Web Application Firewall: tudo que você precisa saber sobre o assunto

em Tendências.

Os aplicativos web estão dominando o mercado de TI. As aplicações executadas em navegadores conseguem atender a uma quantidade maior de pessoas por serem compatíveis com uma grande gama de dispositivos. Além disso, a sua manutenção é simples, o que torna o custo do investimento nesse tipo de ferramenta menor, quando a comparamos com outras opções disponíveis.

Além disso, a possibilidade de executar aplicativos web diretamente na nuvem trouxe mais vantagens para essa escolha. Empresas podem otimizar o desempenho dos seus web apps e ter um controle preciso sobre como todos os recursos são utilizados.

Mas, para que tais recursos sejam aproveitados plenamente, é importante que o negócio tenha soluções de segurança digital. Elas conseguem impedir o acesso não autorizado e, assim, impedem que dados de usuários fiquem expostos a terceiros.

Uma das principais é o Web Application Firewall. Feito para evitar uma série de ataques, essa solução é crucial para que a empresa seja capaz de manter o controle sobre os seus dados e suas aplicações web. Confira mais sobre ele abaixo!

O conceito de Web Application Firewall

Um Web Application Firewall (ou apenas WAF) é um tipo de firewall projetado para monitorar, filtrar e bloquear pacotes de dados maliciosos que são enviados e recebidos por uma aplicação web.

Um WAF possui funções como lista negra (que impede o acesso a um conjunto ou uma faixa de IPs específica), bloqueio de ataques de negação de serviço (DDoS), cross-site scripting ou mesmo o controle da banda de rede disponibilizada para os usuários, ampliando o domínio sobre os sistemas web do negócio.

Essa solução pode ser instalada de diferentes formas. Veja abaixo as mais tradicionais.

Como um WAF baseado na rede

Tradicionalmente, esse tipo de Web Application Firewall é um equipamento que fica conectado diretamente à infraestrutura de rede do negócio. Eles são utilizados por empresas que buscam reduzir ao máximo a latência das suas aplicações de segurança para serviços web, uma vez que o WAF estará fisicamente próximo do servidor em que o aplicativo é executado.

Em geral, um Web Application Firewall baseado na rede pode ter as suas configurações replicadas com rapidez entre vários equipamentos. Isso torna a ampliação dos recursos mais simples. Porém, essa aplicação costuma ter um custo de instalação e execução maior do que outros tipos de WAF.

Integrados no aplicativo web

Também chamados de host-based WAFs, esse tipo de Web Application Firewall se integra ao código do aplicativo para proteger usuários de ataques. Essa escolha é adotada pelos negócios por ter um custo reduzido e permitir a ampliação dos recursos com facilidade.

Por outro lado, o gerenciamento em médio e longo prazo tende a ser complexo. A empresa deverá administrar um grande conjunto de bibliotecas de software para que as funções sejam executadas localmente com alta performance, tornando mais amplo o número de rotinas necessárias para manter o Web Application Firewall.

WAFs baseados na nuvem

Nesse caso, o Web Application Firewall é hospedado diretamente em uma plataforma de computação na nuvem. Essa opção é adotada por empresas que precisam reduzir custos operacionais e, ao mesmo tempo, obter uma forma simples de gerenciar as suas soluções de segurança digital.

O WAF na nuvem é fácil de instalar e pode ser adquirido como um serviço, em que a empresa paga pela quantidade de recursos utilizados. Bastam algumas mudanças na configuração do DNS da aplicação web para que o tráfego seja analisado corretamente e os usuários possam ter os seus dados protegidos continuamente.

Essa estratégia também tem como vantagem a possibilidade de integrar parte das políticas de segurança digital em um mesmo ambiente: o tráfego de várias aplicações pode ser redirecionado para um único Web Application Firewall, diminuindo o tempo necessário para replicar regras de segurança em aplicativos que utilizam rotinas semelhantes.

Independentemente da forma como for executado, o Web Application Firewall vai avaliar todos os pacotes de dados e, conforme as regras delimitadas pelo usuário, bloquear tudo aquilo que for considerado suspeito. Assim, é possível garantir que ataques sejam bloqueados e que os dados de usuários de um serviço web permaneçam íntegros.

A diferença entre WAF e IPS

Muitas pessoas pensam que um Web Application Firewall é semelhante a um Intrusion Prevention System. Tais aplicações de segurança digital podem ser utilizadas lado a lado, de forma complementar, ou separadamente. Em ambos os casos, é importante que o gestor conheça como cada uma das duas funciona, evitando a aquisição de uma ferramenta que não se adapte às suas necessidades.

Sigla para Intrusion Prevention System (ou Sistema de Prevenção de Invasões, em uma tradução livre), o IPS é uma solução de segurança digital para o monitoramento do tráfego web de uma aplicação. Ele atua de forma semelhante a sistemas de detecção de invasões, avaliando, a partir da análise da assinatura digital do arquivo, qualquer sinal de anomalia que possa indicar a presença de códigos maliciosos no pacote.

Ao contrário de um sistema de detecção de invasões, o IPS também consegue fazer mais rotinas do que o simples monitoramento de tráfego e alerta do usuário em caso de ameaças. Esse tipo de ferramenta de segurança digital é desenvolvido para reagir automaticamente de acordo com aquilo que é detectado, automatizando o processo de mitigação de riscos.

Um IPS é elaborado para identificar determinadas espécies de tráfego malicioso (ou potencialmente malicioso), mas ele não é capaz de compreender como uma aplicação web funciona ou os protocolos utilizados por esse tipo de serviço.

Diante disso, é possível afirmar que um IPS pode não conseguir distinguir completamente entre uma requisição legítima e uma que tenha sido mal formulada pelo aplicativo. Isso acaba facilitando que certos ataques tenham sucesso, especialmente aqueles que foram criados recentemente e ainda não possuem correções disponíveis.

Isso é um fator crítico para empresas que têm aplicações web integradas ao seu dia a dia. Com o crescente número de adeptos dessa solução, apenas o uso de um IPS pode impedir que o negócio se mantenha seguro.

O Intrusion Prevention System não será capaz de prevenir ataques com a mesma eficácia que um Web Application Firewall. Ao mesmo tempo, pode acabar produzindo falsos positivos, que causam um grande problema para profissionais de segurança. Além de ampliarem a carga de trabalho do setor de TI, eles aumentam o número de ruídos nas suas atividades de prevenção e mitigação de riscos, reduzindo o impacto desses processos na hora de avaliar o que é uma requisição maliciosa ou um pedido válido por recursos.

Por outro lado, um WAF é criado para proteger aplicações e servidores web de uma série de ataques que um IPS não consegue identificar. O seu desenvolvimento é voltado para ir além dos recursos de um Intrusion Prevention System, incluindo a capacidade de analisar os protocolos utilizados em aplicações web.

Se um IPS avalia o tráfico web de uma aplicação a partir das assinaturas dos pacotes e anomalias na sua construção, o WAF tem os seus mecanismos de proteção baseados na avaliação do comportamento e na estrutura lógica de cada pacote de dados enviado e recebido. Dessa forma, o Web Application Firewall pode proteger usuários de ataques como o cross-site scripting, a injeção de SQL, comprometimento de sessões de usuário ativas ou mesmo estouros do buffer em tempo real.

Como o WAF é hospedado em “camadas externas” da aplicação web, ele é capaz de monitorar o tráfego antes que alguma requisição seja processada pelo aplicativo.

Esse é um dos principais fatores que colocam o Web Application Firewall como uma solução mais avançada: como o Intrusion Prevention System é feito para avaliar todo o tráfego de rede, ele pode ter problemas para identificar anomalias que ocorrem no nível da aplicação.

Um Web Application Firewall não só detecta ataques que já são conhecidos, mas também pode avaliar formas de ataque que ainda não são populares ou não possuem correções conhecidas.

Analisando continuamente todo o tráfego que ocorre em uma aplicação web, o WAF pode criar padrões que facilitam a detecção de novas formas de ataque. Se um WAF percebe que um aplicativo web começa a receber e enviar muitos dados para um único usuário, por exemplo, o sistema pode mandar um alerta para o gestor de segurança digital ou mesmo bloquear o acesso aos recursos automaticamente.

Em outras palavras, o Web Application Firewall é criado para detectar ataques mais profundos do que um Intrusion Prevention System. Ele pode ser utilizado lado a lado com o IPS, se a empresa julgar pertinente, ou sozinho.

Em ambos os casos, ele será capaz de entregar ao negócio a proteção necessária para que uma aplicação web tenha maior confiabilidade de seus usuários — e para que a empresa consiga detectar e bloquear ameaças digitais rapidamente.

A importância da implementação para a segurança

A quantidade de ataques e o prejuízo causado por eles nos sistemas web não param de crescer. Para proteger os dados do negócio de tais ameaças, a empresa pode implementar medidas de segurança diretamente nos seus sistemas, criando uma aplicação resguardada a partir do seu código-fonte.

No entanto, essa medida amplia o número de processos necessários para gerir o web app: sempre que mudanças forem feitas, será necessário corrigir e monitorar várias partes do programa para garantir que o número de vulnerabilidades permaneceu baixo.

Ao centralizar as medidas de segurança em uma solução como o Web Application Firewall, o negócio consegue manter uma política de segurança da informação sólida, com múltiplas camadas de controle e que não torna os processos de segurança digital mais complexos. Pelo contrário: o WAF dá ao gestor uma capacidade maior de se proteger contra ataques quando comparado com outras estratégias.

Por funcionar de maneira centralizada, o Web Application Firewall permite que o negócio utilize um único mecanismo de segurança para proteger várias aplicações e páginas web.

Dessa forma, em vez de aplicar correções e medidas de segurança a cada solução, a empresa pode modificar as regras de segurança em um mesmo local, reduzindo o período em que usuários ficam expostos a vulnerabilidades.

O funcionamento do WAF na prática

O Web Application Firewall possui um conjunto de regras que permitem ao negócio controlar todas as requisições que são enviadas aos seus sistemas web, garantindo o máximo de segurança para os seus usuários. Normalmente, as medidas tomadas por um WAF após analisar uma informação são baseadas em dois fatores: as condições do momento e as regras definidas pelos usuários.

O ambiente de TI muda constantemente. Ao receber um novo request de um usuário, o WAF deve analisar, a partir das condições do momento, se a requisição é ou não legítima. Isso permitirá o bloqueio de ataques que não tenham sido incluídos nas regras definidas pelos usuários e que podem atingir vulnerabilidades ainda não corrigidas pelo gestor de TI.

Os pacotes serão classificados de acordo com o seu conteúdo, o ponto de origem e o tipo de requisição feita. Isso impede, por exemplo, que scripts maliciosos inseridos em uma requisição com conteúdos válidos sejam validados como reais.

O comportamento dos usuários também é um fator que entra em cena. O Web Application Firewall avalia continuamente como todas as contas são utilizadas, criando padrões de uso. Dessa forma, fica mais fácil identificar contas comprometidas, evitando que elas sejam usadas para roubo ou modificações não autorizadas de dados.

Outros fatores podem incluir requisições pouco comuns ou que solicitem uma grande quantidade de informações. Além disso, técnicas de força bruta são rastreadas pelo WAF, impedindo que os sistemas sejam invadidos por meio de ataques de longa duração.

Outro recurso utilizado por Web Application Firewalls são as regras definidas pelo gestor de TI. Elas são combinadas com os recursos dinâmicos para mitigar o máximo possível de vulnerabilidades e ataques. Para isso, a empresa consegue atuar com dois tipos de regras de controle de dados.

Uma é feita com foco em fatores específicos. Se o gestor encontrar um grande número de solicitações maliciosas vindo de uma faixa de IPs, por exemplo, ele tem a possibilidade de excluir o acesso aos recursos do web app dela. Assim, todas as requisições provenientes de dispositivos de uma rede utilizada para ataques serão bloqueadas.

Há também as regras que são generalizadas, como as de controle de banda. Elas podem ser utilizadas para impedir um uso excessivo dos recursos da aplicação web ou reduzir as chances de que um ataque de força bruta tenha um impacto no desempenho da experiência de outros usuários.

O gestor de segurança digital pode criar uma regra de controle para que sejam bloqueados automaticamente todos os IPs que façam um grande número de requisições em um curto período de tempo, por exemplo.

Como consequência, ataques de negação de serviço serão mitigados, impedindo que as soluções protegidas pelo Web Application Firewall sejam prejudicadas.

O tipo de ataque contra o qual sua empresa estará protegida

Um Web Application Firewall pode proteger a empresa de uma série de riscos. Não só por atuar de forma dinâmica, analisando pacotes para identificar comportamentos suspeitos, mas também por ser capaz de aprender com a rotina dos usuários e ser personalizado de acordo com as necessidades da empresa.

A injeção de SQL (mais conhecida pelo seu nome em inglês, SQL Injection), por exemplo, é um tipo de ataque que é bloqueado pelo Web Application Firewall. Essa técnica consistem no envio de requisições maliciosas dentro de consultas (querys) legítimas para um banco de dados.

Em outras palavras, a injeção de SQL utiliza vulnerabilidades de um banco de dados para o envio de comandos que aparentam ser legítimos, mas que possuem código malicioso inserido dentro de si.

O principal objetivo dessa forma de ataque é obter acesso a informações sensíveis de um banco de dados. Se tiver sucesso, a injeção de SQL pode resultar no vazamento, remoção ou alteração de informações privadas da empresa.

Uma técnica semelhante que também é evitada com o Web Application Firewall é o cross-site scripting (também conhecido como XSS). Esse tipo de injeção tem como objetivo infectar uma página ou aplicação web com scripts maliciosos (geralmente escritos em JavaScript). Eles são executados junto com outros scripts da página e se aproveitam da sua legitimidade para infectar a máquina de um visitante.

Como o navegador interpreta a página como um site seguro, os scripts serão executados normalmente. Na ausência de mecanismos de segurança adicionais, informações salvas localmente pelo browser (como cookies, logins ativos e mesmo senhas) podem ser capturados automaticamente.

Em casos mais graves, o cross-site scripting pode levar inclusive à alteração indevida do CSS da página web, permitindo a exibição de conteúdos maliciosos como se fossem legítimos.

O Web Application Firewall também consegue proteger o usuário de alterações no protocolo HTTP. Elas podem comprometer a navegação do visitante de um site ou web app, gerando exposição de suas informações e criando uma série de riscos para o negócio.

O transbordamento de dados (também conhecido como estouro de buffer ou buffer overflow) é outra ameaça que um Web Application Firewall consegue eliminar com segurança.

Essa técnica de ataque utiliza o envio repetido de comandos feitos para que a aplicação web ultrapasse os limites de memória a ela designados. Isso pode ocasionar quedas de desempenho, indisponibilidade de recursos e, em casos piores, facilitar o acesso a informações privadas por meio da exploração de vulnerabilidades.

Outras ameaças que podem ser bloqueadas por um Web Application Firewall são ataques com o uso de bots, scanners e os de negação de serviços (também conhecidos como DDoS).

Essas técnicas sobrecarregam os recursos do site, prejudicando acessos legítimos e, com isso, reduzem a capacidade do negócio em manter os seus web apps funcionais. Em alguns casos, ataques como o DDoS podem derrubar até mesmo páginas de grandes empresas.

Os principais benefícios obtidos

O uso de um Web Application Firewall traz inúmeros benefícios ao negócio. A empresa consegue proteger as suas aplicações web contra várias formas de ataques e impedir que brechas de segurança se tornem um grande problema. Tudo isso sem ter que modificar o código-fonte de seus web apps e suas páginas web!

Múltiplas aplicações web podem ser protegidas simultaneamente por um Web Application Firewall. Isso torna os processos de governança, segurança e privacidade digital mais simples e práticos de gerenciar. Todas as regras e normas de proteção serão aplicadas de forma unificada, reduzindo ainda mais as chances de ocorrer um ataque.

O monitoramento do tráfego de dados é feito em tempo real, diminuindo o tempo de resposta a ataques. Além disso, o WAF cria logos dinâmicos, que facilitam a análise posterior de tudo o que ocorreu na web: o gestor de segurança digital conseguirá visualizar com precisão todos os acontecimentos das aplicações web do negócio.

A possibilidade de customizar regras de segurança facilita a gestão dos serviços web da companhia. Se a empresa possuir um aplicativo que necessita de recursos especiais, o gestor pode configurar normas próprias, evitando que uma requisição legítima seja considerada como algo malicioso.

Dessa forma, o negócio garantirá que todos os seus aplicativos web terão o máximo de performance, sem que ocorram interrupções causadas por um bloqueio indevido das atividades de um usuário.

As particularidades da Web 2.0

A Web 2.0 mudou a forma como empresas lidam com a internet. Páginas web deixaram de ser um grande conjunto de conteúdos estáticos para se tornarem interativas e inteligentes. E, nesse cenário, os desafios de segurança são crescentes.

Ao mesmo tempo que o mercado corporativo muda as suas páginas e aplicações web para soluções mais interativas, o número de ameaças que gestores precisam mitigar aumenta continuamente. Ataques como as injeções de SQL e o cross-site scripting se aproveitam de vulnerabilidades para capturar e modificar informações de terceiros.

Nesse contexto, o Web Application Firewall é uma solução completa para quem busca uma política de segurança e governança de TI eficaz e robusta.

A empresa conseguirá manter total controle sobre o seu ambiente de TI, monitorando, em tempo real, o tráfego de suas páginas e os seus aplicativos web. Regras de acesso e bloqueio serão aplicadas de forma unificada, impedindo que brechas de segurança sejam exploradas e comprometam a prestação de serviços do negócio.

 

Quer saber mais sobre as soluções da Locaweb Corp? Acesse nosso site!.