DataSunrise Consegue la Certificazione AWS DevOps Competency per AWS DevSecOps e Monitoraggio, Logging e Performance

Questo sito web utilizza cookie per raccogliere informazioni su come Lei interagisce con il nostro sito. Per saperne di più visiti la nostra Privacy Policy.

WAF. Un Cavaliere Splendente

WAF. Un Cavaliere Splendente

Oggi continuiamo la serie di blog dedicati ai vari tipi di firewall. Nel primo post abbiamo descritto le categorie di base dei firewall, fornito una panoramica delle modalità del firewall e indicato i vantaggi e i potenziali svantaggi dei tipi menzionati. In questo post parleremo in dettaglio del Web Application Firewall – WAF.

Sommario

Ogni anno, sempre più organizzazioni trasferiscono le loro operazioni sui siti web e sulle applicazioni web mantenendo le loro informazioni nel cloud, esponendo inevitabilmente i dati sensibili ad attacchi informatici sofisticati. Per proteggere le applicazioni e rimanere conformi ai requisiti normativi, molte aziende implementano Web Application Firewall.

I WAF affrontano le minacce che attaccano le applicazioni web personalizzate e i dati delle imprese. Includono tecniche di protezione progettate specificamente per la sicurezza web. Tradizionalmente il WAF è lo strumento più efficace per proteggere le applicazioni interne e pubbliche dell’organizzazione. Le applicazioni web possono essere distribuite localmente (on-premises) o remotamente (hosted, cloud, o come servizio). I WAF mirano a bloccare i tentativi di hacking, monitorare l’accesso alle applicazioni web e raccogliere log per la conformità, l’audit e l’analisi.

 

Che Cos’è il WAF?

Il WAF è diverso dai tradizionali firewall di rete, NGFW (Next Generation Firewall) e IPS (Intrusion Prevention System). Fornisce protezione a un livello più granulare. Protegge i server web e le applicazioni web specifiche dell’impresa contro attacchi al livello dell’applicazione e attacchi non volumetrici al livello di rete. Identifica e corregge anche le vulnerabilità “autoindotte” nelle applicazioni sviluppate su misura. La personalizzazione delle regole per un’applicazione specifica consente di identificare e bloccare molti attacchi. I WAF sono in grado di prevenire XSS (Cross-site Scripting), SQL injection, dirottamento della sessione, buffer overflow, RFI (Remote File Inclusion) e cookie poisoning.

Possono anche includere tecniche di protezione contro attacchi DDoS (Distributed Denial of Service). Inoltre, alcuni WAF proteggono contro il directory traversal, il forced URL browsing, ecc.

Vettori di Minaccia

Le applicazioni web sono vulnerabili a molte minacce che non sempre vengono riconosciute dai normali firewall di rete, NGFW e IPS. Gli attacchi più comuni sono i seguenti:

Injection

Gli attacchi SQL Injection vengono usati da utenti malintenzionati come un modo per ottenere l’accesso ai dati riservati o per incorporare codice dannoso su un server web. Questa tecnica induce il database back-end a eseguire i comandi iniettati e a permettere agli utenti non autorizzati di accedere alle informazioni sensibili contenute nel database. Nel caso di inclusione di codice dannoso, il server web infetto distribuirà malware ai client ignari.

Cross-site Scripting (XSS)

Gli attacchi Cross-site Scripting permettono a un malintenzionato di ottenere informazioni sensibili o compromettere un server web. L’attaccante inserisce Javascripts nelle pagine di un sito fidato e ne alterano il contenuto. Successivamente, il sito vulnerabile viene utilizzato come veicolo per consegnare uno script dannoso al browser della vittima. L’attaccante sfrutta la fiducia che un utente ha nei confronti del sito.

Cross-site request forgery (CSRF)

Gli attacchi Cross-site request forgery costringono gli utenti finali a fare modifiche alle informazioni che non intendevano fare. Può trattarsi di aggiornare dati personali, pubblicare contenuti o avviare transazioni false. Un attaccante induce un utente a trasmettere una richiesta HTTP dannosa, includendo il cookie di sessione della vittima, a un’applicazione o sito target. Il sito vulnerabile lo accetta senza il consenso dell’utente. In questo caso, l’attaccante sfrutta la fiducia del sito web nei confronti del browser dell’utente.

Esposizione di Dati Sensibili

Nel caso in cui un’applicazione web non protegga adeguatamente i dati sensibili in transito e a riposo, i malintenzionati possono rubare o manipolare i dati per commettere furti d’identità, frodi con le carte di credito o altri crimini. Questo tipo di vulnerabilità riguarda la mancanza di cifratura dei dati sensibili come numeri di carte di credito, credenziali di autenticazione, numeri di sicurezza sociale (SSN), ID fiscali, ecc.

Directory Traversal

Gli attacchi Directory Traversal permettono di accedere a file e directory riservati ed eseguire comandi fuori dalla directory principale del server web. Un attaccante manipola un URL in modo tale che il sito web riveli i file confinati sul server web.

Distribuzione di WAF

Il WAF può essere eseguito come appliance fisica, virtuale o software, plug-in del server o servizio basato su cloud. Al momento, i servizi cloud sono principalmente adatti per le piccole e medie imprese (SMB), mentre le grandi imprese sono più propense a investire in appliance fisiche o virtuali progettate appositamente.

Il WAF può essere distribuito davanti a un server web o integrato direttamente su un server web. Di solito, un WAF è distribuito in-line, come proxy inverso, ma può anche essere distribuito in modalità bridge, mirror (essendo posizionato fuori banda) o agire come proxy trasparente. Nel caso di una distribuzione in modalità mirror, un WAF lavora su una copia del traffico di rete.

Ogni distribuzione di WAF è diversa in base a un caso d’uso. Dipende dall’obiettivo primario dell’implementazione della tecnologia, se viene utilizzato per patching virtuale, registrazione log HTTP, monitoraggio dei dati sensibili o identificazione delle vulnerabilità delle applicazioni. Per alcuni WAF è disponibile una modalità di distribuzione ibrida che offre una distribuzione in-line combinata con il posizionamento di sensori fuori linea per raccogliere dati di audit e quindi comunicare con l’applicazione agente installata su un server web specifico. Molti prodotti WAF supportano non solo distribuzioni di singoli server web ma anche di più server web.

Come Funziona il WAF?

Operando a livello di applicazione, il WAF funziona come una barriera flessibile tra gli utenti finali e le applicazioni. Monitora e filtra sia il traffico HTTP in entrata che in uscita e blocca le attività che contraddicono il set configurato di regole di sicurezza. Un WAF intercetta e analizza ogni pacchetto di dati HTML, HTTPS, SOAP e XML-RPC. L’ispezione del traffico dati per schemi sconosciuti consente di rilevare e bloccare nuovi attacchi sconosciuti. In questo modo, il WAF offre capacità oltre quelle offerte da NGFW e IPS, che coprono solo le vulnerabilità conosciute.

Integrazione con Altre Tecnologie di Sicurezza

Il WAF si integra con altre tecnologie di sicurezza delle informazioni, come scanner di vulnerabilità delle applicazioni, appliance di protezione DDoS, soluzioni di sicurezza database, rilevamento delle frodi web, SIEM (Information and Event Management). La consolidazione dei WAF con altre tecnologie di sicurezza permette di massimizzare il tasso di rilevamento e blocco delle minacce conosciute e nuove in evoluzione. La personalizzazione accurata riduce al minimo i falsi positivi e garantisce un rilevamento preciso delle anomalie. Questo aiuta a mitigare i rischi e a ridurre significativamente la superficie di attacco dell’impresa.

Limitazioni del WAF

Con tutti i vantaggi che il WAF può offrire, si presentano anche difficoltà nella distribuzione e nella gestione software continua. Per fornire il livello di sicurezza dell’applicazione e dei dati previsto, il WAF deve essere distribuito e gestito efficacemente. Ciò comporta la manutenzione adeguata delle politiche del firewall e la personalizzazione delle regole di sicurezza, che a loro volta richiedono un livello avanzato di competenze degli amministratori del WAF.

Ci sono problemi che attirano l’attenzione nel processo di distribuzione e implementazione del WAF:

Politiche Inefficaci. Le politiche del firewall e le capacità ovviamente devono tenere il passo con le nuove minacce emergenti, ciò che non sempre avviene. Un altro problema è la mancanza di informazioni e documentazione su quali politiche siano efficaci, quindi gli utenti devono impegnarsi e spendere tempo in più per capire cosa funziona e come migliorare.

Personalizzazione delle Regole di Sicurezza. Ci vuole tempo per determinare tutte le regole necessarie per bloccare o consentire il traffico che passa attraverso le applicazioni. Le regole devono anche essere costantemente aggiornate poiché il codice cambia e nuove funzionalità emergono. Bloccare richieste legittime crea falsi positivi portando a ignorare un attacco dannoso in questo bacino di avvisi irrilevanti.

Lacuna di Competenze. I clienti spesso faticano a mantenere in funzione i dispositivi esistenti poiché non tutte le organizzazioni hanno competenze interne per utilizzare un WAF correttamente ed efficacemente. Esternalizzare la gestione del WAF non sempre è la decisione migliore. Quando si sceglie una distribuzione WAF, soprattutto per esigenze di conformità, gli amministratori devono dare priorità alle caratteristiche critiche più adatte alle necessità attuali dell’organizzazione. Dopo il processo di distribuzione e configurazione, il WAF richiede un’alta competenza tecnica del team per funzionare in modo efficiente e aggiungere valore sostenibile al sistema di sicurezza dell’impresa.

Trasferimento delle Operazioni al Cloud. Mentre sempre più aziende stanno trasferendo le loro applicazioni e dati nell’infrastruttura cloud pubblica, devono inevitabilmente migrare il Web Application Firewall e le politiche associate a questa nuova e fondamentalmente diversa architettura. Il problema è che non tutti i fornitori offrono una sostituzione sostenibile per l’appliance on-premises, o possono non essere in grado di offrire le API di cui l’organizzazione ha bisogno per realizzare lo scenario di distribuzione nell’ambiente cloud dinamico.

Conclusione

I Web Application Firewall sono uno strumento di sicurezza comune utilizzato dalle imprese per proteggere le applicazioni web contro exploit dannosi, impersonificazioni, vulnerabilità conosciute e nuove minacce in evoluzione, nonché per identificare vulnerabilità autoindotte delle applicazioni sviluppate su misura. Aiuta inoltre a soddisfare i requisiti di conformità. E mentre questa tecnologia è sicuramente indispensabile per le aziende che puntano a proteggere le loro risorse web, non è sufficiente quando si tratta di sicurezza del database.

Nei nostri prossimi post parleremo del Database Access Firewall e del motivo per cui il Web Application Firewall da solo non è in grado di mettere in completa sicurezza i database.

Leggi l’intera serie di post sui firewall:

  1. Fifty Shades of Firewall
  2. WAF. Un Cavaliere Splendente
  3. DAF. Salva il Database dal Drago
  4. WAF + DAF = Un Lieto Fine
 

Successivo

Come i Database Popolari Gestiscono i Comandi DDL nelle Transazioni

Come i Database Popolari Gestiscono i Comandi DDL nelle Transazioni

Scopri di più

Ha bisogno del nostro team di supporto?

I nostri esperti saranno lieti di rispondere alle Sue domande.

Countryx
United States
United Kingdom
France
Germany
Australia
Afghanistan
Islands
Albania
Algeria
American Samoa
Andorra
Angola
Anguilla
Antarctica
Antigua and Barbuda
Argentina
Armenia
Aruba
Austria
Azerbaijan
Bahamas
Bahrain
Bangladesh
Barbados
Belarus
Belgium
Belize
Benin
Bermuda
Bhutan
Bolivia
Bosnia and Herzegovina
Botswana
Bouvet
Brazil
British Indian Ocean Territory
Brunei Darussalam
Bulgaria
Burkina Faso
Burundi
Cambodia
Cameroon
Canada
Cape Verde
Cayman Islands
Central African Republic
Chad
Chile
China
Christmas Island
Cocos (Keeling) Islands
Colombia
Comoros
Congo, Republic of the
Congo, The Democratic Republic of the
Cook Islands
Costa Rica
Cote D'Ivoire
Croatia
Cuba
Cyprus
Czech Republic
Denmark
Djibouti
Dominica
Dominican Republic
Ecuador
Egypt
El Salvador
Equatorial Guinea
Eritrea
Estonia
Ethiopia
Falkland Islands (Malvinas)
Faroe Islands
Fiji
Finland
French Guiana
French Polynesia
French Southern Territories
Gabon
Gambia
Georgia
Ghana
Gibraltar
Greece
Greenland
Grenada
Guadeloupe
Guam
Guatemala
Guernsey
Guinea
Guinea-Bissau
Guyana
Haiti
Heard Island and Mcdonald Islands
Holy See (Vatican City State)
Honduras
Hong Kong
Hungary
Iceland
India
Indonesia
Iran, Islamic Republic Of
Iraq
Ireland
Isle of Man
Israel
Italy
Jamaica
Japan
Jersey
Jordan
Kazakhstan
Kenya
Kiribati
Korea, Democratic People's Republic of
Korea, Republic of
Kuwait
Kyrgyzstan
Lao People's Democratic Republic
Latvia
Lebanon
Lesotho
Liberia
Libyan Arab Jamahiriya
Liechtenstein
Lithuania
Luxembourg
Macao
Madagascar
Malawi
Malaysia
Maldives
Mali
Malta
Marshall Islands
Martinique
Mauritania
Mauritius
Mayotte
Mexico
Micronesia, Federated States of
Moldova, Republic of
Monaco
Mongolia
Montserrat
Morocco
Mozambique
Myanmar
Namibia
Nauru
Nepal
Netherlands
Netherlands Antilles
New Caledonia
New Zealand
Nicaragua
Niger
Nigeria
Niue
Norfolk Island
North Macedonia, Republic of
Northern Mariana Islands
Norway
Oman
Pakistan
Palau
Palestinian Territory, Occupied
Panama
Papua New Guinea
Paraguay
Peru
Philippines
Pitcairn
Poland
Portugal
Puerto Rico
Qatar
Reunion
Romania
Russian Federation
Rwanda
Saint Helena
Saint Kitts and Nevis
Saint Lucia
Saint Pierre and Miquelon
Saint Vincent and the Grenadines
Samoa
San Marino
Sao Tome and Principe
Saudi Arabia
Senegal
Serbia and Montenegro
Seychelles
Sierra Leone
Singapore
Slovakia
Slovenia
Solomon Islands
Somalia
South Africa
South Georgia and the South Sandwich Islands
Spain
Sri Lanka
Sudan
Suriname
Svalbard and Jan Mayen
Swaziland
Sweden
Switzerland
Syrian Arab Republic
Taiwan, Province of China
Tajikistan
Tanzania, United Republic of
Thailand
Timor-Leste
Togo
Tokelau
Tonga
Trinidad and Tobago
Tunisia
Turkey
Turkmenistan
Turks and Caicos Islands
Tuvalu
Uganda
Ukraine
United Arab Emirates
United States Minor Outlying Islands
Uruguay
Uzbekistan
Vanuatu
Venezuela
Viet Nam
Virgin Islands, British
Virgin Islands, U.S.
Wallis and Futuna
Western Sahara
Yemen
Zambia
Zimbabwe
Choose a topicx
Informazioni generali
Vendite
Servizio clienti e supporto tecnico
Richieste di collaborazione e alleanza
Informazioni generali:
info@datasunrise.com
Vendite:
sales@datasunrise.com
Servizio clienti e supporto tecnico:
support.datasunrise.com
Richieste di collaborazione e alleanza:
partner@datasunrise.com