Zaščita spletne aplikacije: kaj je in zakaj potrebujete WAF in WAAP?

Moderno digitalno dobo si ne moremo zamisliti brez spletne aplikacije. Najdemo jih povsod– od zasebnih in javnih oblakov, preko on-premise in edge okolje, do podatkovnih centrov. Ko aplikacija postane javna in se preslika na internet, je dostopna vsakemu in jo je treba zaščititi. Zaščita WAF (požarni zid spletnih aplikacij) in WAAP (zaščita spletnih aplikacij in API-jev) sta ključni za pokrivanje spletnih napadov.

Če niso pravilno zaščitene, bodo spletne aplikacije lahko izpostavljene raznim spletnim grožnjam. Eden od najpogostejših napadov so DDoS napadi, pri katerih napadalci uporabljajo botnetno omrežje ali druge distribuirane metode za pošiljanje velikega števila zahtev na določenem strežniku, kar povzroči upočasnitev ali prekinitev delovanja spletnih aplikacij. Drugi pogosti izziv je občutljivost programskih komponent na strežniku, na primer zastarele različice programske opreme, slabe konfiguracije ali pomanjkljivost varnostnih zapor.

Z izkoriščanjem teh ranljivosti lahko napadalci povzročijo nepooblaščen dostop do spletne aplikacije ali posredujejo razno zlonamerno programsko opremo/izsiljevalsko programsko opremo, kot se je pred kratkim zgodilo z upravljanim Exchange prek Rackspace-a. Poleg tega napadalci vse pogosteje uporabljajo tehniko Layer7 (aplikacijski sloj), kot je izogibanje predpomnilnika ali celotnega sistema WAF, s ciljem onemogočanja ali povečanja, tudi najbolj priljubljene aplikacije, kot je Microsoft 365 (glej nedavni primer tukaj).

Vprašanja, ki jih morate postaviti, če niste prepričani, da vam je potreben WAF so:

• Imate kakšno javno dostopno spletno aplikacijo?
• Ali vaša spletna aplikacija išče visok nivo varnosti?
• Imate težave z boti in neželenim avtomatiziranim prometom?
• Ali je treba vašo spletno aplikacijo uskladiti z regulativo o zaščiti podatkov?
• Ali uporabljate starejšo spletno aplikacijo?
• Imate težave z zero-day napadi, oziroma varnostnimi napakami v spletni aplikaciji?

Če je vaš odgovor samo na eno od teh vprašanj potrjen, vam je potreben WAF.

Požarni zid spletnih aplikacij je primarno zasnovan za zaščito višjih slojev mreže oziroma aplikacijskega sloja. WAF ščiti aplikacije od napada, ki so koncentrirane prav na tem sloju, kot so HTTP flood napadi, slowloris DDoS in OWASP Top 10 napadi. Ti in podobni napadi temeljijo na zakonitih zahtevah HTTP za dostop do spletne aplikacije in tradicionalni mrežni požarni zid jih ne bodo registrirali kot nevarne. Njihov zadnji cilj ni napad na omrežje, temveč onemogočanje dela in napad na spletno aplikacijo.

Kako bi določil, kateri promet je zlonameren in zagotovljen, se požarni zid spletne aplikacije vnaprej opira na definiran skupek pravil, kot in naučena pravila z uporabo tehnike strojnega učenja. WAF se lahko ponudi kot programska oprema, virtualni stroj, strojna naprava ali kot storitev v oblaku (WAF kot storitev).

Po WAF-a – WAAP

Spletni API-ji so vmesniki, ki omogočajo različnim programskim sistemom, aplikacijam ali storitvam za komuniciranje in medsebojno delovanje prek interneta. Postali so del sodobnih spletnih in mobilnih aplikacij, ki omogočajo programerjem za izkoriščanje zunanjih storitev, spreminjajo podatke in izgrajujejo bogate, povezane z ekosistemi. Aplikacije in naprave zdaj komunicirajo izključno prek spletnih zahtev API-ja, ki ponujajo strojno čitljiv vsebino (največ tako imenovanega formata JSON).

Spletni API-ji pogosto zagotavljajo občutljiv dostop do podatkov ali opravljajo pomembne operacije, organizacija pa je vse bolj povezana z vidnostjo tega dela površine napada. Primer, nedokumentirani API končne točke (pravzaprav URL-ji), ki odkrivajo verodostojne ali osebne podatke ali pa, API-i ki omogočajo samodejno prenašanje podatkov (eng. web scraping) ali neavtorizirane spremembe parametrov. Vse so to nove in resnične grožnje, ko organizacija sodeluje v API ekosistemu. Na primer, dovolj je videti, kako je T-mobile v Združenih državah odkril osebne podatke v več vratih.

Glede na to, da se API-i posredujejo skozi te spletne protokole kot tradicionalne spletne strani in aplikacije, WAF danes praviloma vključuje zaščito API-a skozi samodejno dokumentiranje in ustvarjanje dinamičnega “inventarja” API-a. Hkrati opozarja na sumljive dogodke kot prekomerno odkrivanje osebnih podatkov (primer spodaj).

Kamo dalje?

Javno izpostavljena površina napada skozi spletne aplikacije je vse bolj zapleteno, ker organizacije povezujejo in uporabljajo podatke, nameščene na različnih lokacijah. Če želite imeti lastno lokalno podatkovno središče, kolocirane strežnike, zasebni ali javni oblak, kot sta Microsoft Azure ali Amazon. Zato je organizacijam potrebna drastično poenostavitev zaščite in upravljanje varnosti aplikacij, kar se doseže z integracijo niza povezanih funkcij, kot so:

• Zaščita WAF in WAAP, vključno s pametno detekcijo botov in zaščito pred najmočnejšimi napadi DDoS
• Varno izpostavljenost javnih servisov brez nujnega odpiranja dohodnih vrat na požarnih zidih.
• Povezovanje aplikacijskih komponent na različnih lokacijah in oblakih (hibridno in multicloud okolje)
• Integracija s tehnologijami DevOps kot kontejner, kakor tudi procesi kot CI/CD.
• Podrobna telemetrija in log zapisi o zmogljivostih aplikacij in njenih komponent
• Enostavno in avtomatizirano centralizirano upravljanje, idealno po modelu SaaS
• Platforma F5 Networks Distributed Cloud je pravkar zasnovana tako, da bi rešila navedene zahteve.

Ali želite več ponuditi rešitve WAF in WAAP iz portfelja F5? Kontaktirajte nas.