Web Application Firewall: jak chroni aplikacje webowe?

Web Application Firewall to obecnie jeden z najskuteczniejszych sposobów na zabezpieczenie witryn, usług i aplikacji działających w sieci web. W jaki sposób działa Web Application Firewall (WAF) i kto powinien go posiadać?

Obecnie wiele biznesów działa lub właśnie przynosi się do internetu. Oferowanie usług online wiąże się jednak z pewnymi zagrożeniami spowodowanymi działaniem cybernetycznych przestępców. Źle zabezpieczone aplikacje często stanowią furtkę dla przestępców próbujących przeniknąć do sieci.
Jak podaje Verizon Data Breach Investigations Report [1] już w 2020 roku niemal 43% wszystkich cyberprzestępstw dotyczyło aplikacji internetowych.
Global Threat Analysis Report [2] na lata 2021-2022 przestrzega z kolei, że liczba ataków na aplikacje internetowe wzrasta w zastraszającym tempie. Tylko w ciągu ostatnich dwóch lat liczba wszystkich prób ataków wzrosła o prawie 88%. W roku 2021 aż o 37% w porównaniu z rokiem poprzednim wzrosło liczba zdarzeń DDoS. Przy czym aż 40% wszystkich incydentów dotyczyło firm i organizacji z terenów Europy, Bliskiego Wschodu oraz Afryki (EMEA).
Niepokoi również fakt, że metody hakerów stają się coraz bardziej wyrafinowane, a tym samym trudniej jest skutecznie wykryć i zatrzymać potencjalne zagrożenie.
Jednym ze sposobów zabezpieczenia się przed atakami jest wykonanie audytu bezpieczeństwa aplikacji >> wdrożenie oprogramowania, które nazywa się Web Application Firewall. Na czym to polega?

Czym jest Web Application Firewall (WAF)?

Działanie WAF-a jest bardzo podobne do klasycznego firewall-a >>. Różnica polega na tym, że nie chroni on dostępu do serwera, a do konkretnej witryny, sklepu internetowego czy aplikacji webowej. W największym skrócie WAF jest strażnikiem, który chroni aplikacje przed zagrożeniami, jakie mogą przyjść z globalnej sieci.
Web Application Firewall to zapora dla aplikacji HTTP (ang. Hypertext Transfer Protocol) i WWW (ang. World Wide Web). Przeznaczony = jest do ochrony najwyższej, 7 warstwy protokołu wg modelu OSI czyli aplikacji internetowych. Jego zadaniem jest monitorowanie, filtrowanie i blokowanie pakietów danych przepływających do i ze strony internetowej lub aplikacji sieciowej.
WAF filtruje ruch przepuszczając go przez zestaw reguł, które nazywane są politykami. Ich zadaniem jest ochrona aplikacji przed lukami w zabezpieczeniach poprzez niedopuszczanie złośliwego ruchu.
Web Application Firewall skutecznie radzi sobie z najczęściej pojawiającymi się atakami takimi jak cross-site forgery, cross-site-scripting (XSS), file inclusion, ataki DDoS czy SQL injection.

Do najważniejszych funkcji Web Application Firewall należy:

• monitorowanie ruchu do aplikacji webowych;
• działania prewencyjne w przypadku wykrycia zagrożenia;
• informowanie administratora w wykryciu luk w bezpieczeństwie (np. na bazie list reputacyjnych);
• balansowanie ruchu.

Jak działa Web Application Firewall?

WAF może przybierać różne formy. Niektórzy dostawcy oferują dedykowane urządzenia sprzętowe, ale najczęściej WAF dostępny jest jako oprogramowanie, maszyna wirtualna lub usługa typu cloud.
Najpopularniejszą, a jednocześnie najbardziej efektywną opcją jest stosowanie tak zwanego odwrotnego serwera proxy (ang. reverse proxy). WAF pełni funkcję pośrednika między klientem, a serwisami www.
W ten sposób klient nie komunikuję się bezpośrednio z serwisami www, ale z WAF. System ten analizuje żądania GET (służy do pobierania danych z serwera) i POST (wysyłania danych do serwera w celu zmiany jego stanu). Filtruje i weryfikuje ruch, a ten który narusza zasady uznane za niedozwolone lub za wrogie może zostać automatycznie zablokowany.

Przy analizie danych Web Application Firewall może przyjąć dwie metody:

• Biała lista. W tym przypadku ​​WAF zezwala tylko na żądania pochodzące z listy, w której znajdują się znane i bezpieczne adresy IP. Odrzuca natomiast wszystkie adresy, które są poza listą.
• Czarna lista. W tym podejściu utworzona jest lista aplikacji lub reguł, które mają wskazywać na złośliwe pakiety. Na podstawie wytycznych (polityk) firewall filtruje dane i odrzuca te, które mogą być potencjalnie uznane za niebezpieczne. Tego typu lista powinna być stosowana szczególnie przy zabezpieczeniu witryn i aplikacji publicznych, ponieważ to one narażone są zazwyczaj na ataki z adresów IP będących na czarnej liście firm/instytucji, które dokonują analizy reputacji adresów IP.
• Model hybrydowy. W tym rozwiązaniu wykorzystuje się elementy zarówno czarnej, jak i białej listy.

Rodzaje WAF: sprzętowy, wirtualny czy cloud?

Jak wspomniałem wcześniej, Web Application Firewall może być dostępny w kilku formach: jako urządzenie sprzętowe, oprogramowanie, maszyna wirtualna, a także jako usługa dostępna w chmurze.

• WAF sprzętowy. To po prostu urządzenie sprzętowe, które jest zainstalowane lokalnie. Zaletą takiego rozwiązania jest to, że działa szybciej i nie ma opóźnień. Z drugiej strony wymaga konserwacji i przechowywania w serwerowni podobnie jak inne urządzenia.
• WAF wirtualny/oparty na hoście. To zdecydowanie tańsze i bardziej elastyczne rozwiązanie w porównaniu z wersją sprzętową. Wadą jest to, że WAF w wersji wirtualnej bardziej zużywa zasoby lokalnego serwera.
• WAF oparte na chmurze to najnowsze rozwiązanie. Jego zaletą jest minimalny koszt początkowy i opłaty abonamentowe, które są rozłożone w czasie. Koszty po stronie użytkownika są zredukowane do minimum. Tego typu usługi chmurowe zazwyczaj są na bieżąco aktualizowane, dlatego mamy pewność, że nasza aplikacja jest chroniona przed najnowszymi zagrożeniami. Zaletą jest również skalowalność (pay as you grow).

Jakie są zalety z wykorzystania Web Application Firewall?

Skuteczna ochrona przed popularny atakami

Poprawnie wdrożony Web Application Firewall zapewnia skuteczną ochronę przed atakami wewnętrznymi i zewnętrznymi. Zabezpieczy aplikacje webowe przed groźnymi cookie poisoning, SQL injection, cross-site-scripting (XSS) czy atakami botów i złagodzi ataki DDOS.

Przy usłudze cloud: niższe koszty

W przypadku, gdy zdecydujemy się na wariant cloud możemy liczyć się z niższymi kosztami. Unikamy zakupu sprzętu, usługi wdrożenia, utrzymania sprzętu w serwerowni.

Bieżące aktualizacje

Tego typu rozwiązania pozwalają na szybkie dostosowanie się do bieżących zagrożeń. Aktualizowane polityki i listy pozwalają na skuteczną ochronę przed najnowszymi zagrożeniami.

Podsumowanie, czyli kto potrzebuje Web Application Firewall?

Odpowiedź na to pytanie jest dosyć prosta. Praktycznie każda firma, w której istnieje witryna internetowa, sklep internetowy czy inna aplikacja/ platforma oferująca usługi online, powinna rozważyć wdrożenie Web Application Firewall. Tego typu rozwiązanie warto przemyśleć, zwłaszcza gdy jesteśmy małą firmą. Jak wynika z ostatnich danych, właśnie małe firmy coraz częściej padają ofiarą przestępstw cybernetycznych. Powód jest bardzo prozaiczny — małe firmy najmniej inwestują w bezpieczeństwo witryn, portali i sklepów internetowych.

Web Application Firewall powinny również wdrożyć firmy, które działają w potencjalnie niebezpiecznych strefach działalności i branżach.

• firmy działające w branży e-commerce oferujące sprzedaż przez internetowy sklep;
• organizacje udostępniający usługi finansowe online;
• witryny z branży medycznej oferujące artykuły lub usługi online;
• organizacje, które są zobowiązane do przestrzegania standardów zgodności.

Web Application Firewall pozwoli ci zabezpieczyć swoją witrynę przed tymi najczęstszymi, a jednocześnie najgroźniejszymi atakami hakerów. W ten sposób zabezpieczysz nie tylko poufne dane osobowe i finansowe klientów, ale również uchronisz firmę przed stratami i kosztami, jakie mogłyby zostać wygenerowane w przypadku udanego ataku.

Przypisy:

1. Verizon Data Breach Investigations Report , https://www.verizon.com/business/resources/reports/dbir/ [dostęp 08.04.2022r]
2. Global Threat Analysis Report, https://www.crowdstrike.com/global-threat-report/ [dostęp 08.04.2022r]