WEB APPLICATION FIREWALL
 
Statystyki incydentów oraz wykonywanych testów bezpieczeństwa aplikacji Web pokazują, że ponad 70% aplikacji na świecie posiada poważne błędy zagrażające bezpieczeństwu oraz reputacji firm. Źle zabezpieczone witryny Web są powszechnie wykorzystane przez przestępców do dystrybucji złośliwego oprogramowania (tzw. drive-by download). Większość firm jest tego nieświadoma i łatwo pada ofiarą przestępców i złośliwych aplikacji.
Aplikacje Web tworzone są przez deweloperów na zamówienie firm w celu spełnienia ich specyficznych potrzeb. W praktyce często okazuje się, że deweloper aplikacji posiada ograniczone środki i czas oraz niewystarczające kompetencje w obszarze bezpieczeństwa. Deweloper w pierwszej kolejności koncentruje swoje działania nie na bezpieczeństwie, ale spełnieniu wymagań funkcjonalnych, czego efektem może być oddanie do użytku aplikacji posiadającej podatności. W takiej sytuacji zapewnienie bezpieczeństwa aplikacji możliwe jest poprzez zastosowanie dedykowanych zabezpieczeń Web Application Firewall (WAF) oraz zatrudnienie kompetentnego audytora1, który zidentyfikuje podatności aplikacji a deweloper poprawi aplikację na podstawie wyników audytu.
Dla aplikacji Web zalecenia w tym zakresie zawarte są m.in. w standardzie PCI DSS2, który mówi o potrzebie stosowania zabezpieczeń Web Application Firewall. W dalszej części opracowania zostaną dokładniej omówione zasady ochrony aplikacji Web.


 
DLACZEGO KONWENCJONALNE ZABEZPIECZENIA NIE SĄ WYSTARCZAJĄCE?
 
Zabezpieczenia sieciowe firewall i Intrusion Prevention System (IPS) są podstawą do tworzenia architektury bezpieczeństwa sieci (m.in. stref bezpieczeństwa) oraz przeciwdziałania wielu groźnym atakom sieciowych (m.in. exploity na serwisy sieciowe i system operacyjny, propagacja robaków sieciowych, itd.). Zapewnienie bezpieczeństwa aplikacji Web z wykorzystaniem samych konwencjonalnych zabezpieczeń firewall i IPS (w tym UTM) jest w praktyce niemożliwe. Stosują one bowiem techniki ochrony oparte o sygnatury (wzorce ataków). Aplikacje Web zwykle pisane są na zamówienie i posiadają unikalne podatności, których twórcy zabezpieczeń IPS nie znają i nie potrafią utworzyć dla nich odpowiednich sygnatur. W przypadki ochrony aplikacji Web także inne techniki (np. analiza heurystyczna, wykrywanie anomalii protokołów) stosowane przez konwencjonalne zabezpieczenia IPS nie są skuteczne. Ataki na aplikację Web dla IPS wyglądają bowiem jak legalne zapytania HTTP.
CZYM JEST DEDYKOWANY WEB APPLICATION FIREWALL?
 
Skuteczną ochronę dla aplikacji Web zapewnia dedykowana kategoria zabezpieczeń Web Application Firewall (WAF). System zabezpieczeń WAF bazuje w głównej mierze na automatycznie tworzonym i aktualizowanym profilu chronionej aplikacji Web. WAF "uczy się" struktury aplikacji, URL, parametrów, cookie, itp. Tworzenie profilu ma na celu niezależne odwzorowanie oczekiwanych, poprawnych zachowań użytkowników przy dostępie do aplikacji Web. Rysunek 1 pokazuje fragment profilu aplikacji Web utrzymywanego przez zabezpieczenia WAF.
Zasadnicza różnica pomiędzy zabezpieczeniami IPS i WAF polega na podejściu do kontroli ruchu sieciowego. IPS stosuje selekcję negatywną (tzw. blacklist approach), polegającą na tym, że przepuszcza cały ruch za wyjątkiem pakietów, które zostały zidentyfikowane jako niedozwolone. W konsekwencji wszystkie ataki nierozpoznane przez IPS dochodzą do aplikacji Web. WAF stosuje selekcję pozytywną (tzw. whitelist approach), polegającą na tym, że w oparciu o zbudowany profil chronionej aplikacji Web przepuszcza wyłącznie ruch, który został zidentyfikowany jako dozwolony. Dzięki temu ruch nierozpoznany jako dozwolony jest przez WAF blokowany i ataki nie dochodzą do aplikacji Web.
Wybór odpowiedniej strategii ochrony aplikacji Web jest uzależniony od specyficznych wymagań projektu (m.in. struktury aplikacji) oraz posiadanych już urządzeń sieci i zabezpieczeń. IMPERVA SECURESPHERE WAF wdrażany jest jako dedykowana warstwa ochrony aplikacji Web. W wielu portalach biznesowych i innych aplikacjach Web (np. e-commerce, e-banking) razem z aplikacją Web ochrony wymaga także baza danych, z której korzysta aplikacja. Rozwiązanie zabezpieczeń IMPERVA SECURESPHERE WAF w jednej platformie dostarczać może dedykowane zabezpieczenia WAF oraz Database Firewall (DBF). Całość zabezpieczeń aplikacji Web i baz danych zarządzana jest z przeznaczonego tylko do tego celu systemu zarządzania, wyposażonego w odpowiednie narzędzia monitorowania i raportowania IMPERVA MANAGEMENT SERVER.