Zaštita web aplikacija: što je i zašto vam trebaju WAF i WAAP?

Moderno digitalno doba nezamislivo je bez web aplikacija. Nalazimo ih posvuda – od privatnih i javnih cloudova, preko on-premise i edge okruženja, do podatkovnih centara.  Jednom kad aplikacija postane javna i pretraživa na internetu, dostupna je svakome i treba ju zaštititi. WAF (Web Application Firewall) i WAAP (Web Application and API Protection) zaštita postaje ključna za pokrivanje površine napada.

Ako nisu propisno zaštićene, web aplikacije mogu biti izložene raznim prijetnjama. Jedna od najčešćih prijetnji su DDoS napadi kod kojih napadači koriste botnet mreže ili druge distribuirane metode za slanje velikog broja zahtjeva na određeni poslužitelj, što rezultira usporavanjem ili prekidom rada web aplikacije. Drugi česti izazov su ranjivosti softverskih komponenti na poslužitelju, primjerice zastarjele verzije softvera, slabe konfiguracije ili nedostatak sigurnosnih zakrpa.

Iskorištavanjem ovih ranjivosti, napadači mogu steći neovlašten pristup web aplikaciji ili isporučiti razorni malware/ransomware, kao što se nedavno dogodilo managed Exchange usluzi Rackspace-a. Dodatno, napadači sve češće koriste Layer7 tehnike (aplikacijski sloj) poput zaobilaženja cache-a ili cijelog WAF sistema, s ciljem onemogućavanja ili ugroze čak i najpopularnije aplikacije poput Microsoft 365 (vidi nedavni slučaj ovdje).

Pitanja koja si morate postaviti ako niste sigurni treba li vam WAF su:

  • Imate li neku public-facing web aplikaciju?
  • Traži li vaša web aplikacija visoku razinu sigurnosti?
  • Imate li probleme s botovima i neželjenim automatiziranim prometom?
  • Treba li vašu web aplikaciju uskladiti s regulativama o zaštiti podataka?
  • Koristite li legacy web aplikaciju?
  • Imate probleme sa zero-day napadima, odnosno sigurnosnim propustima u web aplikaciji?

Ako je vaš odgovor na samo jedno od ovih pitanja potvrdan, potreban vam je WAF.

Web Application Firewall je primarno dizajniran za zaštitu viših slojeva mreže, odnosno aplikacijskog sloja. WAF štiti aplikacije od napada koji su koncentrirani upravo na tom sloju, poput HTTP flood napada, slowloris DDoS i OWASP Top 10 napada. Ovi i slični napadi temelje na legitimnim HTTP zahtjevima za pristup web aplikaciji i tradicionalni mrežni vatrozid ih neće registrirati kao opasne. Njihov krajnji cilj nije napad na mrežu, već onemogućivanje rada  i napad na web aplikaciju.

Kako bi odredio koji je promet zlonamjeran, a koji siguran, Web Application Firewall oslanja se na unaprijed definirani skup pravila, kao i naučena pravila koristeći tehnike strojnog učenja. WAF se može isporučiti kao software, virtualni stroj, hardverski uređaj ili kao usluga u oblaku (WAF as-a-service).

Nakon WAF-a – WAAP

Web API-ji su sučelja koja omogućuju različitim softverskim sistemima, aplikacijama ili uslugama da komuniciraju i međusobno djeluju putem interneta. Postali su dio modernih web i mobilnih aplikacija, omogućujući programerima da iskoriste vanjske usluge, razmjenjuju podatke i izgrade bogate, povezane ekosisteme. Aplikacije i uređaji sada komuniciraju isključivo kroz API web zahtjeve koji isporučuju mašinski čitljiv sadržaj (najčešće tzv. JSON format).

Otkrivanje i vizualizaciija Web API-a
Otkrivanje i vizualizacija Web API-a

 

Web API-ji često pružaju pristup osjetljivim podacima ili obavljaju važne operacije, a organizacije se sve više bore s vidljivošću tog dijela površine napada. Primjerice, nedokumentirani API endpointovi (zapravo URL-ovi) koji otkrivaju povjerljive ili osobne podatke ili, pak, API-i koji omogućavaju automatsko skidanje podataka (eng. web scraping) ili neautorizirane izmjene parametara. Sve su to nove i stvarne prijetnje jednom kada organizacija sudjeluje u API ekosistemu. Za primjer, dovoljno je vidjeti kako je T-mobile u Sjedinjenim Državama otkrio osobne podatke u više navrata.

S obzirom na to da se API-i isporučuju kroz iste web protokole kao i tradicionalne web stranice i aplikacije, WAF danas u pravilu uključuje zaštitu API-a kroz automatsko dokumentiranje i kreiranje dinamičkog “inventara” API-a. Istovremeno, upozorava o sumnjivim događajima poput prekomjernog otkrivanja osobnih podataka (primjer dolje).

https://youtu.be/hTSG_Itgs2Q

Kamo dalje?

Javno izložena površina napada kroz web aplikacije postaje sve složenija, budući da organizacije povezuju i koriste podatke smještene na različitim lokacijama. To mogu biti vlastiti on-prem data centar, kolocirani serveri, privatni ili javni cloud poput Microsoft Azure ili Amazon. Stoga je organizacijama potrebno drastično pojednostavljenje zaštite i upravljanje sigurnošću aplikacija, što se postiže integracijom niza povezanih funkcija poput:

  • WAF i WAAP zaštita, uključujući pametnu detekciju botova i zaštitu od najsnažnijih DDoS napada
  • Sigurno izlaganje javnih servisa bez nužnog otvaranja dolaznih portova na vatrozidima
  • Povezivanja aplikacijskih komponenti na različitim lokacijama i cloud-ovima (hybrid i multicloud okruženje)
  • Integracija s DevOps tehnologijama poput kontejnera, kao i procesima poput CI/CD.
  • Detaljna telemetrija i log zapisi o performansama aplikacije i njezinih komponenti
  • Jednostavno i automatizirano centralizirano upravljanje, idealno kroz SaaS model

F5 Networks Distributed Cloud platforma upravo je dizajnirana kako bi riješila navedene zahtjeve.

Zanima vas više o ponudi WAF i WAAP rješenja iz F5 portfelja? Kontaktirajte nas.