Zapora aplikacji internetowej — Web application firewall

Część serii na
Bezpieczeństwo informacji
Powiązane kategorie bezpieczeństwa
Bezpieczeństwo komputera Bezpieczeństwo samochodowe Cyberprzestępczość Handel cyberseksem Oszustwa komputerowe Cybergeddon Cyberterroryzm Cyberwojna Elektroniczna wojna Wojna informacyjna Ochrona Internetu Mobilne zabezpieczenia Bezpieczeństwo sieci Ochrona przed kopiowaniem Zarządzanie Prawami Cyfrowymi
Zagrożenia
Oprogramowanie reklamowe Zaawansowane trwałe zagrożenie Wykonanie kodu arbitralnego Backdoory Backdoory sprzętowe Wstrzyknięcie kodu Oprogramowanie kryminalne Skrypty między witrynami Malware Cryptojacking Botnety Naruszenie danych Drive-by download obiekty pomocnicze przeglądarki Przestępstwo komputerowe Wirusy Skrobanie danych Odmowa usługi Podsłuchiwanie Oszustwa e-mail Podszywanie się pod e-maile Exploity Keyloggery Bomby logiczne Bomby zegarowe Bomby widełkowe Bomby Zip Fałszywe dialery Złośliwe oprogramowanie Ładunek Wyłudzanie informacji Silnik polimorficzny Eskalacja uprawnień Ransomware Rootkity Bootkity Strach Kod powłoki Spamowanie Inżynieria społeczna (bezpieczeństwo) Skrobanie ekranu Programy szpiegujące Błędy oprogramowania konie trojańskie Trojany sprzętowe Trojany zdalnego dostępu Słaby punkt Powłoki internetowe Wycieraczka Robaki Wstrzyknięcie SQL Nieuczciwe oprogramowanie zabezpieczające Zambi
Obrony
Bezpieczeństwo aplikacji Bezpieczne kodowanie Bezpieczne domyślnie Bezpieczne z założenia Przypadek nadużycia Kontrola dostępu do komputera Uwierzytelnianie Uwierzytelnianie wieloskładnikowe Upoważnienie Oprogramowanie zabezpieczające komputer Oprogramowanie antywirusowe System operacyjny ukierunkowany na bezpieczeństwo Bezpieczeństwo zorientowane na dane Zaciemnianie kodu Maskowanie danych Szyfrowanie Zapora System wykrywania włamań System wykrywania włamań oparty na hoście (HIDS) Wykrywanie anomalii Informacje o bezpieczeństwie i zarządzanie zdarzeniami (SIEM) Mobilna bezpieczna brama Samoochrona aplikacji w czasie wykonywania
v T mi

Firewall aplikacji internetowych (WAF) to postać specyficzna firewall aplikacji , który filtruje, monitoruje i blokuje HTTP ruchu do i z usługą internetową . Kontrolując ruch HTTP, może zapobiegać atakom wykorzystującym znane luki w aplikacjach internetowych, takie jak wstrzyknięcie SQL , cross-site scripting (XSS), dołączanie plików i nieprawidłowa konfiguracja systemu.

Historia

Dedykowane zapory sieciowe aplikacji internetowych weszły na rynek pod koniec lat 90., w czasie, gdy ataki na serwery WWW stawały się coraz bardziej rozpowszechnione.

Wczesna wersja WAF została opracowana przez Perfecto Technologies wraz z produktem AppShield , który koncentrował się na rynku e-commerce i chronił przed nielegalnymi wpisami znaków na stronach internetowych. W 2002 roku powstał projekt open source ModSecurity , aby uczynić technologię WAF bardziej dostępną. Sfinalizowali zestaw podstawowych reguł ochrony aplikacji internetowych, oparty na pracy Komitetu Technicznego ds. Bezpieczeństwa Aplikacji Sieciowych OASIS (WAS TC). W 2003 roku rozszerzyli i ustandaryzowali reguły poprzez listę Top 10 Open Web Application Security Project (OWASP), coroczny ranking luk w zabezpieczeniach sieci. Ta lista stałaby się branżowym standardem zgodności bezpieczeństwa aplikacji internetowych.

Od tego czasu rynek stale się rozwija i ewoluuje, szczególnie koncentrując się na zapobieganiu oszustwom związanym z kartami kredytowymi . Wraz z opracowaniem standardu Payment Card Industry Data Security Standard (PCI DSS), standaryzacji kontroli nad danymi posiadaczy kart, bezpieczeństwo w tym sektorze stało się bardziej uregulowane. Według magazynu CISO, rynek WAF miał wzrosnąć do 5,48 miliarda dolarów do 2022 roku.

Opis

Zapora aplikacji sieci Web to specjalny rodzaj zapory aplikacji, który ma zastosowanie w szczególności do aplikacji sieci Web. Jest wdrażany przed aplikacjami internetowymi i analizuje dwukierunkowy ruch internetowy (HTTP) - wykrywając i blokując wszystko, co jest złośliwe. OWASP zapewnia szeroką definicję techniczną dla WAF jako „rozwiązania bezpieczeństwa na poziomie aplikacji internetowej, które – z technicznego punktu widzenia – nie zależy od samej aplikacji”. Zgodnie z suplementem informacyjnym PCI DSS dotyczącym wymagania 6.6, WAF jest zdefiniowany jako „punkt wymuszania zasad bezpieczeństwa umieszczony między aplikacją internetową a punktem końcowym klienta. Funkcjonalność ta może być zaimplementowana w oprogramowaniu lub sprzęcie, uruchomionym w urządzeniu lub na typowym serwerze, na którym działa wspólny system operacyjny. Może być samodzielnym urządzeniem lub zintegrowanym z innymi komponentami sieciowymi.” Innymi słowy, WAF może być wirtualnym lub fizycznym urządzeniem, które zapobiega wykorzystywaniu luk w aplikacjach internetowych przez zagrożenia zewnętrzne. Te luki mogą wynikać z faktu, że sama aplikacja jest przestarzałym typem lub została niewystarczająco zakodowana na etapie projektowania. WAF rozwiązuje te niedociągnięcia kodu przez specjalne konfiguracje zestawów reguł, znane również jako zasady.

Nieznane wcześniej luki w zabezpieczeniach można wykryć za pomocą testów penetracyjnych lub skanera luk w zabezpieczeniach. Skaner luk aplikacji internetowych , znany również jako skaner bezpieczeństwa aplikacji internetowych, jest określony w SAMATE NIST 500-269 jako „automatycznego programu, że aplikacje Bada sieci dla potencjalnych luk w zabezpieczeniach. Oprócz wyszukiwania luk w aplikacjach internetowych, narzędzia wyszukują również błędy kodowania oprogramowania”. Usuwanie luk jest powszechnie określane jako naprawa. Poprawki do kodu można wprowadzać w aplikacji, ale zazwyczaj konieczna jest szybsza odpowiedź. W takich sytuacjach może być konieczne zastosowanie niestandardowych zasad dla unikalnej luki w zabezpieczeniach aplikacji sieci Web w celu zapewnienia tymczasowej, ale natychmiastowej naprawy (tzw. poprawka wirtualna).

WAF nie są ostatecznym rozwiązaniem bezpieczeństwa, a raczej są przeznaczone do użytku w połączeniu z innymi rozwiązaniami bezpieczeństwa na obrzeżach sieci, takimi jak zapory sieciowe i systemy zapobiegania włamaniom, w celu zapewnienia holistycznej strategii obrony.

Pliki WAF zazwyczaj działają zgodnie z pozytywnym modelem bezpieczeństwa, negatywnym zabezpieczeniem lub kombinacją obu, jak wspomniano przez Instytut SANS . Pliki WAF wykorzystują kombinację logiki opartej na regułach, analizowania i sygnatur w celu wykrywania i zapobiegania atakom, takim jak skrypty między lokacjami i wstrzykiwanie SQL. OWASP tworzy listę dziesięciu największych luk w zabezpieczeniach aplikacji internetowych. Wszystkie komercyjne oferty WAF obejmują co najmniej te dziesięć wad. Istnieją również opcje niekomercyjne. Jak wspomniano wcześniej, jedną z tych opcji jest znany silnik WAF o otwartym kodzie źródłowym o nazwie ModSecurity. Sam silnik WAF jest niewystarczający, aby zapewnić odpowiednią ochronę, dlatego OWASP wraz ze Spiderlabs firmy Trustwave pomagają organizować i utrzymywać zestaw zasad podstawowych za pośrednictwem GitHub do użytku z silnikiem ModSecurity WAF.

Opcje wdrażania

Chociaż nazwy trybów pracy mogą się różnić, pliki WAF są zasadniczo wdrażane w trybie inline na trzy różne sposoby. Według NSS Labs opcje wdrażania to przezroczysty most , przezroczysty zwrotny proxy i odwrotny proxy . „Przezroczysty” odnosi się do faktu, że ruch HTTP jest przesyłany bezpośrednio do aplikacji internetowej, dlatego WAF jest przezroczysty między klientem a serwerem. Jest to przeciwieństwo odwrotnego proxy, w którym WAF działa jako proxy, a ruch klienta jest wysyłany bezpośrednio do WAF. WAF następnie oddzielnie wysyła filtrowany ruch do aplikacji internetowych. Może to zapewnić dodatkowe korzyści, takie jak maskowanie IP, ale może wprowadzić wady, takie jak opóźnienie wydajności.

Zobacz też

• Zapora aplikacji
• Standard bezpieczeństwa danych w branży kart płatniczych (PCI DSS)
• Aplikacja internetowa
• Oprogramowanie jako usługa (SaaS)
• Bezpieczeństwo komputera
• Bezpieczeństwo sieci
• Bezpieczeństwo aplikacji
• Bezpieczeństwo aplikacji internetowych

Bibliografia