Global
Africa
South Africa
Albania
Australia
Austria
Belgium
Bulgaria
Canada
Canada FR
Croatia
Czech Republic
Denmark
Estonia
Finland 
Finland (English)
France
Germany
Hong Kong
Hungary
Iceland
India
Indonesia
Ireland
Israel
Italy
Kosovo
Latvia
Lithuania
Malaysia
Middle East
Montenegro
Netherlands
New Zealand
North Macedonia
Norway
Philippines
Poland
Portugal
Romania
Saudi Arabia
Serbia
Singapore
Slovakia
Slovenija
Spain
Sweden
Switzerland DE
Switzerland FR
Thailand
Turkey
USA
Ukraine
United Kingdom
Vietnam
Zaštita web aplikacija: što je i zašto vam trebaju WAF i WAAP?
Moderno digitalno doba nezamislivo je bez web aplikacija. Nalazimo ih posvuda – od privatnih i javnih cloudova, preko on-premise i edge okruženja, do podatkovnih centara. Jednom kad aplikacija postane javna i pretraživa na internetu, dostupna je svakome i treba ju zaštititi. WAF (Web Application Firewall) i WAAP (Web Application and API Protection) zaštita postaje ključna za pokrivanje površine napada.
Ako nisu propisno zaštićene, web aplikacije mogu biti izložene raznim prijetnjama. Jedna od najčešćih prijetnji su DDoS napadi kod kojih napadači koriste botnet mreže ili druge distribuirane metode za slanje velikog broja zahtjeva na određeni poslužitelj, što rezultira usporavanjem ili prekidom rada web aplikacije. Drugi česti izazov su ranjivosti softverskih komponenti na poslužitelju, primjerice zastarjele verzije softvera, slabe konfiguracije ili nedostatak sigurnosnih zakrpa.
Iskorištavanjem ovih ranjivosti, napadači mogu steći neovlašten pristup web aplikaciji ili isporučiti razorni malware/ransomware, kao što se nedavno dogodilo managed Exchange usluzi Rackspace-a. Dodatno, napadači sve češće koriste Layer7 tehnike (aplikacijski sloj) poput zaobilaženja cache-a ili cijelog WAF sistema, s ciljem onemogućavanja ili ugroze čak i najpopularnije aplikacije poput Microsoft 365 (vidi nedavni slučaj ovdje).
Pitanja koja si morate postaviti ako niste sigurni treba li vam WAF su:
- Imate li neku public-facing web aplikaciju?
- Traži li vaša web aplikacija visoku razinu sigurnosti?
- Imate li probleme s botovima i neželjenim automatiziranim prometom?
- Treba li vašu web aplikaciju uskladiti s regulativama o zaštiti podataka?
- Koristite li legacy web aplikaciju?
- Imate probleme sa zero-day napadima, odnosno sigurnosnim propustima u web aplikaciji?
Ako je vaš odgovor na samo jedno od ovih pitanja potvrdan, potreban vam je WAF.
Web Application Firewall je primarno dizajniran za zaštitu viših slojeva mreže, odnosno aplikacijskog sloja. WAF štiti aplikacije od napada koji su koncentrirani upravo na tom sloju, poput HTTP flood napada, slowloris DDoS i OWASP Top 10 napada. Ovi i slični napadi temelje na legitimnim HTTP zahtjevima za pristup web aplikaciji i tradicionalni mrežni vatrozid ih neće registrirati kao opasne. Njihov krajnji cilj nije napad na mrežu, već onemogućivanje rada i napad na web aplikaciju.
Kako bi odredio koji je promet zlonamjeran, a koji siguran, Web Application Firewall oslanja se na unaprijed definirani skup pravila, kao i naučena pravila koristeći tehnike strojnog učenja. WAF se može isporučiti kao software, virtualni stroj, hardverski uređaj ili kao usluga u oblaku (WAF as-a-service).
Nakon WAF-a – WAAP
Web API-ji su sučelja koja omogućuju različitim softverskim sistemima, aplikacijama ili uslugama da komuniciraju i međusobno djeluju putem interneta. Postali su dio modernih web i mobilnih aplikacija, omogućujući programerima da iskoriste vanjske usluge, razmjenjuju podatke i izgrade bogate, povezane ekosisteme. Aplikacije i uređaji sada komuniciraju isključivo kroz API web zahtjeve koji isporučuju mašinski čitljiv sadržaj (najčešće tzv. JSON format).
Web API-ji često pružaju pristup osjetljivim podacima ili obavljaju važne operacije, a organizacije se sve više bore s vidljivošću tog dijela površine napada. Primjerice, nedokumentirani API endpointovi (zapravo URL-ovi) koji otkrivaju povjerljive ili osobne podatke ili, pak, API-i koji omogućavaju automatsko skidanje podataka (eng. web scraping) ili neautorizirane izmjene parametara. Sve su to nove i stvarne prijetnje jednom kada organizacija sudjeluje u API ekosistemu. Za primjer, dovoljno je vidjeti kako je T-mobile u Sjedinjenim Državama otkrio osobne podatke u više navrata.
S obzirom na to da se API-i isporučuju kroz iste web protokole kao i tradicionalne web stranice i aplikacije, WAF danas u pravilu uključuje zaštitu API-a kroz automatsko dokumentiranje i kreiranje dinamičkog “inventara” API-a. Istovremeno, upozorava o sumnjivim događajima poput prekomjernog otkrivanja osobnih podataka (primjer dolje).
Kamo dalje?
Javno izložena površina napada kroz web aplikacije postaje sve složenija, budući da organizacije povezuju i koriste podatke smještene na različitim lokacijama. To mogu biti vlastiti on-prem data centar, kolocirani serveri, privatni ili javni cloud poput Microsoft Azure ili Amazon. Stoga je organizacijama potrebno drastično pojednostavljenje zaštite i upravljanje sigurnošću aplikacija, što se postiže integracijom niza povezanih funkcija poput:
- WAF i WAAP zaštita, uključujući pametnu detekciju botova i zaštitu od najsnažnijih DDoS napada
- Sigurno izlaganje javnih servisa bez nužnog otvaranja dolaznih portova na vatrozidima
- Povezivanja aplikacijskih komponenti na različitim lokacijama i cloud-ovima (hybrid i multicloud okruženje)
- Integracija s DevOps tehnologijama poput kontejnera, kao i procesima poput CI/CD.
- Detaljna telemetrija i log zapisi o performansama aplikacije i njezinih komponenti
- Jednostavno i automatizirano centralizirano upravljanje, idealno kroz SaaS model
F5 Networks Distributed Cloud platforma upravo je dizajnirana kako bi riješila navedene zahtjeve.
Zanima vas više o ponudi WAF i WAAP rješenja iz F5 portfelja? Kontaktirajte nas.
