DataSunrise Consegue la Certificazione AWS DevOps Competency per AWS DevSecOps e Monitoraggio, Logging e Performance

Questo sito web utilizza cookie per raccogliere informazioni su come Lei interagisce con il nostro sito. Per saperne di più visiti la nostra Privacy Policy.

WAF. Un Cavaliere Splendente

WAF. Un Cavaliere Splendente

Oggi continuiamo la serie di blog dedicati ai vari tipi di firewall. Nel primo post abbiamo descritto le categorie di base dei firewall, fornito una panoramica delle modalità del firewall e indicato i vantaggi e i potenziali svantaggi dei tipi menzionati. In questo post parleremo in dettaglio del Web Application Firewall – WAF.

Sommario

Ogni anno, sempre più organizzazioni trasferiscono le loro operazioni sui siti web e sulle applicazioni web mantenendo le loro informazioni nel cloud, esponendo inevitabilmente i dati sensibili ad attacchi informatici sofisticati. Per proteggere le applicazioni e rimanere conformi ai requisiti normativi, molte aziende implementano Web Application Firewall.

I WAF affrontano le minacce che attaccano le applicazioni web personalizzate e i dati delle imprese. Includono tecniche di protezione progettate specificamente per la sicurezza web. Tradizionalmente il WAF è lo strumento più efficace per proteggere le applicazioni interne e pubbliche dell’organizzazione. Le applicazioni web possono essere distribuite localmente (on-premises) o remotamente (hosted, cloud, o come servizio). I WAF mirano a bloccare i tentativi di hacking, monitorare l’accesso alle applicazioni web e raccogliere log per la conformità, l’audit e l’analisi.

 

Che Cos’è il WAF?

Il WAF è diverso dai tradizionali firewall di rete, NGFW (Next Generation Firewall) e IPS (Intrusion Prevention System). Fornisce protezione a un livello più granulare. Protegge i server web e le applicazioni web specifiche dell’impresa contro attacchi al livello dell’applicazione e attacchi non volumetrici al livello di rete. Identifica e corregge anche le vulnerabilità “autoindotte” nelle applicazioni sviluppate su misura. La personalizzazione delle regole per un’applicazione specifica consente di identificare e bloccare molti attacchi. I WAF sono in grado di prevenire XSS (Cross-site Scripting), SQL injection, dirottamento della sessione, buffer overflow, RFI (Remote File Inclusion) e cookie poisoning.

Possono anche includere tecniche di protezione contro attacchi DDoS (Distributed Denial of Service). Inoltre, alcuni WAF proteggono contro il directory traversal, il forced URL browsing, ecc.

Vettori di Minaccia

Le applicazioni web sono vulnerabili a molte minacce che non sempre vengono riconosciute dai normali firewall di rete, NGFW e IPS. Gli attacchi più comuni sono i seguenti:

Injection

Gli attacchi SQL Injection vengono usati da utenti malintenzionati come un modo per ottenere l’accesso ai dati riservati o per incorporare codice dannoso su un server web. Questa tecnica induce il database back-end a eseguire i comandi iniettati e a permettere agli utenti non autorizzati di accedere alle informazioni sensibili contenute nel database. Nel caso di inclusione di codice dannoso, il server web infetto distribuirà malware ai client ignari.

Cross-site Scripting (XSS)

Gli attacchi Cross-site Scripting permettono a un malintenzionato di ottenere informazioni sensibili o compromettere un server web. L’attaccante inserisce Javascripts nelle pagine di un sito fidato e ne alterano il contenuto. Successivamente, il sito vulnerabile viene utilizzato come veicolo per consegnare uno script dannoso al browser della vittima. L’attaccante sfrutta la fiducia che un utente ha nei confronti del sito.

Cross-site request forgery (CSRF)

Gli attacchi Cross-site request forgery costringono gli utenti finali a fare modifiche alle informazioni che non intendevano fare. Può trattarsi di aggiornare dati personali, pubblicare contenuti o avviare transazioni false. Un attaccante induce un utente a trasmettere una richiesta HTTP dannosa, includendo il cookie di sessione della vittima, a un’applicazione o sito target. Il sito vulnerabile lo accetta senza il consenso dell’utente. In questo caso, l’attaccante sfrutta la fiducia del sito web nei confronti del browser dell’utente.

Esposizione di Dati Sensibili

Nel caso in cui un’applicazione web non protegga adeguatamente i dati sensibili in transito e a riposo, i malintenzionati possono rubare o manipolare i dati per commettere furti d’identità, frodi con le carte di credito o altri crimini. Questo tipo di vulnerabilità riguarda la mancanza di cifratura dei dati sensibili come numeri di carte di credito, credenziali di autenticazione, numeri di sicurezza sociale (SSN), ID fiscali, ecc.

Directory Traversal

Gli attacchi Directory Traversal permettono di accedere a file e directory riservati ed eseguire comandi fuori dalla directory principale del server web. Un attaccante manipola un URL in modo tale che il sito web riveli i file confinati sul server web.

Distribuzione di WAF

Il WAF può essere eseguito come appliance fisica, virtuale o software, plug-in del server o servizio basato su cloud. Al momento, i servizi cloud sono principalmente adatti per le piccole e medie imprese (SMB), mentre le grandi imprese sono più propense a investire in appliance fisiche o virtuali progettate appositamente.

Il WAF può essere distribuito davanti a un server web o integrato direttamente su un server web. Di solito, un WAF è distribuito in-line, come proxy inverso, ma può anche essere distribuito in modalità bridge, mirror (essendo posizionato fuori banda) o agire come proxy trasparente. Nel caso di una distribuzione in modalità mirror, un WAF lavora su una copia del traffico di rete.

Ogni distribuzione di WAF è diversa in base a un caso d’uso. Dipende dall’obiettivo primario dell’implementazione della tecnologia, se viene utilizzato per patching virtuale, registrazione log HTTP, monitoraggio dei dati sensibili o identificazione delle vulnerabilità delle applicazioni. Per alcuni WAF è disponibile una modalità di distribuzione ibrida che offre una distribuzione in-line combinata con il posizionamento di sensori fuori linea per raccogliere dati di audit e quindi comunicare con l’applicazione agente installata su un server web specifico. Molti prodotti WAF supportano non solo distribuzioni di singoli server web ma anche di più server web.

Come Funziona il WAF?

Operando a livello di applicazione, il WAF funziona come una barriera flessibile tra gli utenti finali e le applicazioni. Monitora e filtra sia il traffico HTTP in entrata che in uscita e blocca le attività che contraddicono il set configurato di regole di sicurezza. Un WAF intercetta e analizza ogni pacchetto di dati HTML, HTTPS, SOAP e XML-RPC. L’ispezione del traffico dati per schemi sconosciuti consente di rilevare e bloccare nuovi attacchi sconosciuti. In questo modo, il WAF offre capacità oltre quelle offerte da NGFW e IPS, che coprono solo le vulnerabilità conosciute.

Integrazione con Altre Tecnologie di Sicurezza

Il WAF si integra con altre tecnologie di sicurezza delle informazioni, come scanner di vulnerabilità delle applicazioni, appliance di protezione DDoS, soluzioni di sicurezza database, rilevamento delle frodi web, SIEM (Information and Event Management). La consolidazione dei WAF con altre tecnologie di sicurezza permette di massimizzare il tasso di rilevamento e blocco delle minacce conosciute e nuove in evoluzione. La personalizzazione accurata riduce al minimo i falsi positivi e garantisce un rilevamento preciso delle anomalie. Questo aiuta a mitigare i rischi e a ridurre significativamente la superficie di attacco dell’impresa.

Limitazioni del WAF

Con tutti i vantaggi che il WAF può offrire, si presentano anche difficoltà nella distribuzione e nella gestione software continua. Per fornire il livello di sicurezza dell’applicazione e dei dati previsto, il WAF deve essere distribuito e gestito efficacemente. Ciò comporta la manutenzione adeguata delle politiche del firewall e la personalizzazione delle regole di sicurezza, che a loro volta richiedono un livello avanzato di competenze degli amministratori del WAF.

Ci sono problemi che attirano l’attenzione nel processo di distribuzione e implementazione del WAF:

Politiche Inefficaci. Le politiche del firewall e le capacità ovviamente devono tenere il passo con le nuove minacce emergenti, ciò che non sempre avviene. Un altro problema è la mancanza di informazioni e documentazione su quali politiche siano efficaci, quindi gli utenti devono impegnarsi e spendere tempo in più per capire cosa funziona e come migliorare.

Personalizzazione delle Regole di Sicurezza. Ci vuole tempo per determinare tutte le regole necessarie per bloccare o consentire il traffico che passa attraverso le applicazioni. Le regole devono anche essere costantemente aggiornate poiché il codice cambia e nuove funzionalità emergono. Bloccare richieste legittime crea falsi positivi portando a ignorare un attacco dannoso in questo bacino di avvisi irrilevanti.

Lacuna di Competenze. I clienti spesso faticano a mantenere in funzione i dispositivi esistenti poiché non tutte le organizzazioni hanno competenze interne per utilizzare un WAF correttamente ed efficacemente. Esternalizzare la gestione del WAF non sempre è la decisione migliore. Quando si sceglie una distribuzione WAF, soprattutto per esigenze di conformità, gli amministratori devono dare priorità alle caratteristiche critiche più adatte alle necessità attuali dell’organizzazione. Dopo il processo di distribuzione e configurazione, il WAF richiede un’alta competenza tecnica del team per funzionare in modo efficiente e aggiungere valore sostenibile al sistema di sicurezza dell’impresa.

Trasferimento delle Operazioni al Cloud. Mentre sempre più aziende stanno trasferendo le loro applicazioni e dati nell’infrastruttura cloud pubblica, devono inevitabilmente migrare il Web Application Firewall e le politiche associate a questa nuova e fondamentalmente diversa architettura. Il problema è che non tutti i fornitori offrono una sostituzione sostenibile per l’appliance on-premises, o possono non essere in grado di offrire le API di cui l’organizzazione ha bisogno per realizzare lo scenario di distribuzione nell’ambiente cloud dinamico.

Conclusione

I Web Application Firewall sono uno strumento di sicurezza comune utilizzato dalle imprese per proteggere le applicazioni web contro exploit dannosi, impersonificazioni, vulnerabilità conosciute e nuove minacce in evoluzione, nonché per identificare vulnerabilità autoindotte delle applicazioni sviluppate su misura. Aiuta inoltre a soddisfare i requisiti di conformità. E mentre questa tecnologia è sicuramente indispensabile per le aziende che puntano a proteggere le loro risorse web, non è sufficiente quando si tratta di sicurezza del database.

Nei nostri prossimi post parleremo del Database Access Firewall e del motivo per cui il Web Application Firewall da solo non è in grado di mettere in completa sicurezza i database.

Leggi l’intera serie di post sui firewall:

  1. Fifty Shades of Firewall
  2. WAF. Un Cavaliere Splendente
  3. DAF. Salva il Database dal Drago
  4. WAF + DAF = Un Lieto Fine
 

Successivo

Come i Database Popolari Gestiscono i Comandi DDL nelle Transazioni

Come i Database Popolari Gestiscono i Comandi DDL nelle Transazioni

Scopri di più

Ha bisogno del nostro team di supporto?

I nostri esperti saranno lieti di rispondere alle Sue domande.

Informazioni generali:
[email protected]
Vendite:
[email protected]
Servizio clienti e supporto tecnico:
support.datasunrise.com
Richieste di collaborazione e alleanza:
[email protected]