As aplicações Web são atualmente a principal superfície de ataque dos cibercriminosos. Portais de clientes, sistemas de comércio eletrónico, painéis de administração, APIs – cada um destes é um potencial ponto de entrada se não estiver devidamente protegido. A Web Application Firewall (WAF) é a camada de proteção que fica entre a Internet e a aplicação e filtra o tráfego malicioso. O Barracuda WAF destaca-se pelo seu modelo de entrega flexível e é particularmente adequado para ambientes de nuvem.
Principais conclusões
- O WAF protege as aplicações Web dos 10 principais ataques OWASP – SQLi, XSS, CSRF e mais
- O Barracuda WAF está disponível como um dispositivo físico, um dispositivo virtual e num modelo SaaS
- A plataforma oferece actualizações automáticas de assinaturas e proteção de dia zero
- O Barracuda também protege as APIs – um vetor de ataque fundamental nas arquitecturas modernas
- A solução suporta a conformidade com o PCI DSS e outros regulamentos
Índice
- Porque é que as aplicações Web necessitam de proteção dedicada?
- O que é um WAF e qual é a sua diferença em relação a uma firewall de rede?
- Arquitetura do Barracuda WAF – Modelos de implementação
- Proteção do OWASP Top 10
- Proteção das API – importância crescente
- Atenuação de bots – distinguir humanos de autómatos
- Proteção DDoS no Barracuda WAF
- Conformidade e relatórios
- FAQ
- Resumo
Porque é que as aplicações Web necessitam de proteção dedicada?
Uma firewall de rede tradicional funciona ao nível do pacote e da ligação – decide se o tráfego numa determinada porta e protocolo é permitido. Não analisa o conteúdo HTTP, não compreende a lógica da aplicação e não distingue entre um pedido SQL legítimo e uma tentativa de injeção de SQL. Para um atacante que envia um payload malicioso escondido num pedido HTTP legítimo para a porta 443, uma firewall tradicional é invisível.
As aplicações Web também têm vulnerabilidades únicas devido à sua arquitetura e lógica empresarial. O OWASP (Open Web Application Security Project) publica regularmente uma lista das 10 classes de vulnerabilidades de aplicações mais perigosas – e são estes ataques que o WAF foi concebido para detetar e bloquear.
O que é um WAF e qual é a sua diferença em relação a uma firewall de rede?
A WAF (Web Application Firewall) é uma firewall especializada que funciona ao nível da camada 7 (aplicação) do modelo OSI. Analisa o conteúdo dos pedidos HTTP/HTTPS, compreende a estrutura da aplicação Web e consegue distinguir entre pedidos legítimos e ataques à aplicação.
O WAF analisa cabeçalhos HTTP, parâmetros URL, conteúdo POST, cookies e outros elementos de pedidos Web para procurar assinaturas de ataques conhecidos, anomalias na estrutura dos pedidos e comportamentos que sugiram intenções maliciosas. Ao contrário do IPS/IDS, que é mais geral, o WAF é especializado em aplicações Web e nas suas ameaças específicas.
Arquitetura do Barracuda WAF – Modelos de implementação
O Barracuda WAF está disponível em vários modelos de entrega, o que é uma das suas principais vantagens. Está disponível como um dispositivo físico (para centros de dados com requisitos de hardware), como uma máquina virtual (VMware, Hyper-V, KVM), como uma solução nativa da nuvem em AWS, Azure e Google Cloud, e como um serviço SaaS (Barracuda WAF-as-a-Service).
O modelo WAF-as-a-Service é particularmente atrativo para organizações que pretendem proteger aplicações na nuvem sem gerir a sua própria infraestrutura. Toda a inspeção tem lugar na nuvem Barracuda e a aplicação é protegida sem quaisquer alterações à sua infraestrutura.
Proteção do OWASP Top 10
O Barracuda WAF inclui proteção para todas as categorias de ataques na lista Top 10 da OWASP. Injeção de SQL – tentativas de manipular bases de dados através de consultas SQL maliciosas em parâmetros de pedido. Cross-Site Scripting (XSS) – injeção de scripts executáveis maliciosos através do browser da vítima. Autenticação quebrada – deteção de tentativas de sequestro de sessão e preenchimento de credenciais. Referências diretas a objectos inseguros, má configuração da segurança, exposição de dados sensíveis e outros.
A proteção é implementada através de uma combinação de assinaturas (para ataques conhecidos), análise heurística (para variantes de ataques conhecidos) e aprendizagem automática (para novos padrões de ataque).
Proteção das API – importância crescente
As aplicações Web modernas dependem cada vez mais de APIs para a comunicação entre componentes. Os ataques às APIs são a categoria de ataques Web que mais cresce – os atacantes descobriram que as APIs não são frequentemente abrangidas pelas mesmas políticas de segurança que as interfaces Web.
O Barracuda WAF protege as APIs através da validação de esquemas JSON e XML, restringindo os métodos HTTP permitidos por ponto final, detectando anomalias nas chamadas de API e aplicando políticas de autenticação e autorização ao nível de cada ponto final.
Atenuação de bots – distinguir humanos de autómatos
Uma proporção significativa do tráfego da Web provém de bots – tanto legítimos (rastreadores de motores de busca) como maliciosos (raspadores de dados, autómatos de ataque, bots que experimentam credenciais de início de sessão roubadas). O Barracuda WAF distingue o tráfego humano dos bots através da análise do comportamento (tempo, padrões de navegação), verificação de JavaScript e CAPTCHA para pedidos suspeitos, e listas de bots maliciosos conhecidos actualizadas em tempo real.
Proteção DDoS no Barracuda WAF
O Barracuda WAF oferece proteção contra ataques DDoS ao nível da aplicação (Camada 7), ou seja, ataques que, em vez de inundarem a rede com pacotes, enviam um grande número de pedidos HTTP aparentemente legítimos que sobrecarregam a aplicação. Esses ataques são muito mais difíceis de repelir com medidas de rede tradicionais.
A plataforma utiliza a limitação de pedidos por IP e por sessão, o bloqueio de tráfego geográfico e a transferência de tráfego suspeito para verificação, protegendo a disponibilidade da aplicação mesmo durante um ataque ativo.
Conformidade e relatórios
O Barracuda WAF suporta a conformidade com os requisitos do PCI DSS para a proteção de aplicações Web que lidam com dados de cartões de pagamento. Gera relatórios detalhados sobre tráfego, ataques bloqueados e eventos de segurança que podem ser utilizados tanto para monitorização contínua como para documentação para auditores.
FAQ
O Barracuda WAF funciona com qualquer aplicação Web? Sim – o WAF actua como um proxy à frente da aplicação e é independente da tecnologia em que a aplicação está escrita.
O WAF não torna as aplicações mais lentas? O Barracuda WAF é optimizado para ter um impacto mínimo na latência. Com um dimensionamento adequado, o impacto no desempenho é impercetível para os utilizadores.
Como é que o Barracuda WAF lida com falsos positivos? A plataforma oferece um modo de aprendizagem que analisa o tráfego normal de aplicações e cria uma linha de base, reduzindo os falsos positivos. As políticas também podem ser ajustadas manualmente.
O Barracuda WAF suporta os próprios certificados SSL da organização? Sim – o WAF implementa a terminação SSL e pode suportar certificados de clientes ou utilizar os seus próprios certificados.
Resumo
O Barracuda Web Application Firewall fornece uma proteção abrangente de aplicações Web num modelo de fornecimento flexível adaptado a ambientes híbridos e de nuvem. A proteção OWASP Top 10, a proteção API dedicada, a mitigação de bots e as capacidades de conformidade incorporadas fazem do Barracuda WAF uma base sólida de segurança de aplicações para organizações de todas as dimensões.
