• Editorial

WAF: Características avançadas do Web Application Firewall


escudo
Divulgação: Photo by Paweł Czerwiński on Unsplash

As organizações devem proteger os dados de ameaças modernas, ao mesmo tempo que minimizam qualquer atrito com a experiência do usuário final. As experiências frustrantes do usuário incluem o bloqueio com base em falsos positivos ou a navegação excessiva de prompts CAPTCHA para provar a autenticação do usuário. Os seguintes recursos avançados do WAF podem garantir uma experiência ideal do usuário.

Aprendizado de máquina

As técnicas tradicionais de aprendizado de aplicativos requerem ajuste manual e estão sujeitas a falsos positivos. O ajuste de aplicativos sempre que houver uma alteração e a correção de falsos positivos aumentam a sobrecarga administrativa para equipes que já podem estar sobrecarregadas. O aprendizado de máquina com um WAF pode mudar o jogo, modelando automaticamente o comportamento real do aplicativo da web. Ao atualizar esse modelo automaticamente à medida que o aplicativo da web evolui, as equipes de segurança gastam menos tempo ajustando manualmente o WAF e criando exceções com base em falsos positivos.

Relatórios avançados

notebook com gráficos na tela
Divulgação: Photo by Lukas Blazek on Unsplash

Simplesmente bloquear um site ou aplicativo não é suficiente - as organizações precisam de visibilidade total dos detalhes do evento que um WAF pode fornecer. Os logs de ataque devem incluir as informações críticas de que os analistas do SOC precisam, como as informações do corpo HTTP e indicações claras sobre o motivo pelo qual uma solicitação foi bloqueada.

Proactive bot defense

Protege os aplicativos de ataques automatizados por bots e de outras ferramentas maliciosas.

A defesa de bot é implementada identificando clientes por seus tipos (classificação de cliente), por meio da identificação de tipos de navegador (classes), com base no navegador (todos os navegadores conhecidos), ou aplicativo móvel (com ou sem anti-bot).

O tráfego de bots confiáveis ​​é passado sem detecção de anomalias, enquanto a atividade de bots não confiáveis ​​(navegador suspeito, bot malicioso e bot desconhecido) é monitorada para atividades que indicam padrões de ameaça (assinaturas de bot benignas).

Quando um padrão de ameaça é identificado em um cliente que é identificado como um bot, as atenuações configuradas (classe, categoria, assinatura e nível de anomalia) são aplicadas à solicitação do bot, e essas informações são registradas junto com uma atenuação recomendada (quando configurada no modo de aplicação transparente) que você pode usar para relatórios. Quando várias ações de mitigação são identificadas com base na atividade do bot, a ação de mitigação mais estrita configurada é utilizada.

Anti-Bot Mobile

celular com apps
Divulgação: Photo by Yura Fresh on Unsplash

Protege os ativos mais valiosos de uma organização: aplicativos e dados confidenciais. Protege os aplicativos da web contra bots, ataques automatizados, web scrapers e exploits. Podendo estender a proteção de bot para aplicativos móveis por meio de listas de permissões de aplicativos, análise comportamental, validação segura de cookies e proteção avançada de aplicativos.

In-Browser Data Encryption

O navegador criptografa os dados, desde que confie no certificado SSL / chave pública que foi fornecido pelo servidor que está acessando, que é então passado para o servidor e descriptografado para iniciar uma "seção" criptografada entre as duas entidades:

  1. O navegador se conecta a um servidor web (site) protegido por SSL (https). O navegador solicita que o servidor se identifique.

  2. O servidor envia uma cópia de seu certificado SSL, incluindo a chave pública do servidor.

  3. O navegador verifica a fonte do certificado em uma lista de CAs confiáveis e se o certificado não expirou, não foi revogado e se seu nome comum é válido para o site ao qual está se conectando. Se o navegador confiar no certificado, ele cria, criptografa e envia de volta uma chave de seção simétrica usando a chave pública do servidor.

  4. O servidor descriptografa a chave de seção simétrica usando sua chave privada e envia de volta uma confirmação criptografada com a chave de seção para iniciar a seção criptografada.

  5. O servidor e o navegador agora criptografam todos os dados transmitidos com a chave de seção.

Behavioral DoS

internet
Divulgação: Photo by Anastasia Dulgier on Unsplash

O recurso Behavioral DoS (B-DoS) fornece detecção de anomalias de tráfego e criação imediata de assinaturas para proteção imediata contra ataques DoS.

O módulo B-DoS detecta e evita ataques da rede pública, detectando anomalias de tráfego, evitando ataques de flood desconhecidos, identificando a pegada do tráfego anômalo. O módulo B-DoS protege contra Network Flood Attacks, que causam uma grande quantidade de tráfego irrelevante para preencher a largura de banda de rede disponível, negando o uso de recursos de rede para usuários legítimos.

Os tipos de proteção contra Network Flood incluem:

  • SYN Flood

  • TCP Flood

  • UDP Flood

  • ICMP Flood

  • IGMP Flood

O recurso B-DoS utiliza linhas de base de tráfego de rede conhecidas para cada tipo de protocolo (por exemplo, TCP, UDP, ICMP e IGMP) e compara anomalias de tráfego com elas.

A próxima etapa é identificar a digital do ataque, que se traduz em uma assinatura de ataque. Este recurso então configura um filtro para proteger a rede de acordo com as configurações da política e ativa o módulo de feedback para otimizar a assinatura e reduzir falsos positivos. Depois que o ataque termina, o processo de feedback também é responsável por remover a assinatura do ataque.

O recurso Behavioral DoS detecta anomalias estatísticas de tráfego e cria uma digital de ataque precisa (assinatura) com base na análise de informações do protocolo heurístico. Isso garante uma filtragem de ataque precisa com poucos falsos positivos. A proteção contra flood SYN fornecida pelo recurso B-DoS é não intrusiva, detectando ataques conforme eles acontecem, limpando os links do tráfego excessivo.

Segurança do protocolo API

A segurança da API é a proteção da integridade das APIs - tanto as que você possui quanto as que usa. Mas o que isso significa?

Bom, você provavelmente já ouviu falar da Internet das Coisas (IoT), onde o poder da computação está embutido em objetos do dia a dia. A IoT torna possível conectar seu telefone à geladeira, de modo que, quando você parar no supermercado a caminho de casa, saiba exatamente o que precisa para aquele jantar improvisado. Ou talvez você faça parte de uma equipe de DevOps, usando microsserviços e contêineres para construir e implantar aplicativos nativos da nuvem de maneira interativa e rápida. APIs são uma das formas mais comuns de comunicação de microsserviços e contêineres, assim como sistemas e aplicativos. Conforme a integração e a interconectividade se tornam mais importantes, o mesmo acontece com as APIs.

As empresas usam APIs para conectar serviços e transferir dados. APIs quebradas, expostas ou hackeadas estão por trás das principais violações de dados. Eles expõem dados médicos, financeiros e pessoais confidenciais para consumo público. Dito isso, nem todos os dados são iguais nem devem ser protegidos da mesma maneira. A maneira como você aborda a segurança da API depende do tipo de dados que está sendo transferido.

Se sua API se conecta a um aplicativo de terceiros, entenda como esse aplicativo está canalizando informações de volta para a Internet. Para usar o exemplo acima, talvez você não se importe se alguém descobrir o que está em sua geladeira, mas se eles usarem a mesma API para rastrear sua localização, você com certeza ficará mais preocupado.

Defesas para o OWASP Top 10

Os aplicativos modernos da web exigem um WAF abrangente para protegê-los contra vários tipos de ameaças, como o Open Web Application Security Project (OWASP Top 10), que “representa um amplo consenso sobre os riscos de segurança mais críticos para os aplicativos da web”. Se você quiser saber mais sobre essas ameaças clique aqui.

O Proteja XP

Agora que você sabe tudo sobre as características avançadas do WAF, está na hora de contratar um para o seu negócio!

Habilite hoje mesmo esta proteção para os seus sites, blogs e aplicativos, contrate o serviço Proteja XP da Maximize! O Proteja XP é uma assinatura mensal da plataforma de proteção firewall de aplicação web –W.A.F. líder do mercado, incluindo o suporte continuado, de forma rápida e prática, totalmente na nuvem.

Tenho certeza que você não vai querer correr o risco de ser mais uma empresa brasileira vítima de ciberataques, entre em contato conosco.

E acompanhe as outras dicas no nosso blog e no nosso facebook.

Assista o nosso vídeo sobre o assunto: