Web Application Firewall – ochrona czy kłopot?

Ponad 70% udanych ataków na systemy informatyczne wykorzystuje luki w oprogramowaniu webowym. W ślad za bardzo dynamicznym wzrostem liczby aplikacji, stron, sklepów nie idzie niestety bardzo często wzrost świadomości zagrożeń, na które każdego dnia narażone są dane gromadzone przez serwisy webowe. Nie ma też idealnych narzędzi do walki z tego typu zagrożeniami. Jedną z metod jest zastosowanie firewalla dla aplikacji webowych – WAF (Web Application Firewall). Zdania na temat jego użyteczności są jednak podzielone. Czy rzeczywiście jest to uzasadnione?

Jak każde oprogramowanie, również aplikacje webowe nie są pozbawione błędów oraz luk w zabezpieczeniach. W przypadku aplikacji udostępnianych w internecie wpływ zagrożenia wynikającego z nieszczelności jest jednak znacznie większy. Konieczność publicznego udostępnienia połączenia z aplikacją powoduje, że prób nadużyć może być mnóstwo każdego dnia.

Żaden zespół programistów nie jest nam też w stanie zagwarantować stuprocentowej pewności, że stworzona przez niego aplikacja jest pozbawiona nieszczelności. Zupełnie naturalny jest właściwie ciągły proces aktualizacji oprogramowania i wykrywania kolejnych luk. Na bezpieczeństwo samej aplikacji ma zresztą w równym stopniu wpływ konfiguracja środowiska, na którym jest uruchomiona.

Niższe warstwy nie wystarczą

Uruchomienie aplikacji zaczyna się od odpowiedniego zabezpieczenia systemu operacyjnego oraz jej środowiska uruchomieniowego (serwer webowy, serwer bazodanowy itp.). Kolejnym niezbędnym elementem jest zapewnienie aktualizacji oprogramowania serwerowego, które ochronią system przed wykrytymi zagrożeniami. Zabezpieczenie na poziomie zapory sieciowej oraz systemu wykrywania lub zapobiegania włamaniom uzupełnia proces przygotowania środowiska do startu aplikacji.

Konfiguracja WAF w trybie mostu

Konfiguracja WAF w trybie mostu

Powyższe kroki, chociaż bardzo istotne, nie są w stanie wyeliminować wielu zagrożeń wynikających z działania naszej aplikacji. Konieczna jest do tego dodatkowa ochrona właśnie w warstwie aplikacji. Co z tego, że na serwerze zabezpieczymy poprawnie wszystkie porty, wgramy wszelkie możliwe poprawki do serwera webowego, a system IDS/IPS będzie miał wgrane wszystkie najnowsze sygnatury ataków, jeśli nasza aplikacja będzie podatna na prymitywny atak, w rezultacie którego wygeneruje błąd, który wyświetli na ekranie klienta dane autoryzacyjne i strukturę wykorzystywanej bazy danych.

Musimy pamiętać, że to właśnie uruchomiona aplikacja jest „wizytówką” całego mozolnie budowanego systemu informatycznego. Co więcej, sami zgadzamy się na jej wykorzystywanie przez użytkowników z internetu. Eskalacja błędu, który zostanie przez włamywacza wykryty w aplikacji, może doprowadzić go do zasobów zgromadzonych w niższych warstwach, a także – co jest najczęstszym powodem ataków – do danych zgromadzonych na serwerze albo kompromitacji organizacji czy firmy.

Podejście kompletne

Dopiero całościowe spojrzenie na system wraz z aplikacją zbliża nas do osiągnięcia zakładanego poziomu bezpieczeństwa. Takie podejście jest możliwe dzięki zastosowaniu Web Application Firewalla. Na podstawie analizy ruchu kierowanego do serwera webowego jest on w stanie wykryć i zareagować na anomalie w przesyłanych zapytaniach i odpowiedziach. Zasilony przez odpowiednią bazę w postaci reguł, sygnatur, ale także dane o lokalizacji i aktywności podejrzanych adresów IP oraz własną wbudowaną logikę, to właśnie WAF może stanowić podstawowy element obrony przed tak popularnymi dziś atakami.

Narzędzia klasy WAF istnieją na rynku od blisko 10 lat, mimo to ich zastosowanie wciąż wzbudza kontrowersje. Jedni uważają je za proste rozwiązanie problemów z bezpieczeństwem aplikacji bez konieczności ingerencji w ich kod, inni z kolei zwracają uwagę na kłopoty z ich funkcjonowaniem polegające na blokowaniu prawidłowego ruchu oraz nieskuteczność zdefiniowanych reguł.


TOP 200