Web Application Firewall (WAF)

Semnăturile de atac reprezintă reguli sau modele care detectează și identifică atacurile asupra aplicațiilor web.

Se efectuează o validare strictă și detaliată a protocoalelor HTTP. Aceste verificări detectează, alertează sau blochează traficul neconform și malițios (learn, alarm, block). Dacă oricare dintre cele 19 verificări de conformitate cu protocolul generează alarme false, le poți elimina cu ușurință în configurația politicii de securitate.

Funcționalitatea de geolocație IP identifică originea traficului la nivel de țară, utilizând o bază de date de adrese IPv4 și IPv6 și prin care se poate bloca sau permite accesul la o aplicație în funcție de originea geografică a traficului (denylisting și acceptlisting, respectiv).

Funcția IP Intelligence blochează și furnizează rapoarte despre adresele IP malițioase

Funcția reprezintă un flux de date specializat, conceput pentru a furniza informații esențiale în evaluarea malițiozității cererilor primite. Funcționalitatea Threat Campaigns lucrează în mod complementar cu semnăturile de atac, aceasta având rolul de a detecta și limita cererile malițioase, reducând astfel numărul de alarme false.

Majoritatea aplicațiilor are nevoie de protecție împotriva tehnicilor de evaziune. Soluția noastră oferă posibilitatea de a activa verificările pentru acestea, monitorizarea rapoartelor și ulterior dezactivarea oricărei verificare care generează alarme false, cu un risc redus pentru performanța aplicației.

Pagină implicită pe care o returnează atunci când cererea clientului sau răspunsul serverului web este blocat de politica de securitate poate fi presonalizată.

Qualys SSL Labs a creat un sistem de notare alfabetică pentru certificatele SSL/TLS de la F la A+, pentru a evalua calitatea configurației de securitate.
Pentru utilizarea aplicațiilor web în scopuri comerciale, se recomandă obținerea unui scor minim de „A”. Prin utilizarea parametrilor (algoritmi, versiuni, chei de criptare etc.) conform celor mai bune standarde, soluția noastră îți asigură întotdeauna obținerea scorului A sau A+.

Atunci când sistemul primește cereri, acesta examinează antetele existente și aplică diferite acțiuni configurate în funcție de nevoile aplicației:

• Headere obligatorii
• Headere care necesită decodare Base64
• Headere excluse de la verificările semnăturilor
• Headere care necesită normalizare

Aceste tipuri de headere de securitate pot fi adăugate sau ajustate în funcție de cerințele specifice aplicației.

Prin aplicarea regulii de redirecționare a traficului web necriptat către protocolul HTTPS, întregul trafic al aplicației va utiliza exclusiv protocolul HTTPS (HTTP securizat), ceea ce asigură o conexiune sigură și protejată pentru utilizatorii aplicației.

Soluția are capacități de jurnalizare extrem de flexibile pe care le poți configura pentru a trimite date detaliate despre evenimente pentru fiecare aplicație, către mai multe locații, atât locale, cât și externe. WAF oferă posibilitatea de a trimite înregistrările de tip syslog către un server specializat din infrastructura organizației. Această funcționalitate îți permite să înregistrezi cererile utilizatorilor, alertele și blocările pentru toate tipurile de funcții desfășurate de echipamentul WAF asupra traficului, indiferent dacă folosești un server syslog, un sistem SIEM, XDR sau altă soluție similară.

Web scraping reprezintă extragerea programatică a informațiilor dintr-o aplicație web într-un mod neintenționat de proprietarul aplicației și adesea contrar intereselor acestuia. WAF detectează web scraping-ul utilizând capacitățile de gestionare a boturilor în profilul de tip Layer 7 (L7) DoS. Pentru a limita un astfel de atac, trebuie să configurezi sau să reglezi în mod iterativ șase caracteristici diferite de protecție împotriva web scraping-ulu, posibil pentru modul de alarmă.

Pentru a bloca atacurile DoS care folosesc un vector de atac L7 (Layer 7), este necesar un WAF capabil, deoarece aceste atacuri nu sunt în întregime susceptibile la abordările de atenuare L2, L3 și L4. Pentru a aborda aceste probleme, soluția noastră utilizează un set cuprinzător de instrumente, pe care le poți activa simultan pentru a detecta și preveni atacurile L7 DoS.

Poți proteja rapid aplicațiile utilizând metoda de „virtual patching” până când vulnerabilitățile CSRF pot fi abordate complet în codul aplicației.

URL-urile nepublicate, accesate de către cei care întrețin aplicațiile și care nu sunt destinate să primească trafic de la utilizatorii obișnuiți pot reprezenta un risc semnificativ atunci când hackerii le scanează sau le ghicesc. Pentru a contracara această amenințare, WAF-ul poate utiliza o listă de interdicție a acestor URL-uri și alte măsuri de securitate negative, cum ar fi semnăturile de atac. Soluția noastra poate utiliza URL-uri permise deoarece are capacitatea de a învăța automat o listă exhaustivă de URL-uri acceptate, chiar și atunci când o aplicație are sute sau mii de URL-uri permise. Cu această abordare, atunci când un atacator încearcă să acceseze un URL care nu este permis, politica de securitate poate fi configurată pentru a bloca cererea.

Prin această funcție, soluția folosește metode sofisticate pentru asocierea cererilor HTTP cu sesiunile corespunzătoare, inclusiv utilizarea cookie-urilor HTTP și a amprentelor browser-ului pentru a crea ID-uri de dispozitiv unice pentru sesiunea unui client.

Soluția utilizează două funcții suplimentare pentru a inhiba manipularea cookie-urilor. Sistemul poate "impune" cookie-urile, ceea ce înseamnă că poate detecta atunci când atacatorii manipulează valorile setate de server și, opțional, poate bloca cererile corespunzătoare. În mod obișnuit, această funcție este aplicată cookie-urilor care conțin date sensibile și influențează comportamentul aplicației.
De asemenea, atunci când examinează cererile, soluția poate face referire la o listă de acceptare a "cookie-urilor permise" care sunt legitime pentru aplicație. Sistemul detectează și, opțional, poate bloca cookie-urile care nu se află în lista de acceptare.

Cu această funcție poți construi o listă de acceptare a domeniilor aprobate către care o aplicație poate redirecționa utilizatorii. Apoi, în cazul în care apare un atac de redirecționare deschisă, soluția WAF detectează și blochează redirecționările către site-uri neautorizate. Această funcție reprezintă un strat suplimentar de protecție și poate captura, de asemenea, noi variante de exploatare a redirecționărilor care nu pot fi detectate de securitatea orientată către aplicații.

Poți bloca cererile HTTP pe baza extensiei de fișier utilizate într-un URL, cum ar fi .jsp. Deoarece majoritatea aplicațiilor web folosesc un set limitat de tipuri de fișiere, crearea unei liste de tipuri de fișiere legale și ilegale în politica de securitate este un exercițiu simplu care reduce suprafața de atac a aplicației cu o șansă minimă de alarme false.

Setările implicite pentru politica de securitate a sistemului F5 WAF permit cererilor aplicației să utilizeze următoarele metode HTTP: GET, POST, HEAD, pe care sistemul îl schimbă în GET
Cererile care utilizează alte metode, cum ar fi OPTIONS, DELETE și TRACE, declanșează o încălcare. Deoarece majoritatea aplicațiilor web folosesc exclusiv metodele GET și POST, permițând doar aceste două metodepoți reduce semnificativ riscul de securitate. Modul de aplicare Transparent permite alte metode HTTP pe care aplicația le poate utiliza.
Aceste personalizări permit reglarea politicii în funcție de cerințele specifice ale aplicației, consolidând astfel securitatea acesteia.

WAF utilizează amprenta browserului pentru a se apăra împotriva răpirii sesiunilor. Această tehnologie permite sistemului să creeze un ID de dispozitiv, pe care îl asociază unei sesiuni și apoi îl stochează pentru urmărirea sesiunii utilizatorului. Atunci când apare o activitate suspectă, cum ar fi o sesiune nouă sau o schimbare a adresei IP sursă în timpul unei sesiuni, sistemul poate revalida amprenta. În cazul în care soluția WAF primește cereri pentru o sesiune nouă cu un ID de dispozitiv inconsistent, poate raporta sau bloca activitatea.

Majoritatea WAF-urilor pot detecta și remedia majoritatea vulnerabilităților identificate de un DAST. Cu toate acestea, sistemul nostru oferă suport pentru remedierea automată, în circuit închis, a multor vulnerabilități identificate de aceste instrumente. Atunci când utilizezi această funcționalitate, sistemul personalizează automat politica de securitate pentru a rezolva vulnerabilitatea sau, în caz contrar, sistemul raportează vulnerabilitatea astfel încât administratorul să poată lua măsurile necesare.

Pentru a crește restricțiile privind valorile parametrilor dincolo de o listă de negare a semnăturilor și a verificărilor metacaracterelor se poate utiliza protecția parametrilor. Soluția construiește automat o listă cuprinzătoare de parametri expliciți utilizați de aplicație și apoi îi securizează aplicând constrângeri individuale pentru fiecare, cum ar fi lungimea maximă și tipul de date pentru valoarea sa. Aceste constrângeri pot fi adăugate automat sau manual. La sfârșitul acestui proces de "învățare", poți împiedica aplicația să utilizeze orice parametru care nu a fost specificat, restricționându-i astfel acceptarea cererilor cu parametri noi.

DataSafe protejează datele înainte ca utilizatorii să le trimită din browser-ul lor. Această funcție vizează malware-ul și furtul de credențiale care sustrag date din browser, adică datele pe care utilizatorii le introduc în câmpurile de intrare ale formularelor atunci când interacționează cu o aplicație web, cum ar fi un site financiar. Aceste tipuri de atacuri vizează parole, numere de cont, numere de card de credit, numere de securitate socială și alte date personale valoroase

Deoarece hackerii își schimbă în mod constant strategiile de atac de tip forță brută în funcție de tehnologia de detectare și combatere, echipa F5 WAF monitorizează îndeaproape aceste atacuri și adaugă protecții noi.

Funcția Behavioral DDoS adresează atacurile DDoS analizând comportamentul traficului și folosind învățarea automată și analiza datelor. Lucrând în colaborare cu alte protecții F4 împotriva atacurilor DDoS, Behavioral DDoS examinează traficul dintre clienți și serverele de aplicații pentru a stabili automat profilurile de flux de trafic de bază pentru Straturile 7 (HTTP), 3 și 4.
Utilizând un ciclu de feedback al clienților, Behavioral DDoS monitorizează în mod continuu sănătatea serverului, încărcarea acestuia, atacurile și acțiunile de atenuare. Orice anomalii sunt supravegheate, iar sistemul aplică măsuri de atenuare în funcție de necesități, cum ar fi încetinirea unui client, solicitarea unui CAPTCHA sau blocarea cererii.
Atunci când are loc un atac DDoS și serverul primește brusc multe cereri în același timp, Behavioral DoS încetinește traficul în cea mai mică măsură necesară pentru a împiedica încetinirea sau blocarea serverului.

Abordarea predominantă în securitatea rețelelor și a aplicațiilor este blocarea traficului malefic în direcția de intrare, înainte ca acesta să poată ajunge la destinația prevăzută. Cu toate acestea, este posibil să nu fie întotdeauna detectate toate atacurile de intrare, iar traficul de ieșire poate prezenta, de asemenea, probleme. Soluția noastră oferă protecție în direcția de ieșire utilizând funcția Data Guard, care examinează traficul de ieșire în căutarea modelelor care corespund tipurilor comune de date sensibile, cum ar fi numerele de asigurare socială și de card de credit, și apoi maschează datele sau blochează răspunsurile care conțin aceste date.
Pentru aplicațiile care stochează date sensibile în altă parte în infrastructura lor, Data Guard oferă un strat suplimentar de protecție. Data Guard este conceput pentru clienții care au preocupări specifice privind scurgerile de date sensibile și necesită o analiză atentă înainte de implementare.