“Quando não se sabe para onde está indo, qualquer caminho serve”. Essa adaptação de uma das célebres frases de Shakespeare ilustra o que muitas empresas fazem na hora de implementar um web application firewall (WAF), mas não deveriam, considerando que se trata de uma decisão crucial para a segurança das aplicações web e, consequentemente, dos negócios.
Estabelecer critérios para identificar a melhor solução é um exercício que pode trazer de volta a sensação de não saber para onde ir. Afinal, são tantos fornecedores de segurança e similaridades que realmente fica difícil decidir por qual optar. Se esse é o desafio que você está enfrentando, separamos sete perguntas cujas respostas te ajudarão a encontrar o caminho certo.
1. Que capacidades e funcionalidades o WAF oferece?
A maneira como um WAF é desenvolvido varia de um fornecedor para outro, e isso gera um impacto significativo nas capacidades e funcionalidades da solução. Portanto, vale se atentar a detalhes que são, na verdade, fortes indicadores de que o WAF pode ajudar a encarar os desafios da cibersegurança moderna ao:
- distinguir bad bots e tráfego legítimo ou usuários humanos com precisão;
- aplicar recursos de segurança programável para respostas a ameaças melhor endereçadas;
- detectar e bloquear ataques zero-day independentemente do ambiente, sistema ou componente explorado.
Entender o que seu time mais valoriza em um WAF também é crucial. De repente, você está considerando uma solução mais cara em função de funcionalidades extras que, por várias razões, podem ser irrelevantes ou desnecessárias para quem a utilizará diariamente.
2. O WAF oferece recursos de automatização?
Automatizar o máximo de tarefas de segurança possível ajuda o time de experts a ser mais produtivo e atuante em operações com elevados graus de criticidade e complexidade, como mitigação de ataques DDoS e análises de controle de acesso e vulnerabilidades na aplicação.
Além disso, integrar regras de WAF ao fluxo de CI/CD oferece benefícios para o departamento de TI ao confirmar, automaticamente, se cada deploy está em conformidade com os requisitos de segurança. Mais do que acelerar a entrega de software seguro, essa integração descomplica tarefas que exigem interação entre diferentes áreas e melhora a experiência do desenvolvedor e a difusão da cultura DevSecOps.
3. O WAF se adapta com as APIs desenvolvidas e sistemas de terceiros?
Você precisa ter certeza de que não terá problemas com a implementação do WAF em suas aplicações. Logo, convém observar se determinada solução é interoperável e não exige mudanças para que seja implementada.
Considere soluções de WAF compatíveis com quaisquer modelos computacionais (cloud computing, on-premise ou data center) e sistemas existentes, bem como a arquitetura de TI utilizada na aplicação. Lembre-se: uma API pode conectar e consumir outros recursos, então implementar segurança programável é essencial para extrair ao máximo das soluções propostas.
Quando a empresa toma esse cuidado, a implementação passa a envolver menos custos e proporciona escalabilidade, de modo que o WAF se mantenha aderente à evolução das aplicações.
4. O WAF oferece recursos de observabilidade?
É interessante também que o WAF seja integrável a plataformas analíticas — como SIEM e Big Data — para que seus experts obtenham insights essenciais para aprimorar a inteligência contra ameaças cibernéticas.
A observabilidade habilita, entre outras coisas, o rastreamento de ameaças baseado em dados, automatização de respostas a incidentes e auditorias de segurança mais aprofundadas, além de minimizar os custos relacionados às investigações.
5. Qual método de detecção de ameaças o WAF utiliza?
Outro ponto é o método de segurança utilizado para detecção de ameaças. Um WAF baseado em assinaturas (ou vacinas) impõe obstáculos na identificação de ameaças zero-day.
Em contrapartida, soluções baseadas em scoring são imunes ao fator tempo, pois identificam os vetores de ataque a partir de anomalias no tráfego e comportamentos que denunciam usuários não confiáveis.
Para saber mais sobre as diferenças entre os métodos de bloqueio existentes e como tal fator é determinante para a eficiência em proteção, recomendamos que leia este post.
6. O WAF ajuda com compliance?
Criar conjuntos de regras personalizadas e altamente granulares é imprescindível para compliance. Instituições financeiras, por exemplo, trabalham diariamente para manter a conformidade com leis, normas e regulações do segmento, e contam com soluções de segurança flexíveis para acompanhar as mudanças.
Mais do que as próprias funcionalidades do WAF em si, padrões de segurança reconhecidos internacionalmente, como PCI DSS e SOC, também devem ser considerados. No contexto de qualquer negócio que envolve armazenamento, processamento e transmissão de dados de cartões de pagamento — como plataformas de e-commerce —, um WAF com certificação PCI DSS é a escolha certa para facilitar o cumprimento dos requisitos regulatórios atrelados a essas atividades.
7. Como o WAF se sai contra ataques zero-day?
Em dezembro de 2022, a equipe de pesquisadores de segurança da Claroty apresentou uma forma genérica de contornar as soluções de WAF de vários fornecedores globais. Segundo Noam Moshe, um dos pesquisadores que participaram do projeto, criminosos poderiam acessar um banco de dados no back-end e explorar vulnerabilidades para extrair informações.
Soluções contornadas pelo WAF Bypass não se mostraram preparadas para prevenir ataques zero-day ou ameaças que explorem vulnerabilidades recentemente descobertas. Isso significa que, se a sua empresa estivesse utilizando alguma destas, ataques baseados no mesmo método teriam êxito.
Esperamos que os questionamentos levantados até aqui tenham te proporcionado reflexões importantes para a melhor escolha de uma solução WAF. Porém, antes de dar os próximos passos, que tal conhecer os benefícios do WAF da Azion? Caso queira reservar alguns minutos para entender como o nosso WAF se encaixa ao seu projeto, clique para falar com um de nossos experts!