BLOG

O que torna um WAF avançado?

Brian A. McHenry Miniatura
Brian A. McHenry
Publicado em 10 de abril de 2018

À medida que o cenário de ameaças evolui, nossos controles de segurança e contramedidas também devem evoluir. As ameaças de perímetro mais avançadas para perda ou exfiltração de dados ocorrem na camada de aplicação, tornando a maioria dos firewalls de última geração (NGFW) e sistemas de prevenção de intrusão (IPS) muito menos eficazes. Esse efeito é agravado pelo fato de que a maioria das comunicações está migrando para canais de dados criptografados, sem suporte de NGFW ou IPS, principalmente em grande escala. Firewalls de aplicativos da Web (WAF) são projetados especificamente para analisar cada solicitação HTTP na camada de aplicativo, com descriptografia completa para SSL/TLS.

Nos últimos anos, a maioria das tecnologias WAF permaneceram praticamente inalteradas, como sistemas de detecção baseados em filtros passivos, muito parecidos com as tecnologias relacionadas NGFW e IPS. Os sistemas WAF aplicam conformidade de protocolo (garantindo uma solicitação bem formada) e comparações de assinaturas (garantindo nenhum conteúdo malicioso conhecido) para filtrar e bloquear ataques potenciais. Recursos adicionais foram adicionados para permitir a conscientização da sessão e do usuário para combater sequestros e ataques de força bruta, e feeds de reputação de IP são aplicados para tentar filtrar fontes conhecidas como ruins, como botnets, anonimizadores e outras ameaças. Essas ainda são tecnologias amplamente passivas no perímetro do data center, com capacidade muito limitada de interrogar o cliente.

 Há algumas coisas que sabemos sobre o cenário atual de ameaças:

  • A maioria das ameaças é automatizada por natureza. Os invasores automatizam as varreduras em busca de vulnerabilidades. Eles automatizam a acumulação de recursos, como compras de ingressos ou tênis para revenda no mercado paralelo. Ataques de negação de serviço distribuído (DDoS) são totalmente automatizados para permitir o tipo de volume de tráfego de ataque de 1 Tbps+ que se tornou comum. A automação é difícil de detectar porque muitas vezes é projetada para imitar tráfego bom e passar despercebida. Tecnologias como CAPTCHA têm sido usadas para detectar essa automação, mas esses métodos de verificação se mostram ineficazes ao longo do tempo e afetam a experiência de usuários legítimos.
     
  • Credential stuffing é um tipo específico de ataque automatizado que aproveita bilhões de combinações conhecidas de nomes de usuários e senhas de violações anteriores. O uso de credenciais roubadas foi o tipo mais comum de ataque a aplicativos em 2017, de acordo com relatórios de ameaças recentes. Esses ataques se aproveitam da reutilização de senhas, algo comum para o cidadão comum da Internet. O preenchimento de credenciais é particularmente difícil de detectar porque essas solicitações não apenas parecem normais, mas geralmente são "lentas e lentas" por design para evitar a detecção como um ataque de força bruta.
     
  • O malware é generalizado e é usado para explorar fraquezas nos navegadores e nos usuários que os operam. O malware tem muitos métodos de distribuição, desde anexos de e-mail até links maliciosos em mídias sociais e anúncios. Essas máquinas comprometidas são usadas para atacar outros sites para fins de DDoS, roubo de dados e acumulação de recursos. Métodos limitados de detecção e mitigação estão disponíveis, a menos que a máquina cliente seja gerenciada por uma equipe experiente em segurança da informação de TI.
     
  • Os ataques DDoS não são apenas volumétricos por natureza. Muitos ataques são projetados para causar exaustão de recursos em algum lugar na pilha de aplicativos, nos servidores de aplicativos, no middleware ou no banco de dados de back-end. Detectar essas condições pode ser difícil, pois o tráfego está em conformidade com a maioria das verificações de validação de entrada padrão.


Simplificando, esses ataques ignoram praticamente todos os mecanismos tradicionais de detecção de WAF, pois geralmente não parecem malformados de forma alguma. Os feeds de reputação de endereços IP têm eficácia limitada devido ao suprimento quase inesgotável de alvos facilmente comprometidos, incluindo modems a cabo, dispositivos IoT, instâncias de servidores de nuvem pública e muito mais. As informações de endereço de origem mudam muito rapidamente, mesmo para que um feed de crowdsourcing seja eficaz no combate ao nível de automação típico desses vetores de ataque. Um firewall de aplicativo web mais avançado é claramente necessário para combater essas ameaças.

A boa notícia é que a tecnologia WAF avançada já está disponível há algum tempo. A F5 foi pioneira na tecnologia de detecção sem CAPTCHA de bots tentando extrair dados de preços de varejistas on-line há quase uma década, quando a proteção contra Web Scraping foi introduzida em 2009. A F5 avançou progressivamente nessa tecnologia e a expandiu para o que agora é conhecido como Proactive Bot Defense, introduzido em 2015. O Proactive Bot Defense (PBD) permite interrogar o cliente solicitante para verificar se um usuário humano com um navegador legítimo está presente. Esta é uma solução muito mais eficaz do que depender do bloqueio de botnets conhecidas por endereço IP.

Com a nova oferta F5 Advanced WAF, a F5 está expandindo sua tecnologia WAF líder de mercado para incluir recursos necessários para combater as ameaças em evolução vistas no cenário de segurança de aplicativos. O WAF avançado inclui:

  • Defesa proativa contra bots. Ao utilizar técnicas de ponta de impressão digital e desafio/resposta em conjunto com outras análises comportamentais, o PBD permite a detecção e o bloqueio de ameaças automatizadas em nível de sessão.
     
  • Detecção e defesa de DoS comportamental de camada 7 . O Advanced WAF é capaz de criar perfis dinâmicos de tráfego e criar assinaturas de padrões de tráfego anômalos, interrompendo ataques DoS da camada 7 antes que eles afetem seu aplicativo.
     
  • Proteção de credenciais DataSafe . O DataSafe criptografa dinamicamente o conteúdo da página para evitar ataques do tipo "man-in-the-browser", geralmente causados por malware. O DataSafe também criptografa dinamicamente as credenciais à medida que elas são inseridas para proteger o usuário no navegador.
     
  • Integração do Anti-Bot Mobile SDK . As técnicas usadas pelo Proactive Bot Defense funcionam para identificar navegadores legítimos. Para aplicativos móveis, um navegador não está presente. O Anti-Bot Mobile SDK permite que organizações combatam bots com técnicas avançadas, mesmo em endpoints de API móveis.


O F5 Advanced WAF é uma plataforma de segurança dedicada para fornecer os recursos de segurança de aplicativos mais avançados disponíveis no mercado atualmente. A F5 está comprometida em fornecer soluções de segurança de aplicativos de ponta para mitigar até mesmo os ataques mais sofisticados. Aguarde mais avanços na plataforma Advanced WAF no futuro.