Zaštita web aplikacija: što je i zašto vam trebaju WAF i WAAP?

Moderno digitalno doba nezamislivo je bez web aplikacija. Nalazimo ih svuda – od privatnih i javnih cloudova, preko on-premise i edge okruženja, do podatkovnih centara.  Jednom kad aplikacija postane javna i dostupna na internetu, dostupna je svakome i treba je zaštititi. WAF (Web Application Firewall) i WAAP (Web Application and API Protection) zaštita postaje ključna za pokrivanje površine napada. 

Ako nisu propisno zaštićene, web aplikacije mogu biti izložene raznim pretnjama. Jedna od najčešćih pretnji su DDoS napadi kod kojih napadači koriste botnet mreže ili druge distribuirane metode za slanje velikog broja zahteva na određeni server što rezultira usporavanjem ili prekidom rada web aplikacije. Drugi česti izazov su ranjivosti softverskih komponenti na serveru, na primer zastarele verzije softvera, slabe konfiguracije ili nedostatak bezbednosnih zakrpa. 

Iskorišćavanjem ovih ranjivosti, napadači mogu steći neovlašćen pristup web aplikaciji ili isporučiti razorni malware/ransomware, kao što se nedavno dogodilo managed Exchange usluzi Rackspace-a. Dodatno, napadači sve češće koriste Layer7 tehnike (aplikacijski sloj) poput zaobilaženja cache-a ili celog WAF sistema, s ciljem onemogućavanja ili ugrožavanja čak i najpopularnije aplikacije poput Microsoft 365 (vidi nedavni slučaj ovdje). 

Pitanja koja morate postaviti ako niste sigurni treba li vam WAF su: 

• Imate li neku public-facing web aplikaciju? 
• Traži li vaša web aplikacija visok nivo sigurnosti? 
• Imate li probleme s botovima i neželjenim automatizovanim prometom? 
• Treba li vašu web aplikaciju uskladiti sa propisima o zaštiti podataka? 
• Koristite li legacy web aplikaciju? 

• Imate probleme sa zero-day napadima, odnosno sigurnosnim propustima u web aplikaciji? 

Ako je vaš odgovor na samo jedno od ovih pitanja potvrdan, potreban vam je WAF. 

Web Application Firewall je primarno dizajniran za zaštitu viših slojeva mreže, odnosno aplikacijskog sloja. WAF štiti aplikacije od napada koji su koncentrisani upravo na tom sloju, poput HTTP flood napada, slowloris DDoS i OWASP Top 10 napada. Ovi i slični napadi temelje se na legitimnim HTTP zahtevima za pristup web aplikaciji i tradicionalni mrežni zaštitni zid ih neće registrovati kao opasne. Njihov krajnji cilj nije napad na mrežu, već onemogućavanje rada  i napad na web aplikaciju. 

Kako bi odredio koji je promet zlonameran, a koji siguran, Web Application Firewall oslanja se na unapred definisani skup pravila, kao i naučena pravila koristeći tehnike strojnog učenja. WAF se može isporučiti kao software, virtualni stroj, hardverski uređaj ili kao usluga u oblaku (WAF as-a-service). 

Nakon WAF-a – WAAP 

Web API-ji su interfejsi koja omogućavaju različitim softverskim sistemima, aplikacijama ili uslugama da komuniciraju i međusobno deluju putem interneta. Postali su deo modernih web i mobilnih aplikacija, omogućujući programerima da iskoriste spoljasnje usluge, razmenjuju podatke i izgrade bogate, povezane ekosisteme. Aplikacije i uređaji sada komuniciraju isključivo kroz API web zahteve koji isporučuju mašinski čitljiv sadržaj (najčešće tzv. JSON format). 

Web API-ji često pružaju pristup osetljivim podacima ili obavljaju važne operacije, a organizacije se sve više bore s vidljivošću tog dela površine napada. Na primer, nedokumentovani API endpointovi (zapravo URL-ovi) koji otkrivaju poverljive ili osobne podatke ili, pak, API-i koji omogućavaju automatsko skidanje podataka (eng. web scraping) ili neautorizovane izmene parametara. Sve su to nove i stvarne pretnje jednom kada organizacija učestvuje u API ekosistemu. Nn primer, dovoljno je videti kako je T-mobile u Sjedinjenim Državama otkrio osobne podatke u više navrata. 

S obzirom na to da se API-i isporučuju kroz iste web protokole kao i tradicionalne web stranice i aplikacije, WAF danas u pravilu uključuje zaštitu API-a kroz automatsko dokumentiovanje i kreiranje dinamičkog “inventara” API-a. Istovremeno, upozorava o sumnjivim događajima poput prekomernog otkrivanja osobnih podataka (Na primer dole). 

Gde dalje? 

Javno izložena površina napada kroz web aplikacije postaje sve složenija, budući da organizacije povezuju i koriste podatke smeštene na različitim lokacijama. To mogu biti vlastiti on-prem data centar,raspoređeni serveri, privatni ili javni cloud poput Microsoft Azure ili Amazon. S toga je organizacijama potrebno drastično pojednostavljenje zaštite i upravljanje sigurnošću aplikacija, što se postiže integracijom niza povezanih funkcija poput: 

• WAF i WAAP zaštita, uključujući pametnu detekciju botova i zaštitu od najsnažnijih DDoS napada 
• Sigurno izlaganje javnih servisa bez nužnog otvaranja dolaznih portova na zaštitnim zidovima 
• Povezivanja aplikacijskih komponenti na različitim lokacijama i cloud-ovima (hybrid i multicloud okruženje) 

• Integracija s DevOps tehnologijama poput kontejnera, kao i procesima poput CI/CD. 
• Detaljna telemetrija i log zapisi o performansama aplikacije i njenih komponenti 
• Jednostavno i automatizovano centralno upravljanje, idealno kroz SaaS model 

F5 Networks Distributed Cloud platforma upravo je dizajnirana kako bi rešila navedene zahteve. 

Zanima vas više o ponudi WAF i WAAP rešenja iz F5 portfolia? Kontaktirajte nas.