Diventa Autore per CoreTech | Scopri di più
18/06/21 CoreTech Blog
I firewall per applicazioni Web (WAF) sono una delle tante soluzioni per la sicurezza delle applicazioni Web a tua disposizione. Sfortunatamente, gli acquirenti spesso non comprendono il loro scopo e li trattano come un sostituto diretto di altre classi di strumenti, ad esempio gli scanner di vulnerabilità web. Le due classi sono così diverse e l'unico modo per ottenere il massimo da esse è usarle entrambe contemporaneamente, non sostituirle l'una con l'altra.
Molte aziende acquistano una soluzione WAF e la utilizzano come unico mezzo per proteggere le proprie applicazioni Web e API dagli attacchi. Sebbene una tale soluzione sia efficace in una certa misura, dà un falso senso di sicurezza. Dopotutto, l'applicazione dietro il firewall dell'applicazione Web è insicura quanto lo era prima dell'installazione del WAF. Tutto ciò che serve a un hacker dannoso è aggirare la protezione WAF in tempo reale e possono provocare il caos proprio come se non ci fosse alcuna protezione.
La sicurezza delle applicazioni Web si ottiene eliminando i problemi alla fonte, non nascondendoli al mondo esterno. La falsa sensazione che il WAF sia sufficiente è il risultato del fatto che gli acquirenti non comprendono la sicurezza delle applicazioni web e credono che i passi di marketing che affermano che il WAF risolverà tutti i loro problemi. I WAF sono progettati per la mitigazione delle minacce, non per l'eliminazione. Non riducono affatto il panorama delle minacce.
Le applicazioni Web possono essere attaccate perché gli sviluppatori commettono errori. Tali errori consentono agli hacker malintenzionati di accedere a dati sensibili o addirittura di assumere completamente il controllo del server Web e di intensificare l'attacco ad altri sistemi. L'unico modo per garantire che la tua app web sia sicura e per prevenire vari tipi di attacchi è eliminare i problemi elencati dall'Open Web Application Security Project (nell'elenco OWASP Top 10), ad esempio, SQL injection, cross-site scripting (XSS), esecuzione di codice in modalità remota (iniezione di codice), inclusione di file locali / remoti e altro ancora.
Per eliminare le cause profonde dei problemi di sicurezza e prevenire veramente gli attacchi comuni (non solo per renderli più difficili), è necessario uno strumento che rilevi, esponga e provi tali problemi.
Consigliamo vivamente di utilizzare uno strumento DAST insieme a un WAF.
Uno strumento DAST può trovare, individuare e dimostrare le vulnerabilità delle applicazioni web ma non può eliminarle. Le vulnerabilità non sono come i virus: non sono elementi estranei, sono errori commessi dagli sviluppatori quando scrivono il proprio software. Pertanto, solo gli sviluppatori possono eliminare le vulnerabilità.
Gli sviluppatori di solito sono molto impegnati a scrivere nuove funzionalità, migliorare le attuali app Web e correggere i bug, quindi se hanno il compito di riscrivere il codice dell'applicazione per renderlo sicuro, non possono farlo immediatamente. I manager mettono in coda tali attività per gli sviluppatori e talvolta possono essere necessarie anche settimane o mesi prima che gli sviluppatori abbiano il tempo di risolvere una particolare vulnerabilità. Fino ad allora, la tua applicazione è aperta agli hacker dannosi!
Ecco perché il modo migliore per utilizzare un WAF è trattarlo come una misura di sicurezza temporanea che riduce la possibilità di un attacco fino a quando i tuoi sviluppatori non hanno il tempo di correggere le vulnerabilità.
I WAF introducono anche alcuni tipi di protezioni che non sono realizzabili con altri strumenti. Ad esempio, a meno che non utilizzi un hosting specializzato con protezione DoS integrata, un WAF può aiutarti a evitare molti attacchi DoS / DDoS. Oltre a ridurre il traffico dannoso, i WAF ei loro proxy inversi possono anche aiutare con il bilanciamento del carico del traffico Web per ridurre la latenza, sebbene questo non sia il loro scopo principale.
Gli esperti di sicurezza sanno che i WAF e gli strumenti DAST sono solo la punta dell'iceberg. Più si desidera migliorare la sicurezza delle applicazioni Web, più strumenti è possibile utilizzare a tale scopo.
Ad esempio, DAST può lavorare insieme agli strumenti SAST (che controllano il codice sorgente ma sono noti per segnalare più falsi positivi) o può essere integrato con soluzioni IAST. Gli strumenti SCA possono controllare rapidamente i componenti open source per individuare vulnerabilità note. Puoi persino utilizzare soluzioni anti-malware insieme ad altri strumenti per eliminare il malware lato server.
DAST, SAST, IAST e SCA possono funzionare nei tuoi ambienti di automazione DevOps per ottimizzare ulteriormente i tuoi sforzi di sicurezza. Questi strumenti sono disponibili come servizi di sicurezza, piattaforme cloud (SaaS) o soluzioni locali.
Ci sono ancora più strumenti per i tuoi team di sicurezza che li aiutano a proteggere il tuo livello di applicazione. Prima che i tuoi sviluppatori inizino a lavorare, spesso una vulnerabilità deve essere analizzata manualmente dai penetration tester. I ricercatori di sicurezza utilizzano molti strumenti di attacco manuale, proxy, scanner manuali, cracker di autenticazione, ecc.
Tutto sommato, la sicurezza delle applicazioni web è un argomento complesso e nessuna singola soluzione (anche il miglior WAF) può occuparsi di tutto.
