2003, eles expandiram e padronizaram as regras por meio da Lista dos 10 Melhores Projetos de Segurança de Aplicativos da Web Aberta (OWASP), um ranking anual de vulnerabilidades de segurança da web. Essa lista se tornaria o padrão da indústria para conformidade de segurança de aplicativos da web.

Desde então, o mercado não parou de crescer e evoluir, com foco especial na prevenção de fraudes em cartões de crédito . Com o desenvolvimento do Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), uma padronização de controle sobre os dados do titular do cartão, a segurança se tornou mais regulamentada neste setor. De acordo com a CISO Magazine, o mercado WAF deve crescer para US $ 5,48 bilhões até 2022.

Descrição

Um firewall de aplicativo da web é um tipo especial de firewall de aplicativo que se aplica especificamente a aplicativos da web. Ele é implantado na frente de aplicativos da web e analisa o tráfego bidirecional baseado na web (HTTP) - detectando e bloqueando qualquer coisa mal-intencionada. O OWASP fornece uma ampla definição técnica para WAF como “uma solução de segurança no nível de aplicativo da web que - do ponto de vista técnico - não depende do aplicativo em si”. De acordo com o PCI DSS Information Supplement para o requisito 6.6, um WAF é definido como “um ponto de aplicação da política de segurança posicionado entre um aplicativo da web e o terminal do cliente. Essa funcionalidade pode ser implementada em software ou hardware, executando em um dispositivo de aplicação ou em um servidor típico executando um sistema operacional comum. Pode ser um dispositivo autônomo ou integrado a outros componentes de rede. ” Em outras palavras, um WAF pode ser um dispositivo virtual ou físico que evita que vulnerabilidades em aplicativos da web sejam exploradas por ameaças externas. Essas vulnerabilidades podem ocorrer porque o próprio aplicativo é um tipo legado ou não foi suficientemente codificado por design. O WAF aborda essas deficiências de código por meio de configurações especiais de conjuntos de regras, também conhecidas como políticas.

Vulnerabilidades previamente desconhecidas podem ser descobertas por meio de testes de penetração ou por meio de um scanner de vulnerabilidade. Um scanner de vulnerabilidade de aplicativo da web , também conhecido como scanner de segurança de aplicativo da web, é definido no SAMATE NIST 500-269 como “um programa automatizado que examina aplicativos da web em busca de potenciais vulnerabilidades de segurança. Além de pesquisar vulnerabilidades específicas de aplicativos da web, as ferramentas também procuram erros de codificação de software. ” A resolução de vulnerabilidades é comumente conhecida como remediação. As correções no código podem ser feitas no aplicativo, mas normalmente é necessária uma resposta mais rápida. Nessas situações, pode ser necessária a aplicação de uma política customizada para uma vulnerabilidade de aplicativo da web exclusiva para fornecer uma correção temporária, mas imediata (conhecida como patch virtual).

WAFs não são uma solução de segurança definitiva; em vez disso, devem ser usados ​​em conjunto com outras soluções de segurança de perímetro de rede, como firewalls de rede e sistemas de prevenção de intrusão para fornecer uma estratégia de defesa holística.

Os WAFs geralmente seguem um modelo de segurança positivo, uma segurança negativa ou uma combinação de ambos, conforme mencionado pelo SANS Institute . WAFs usam uma combinação de lógica baseada em regras, análise e assinaturas para detectar e prevenir ataques, como script entre sites e injeção de SQL. O OWASP produz uma lista das dez principais falhas de segurança de aplicativos da web. Todas as ofertas comerciais do WAF cobrem, no mínimo, essas dez falhas. Também existem opções não comerciais. Conforme mencionado anteriormente, o conhecido mecanismo WAF de código aberto denominado ModSecurity é uma dessas opções. Um motor WAF sozinho é insuficiente para fornecer proteção adequada, portanto, OWASP junto com Spiderlabs da Trustwave ajudam a organizar e manter um Conjunto de regras básicas via GitHub para usar com o motor WAF ModSecurity.

Opções de implantação

Embora os nomes dos modos de operação possam ser diferentes, os WAFs são basicamente implantados em linha de três maneiras diferentes. De acordo com o NSS Labs, as opções de implantação são ponte transparente, proxy reverso transparente e proxy reverso . 'Transparente' refere-se ao fato de que o tráfego HTTP é enviado diretamente para a aplicação web, portanto, o WAF é transparente entre o cliente e o servidor. Isso é diferente do proxy reverso, onde o WAF atua como um proxy e o tráfego do cliente é enviado diretamente para o WAF. O WAF então envia separadamente o tráfego filtrado para aplicativos da web. Isso pode fornecer benefícios adicionais, como mascaramento de IP, mas pode apresentar desvantagens, como latência de desempenho.

Veja também

• Firewall de aplicativo
• Padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS)
• Aplicativo da web
• Software como serviço (SaaS)
• Segurança informática
• Segurança de rede
• Segurança do aplicativo
• Segurança de aplicativos da web

Referências