Web application firewall (ou WAF) é um componente-chave na segurança de aplicações web. Contudo, nem todo WAF é criado de uma mesma forma. À medida que ataques cibernéticos e aplicações adquirem complexidade, os WAFs precisam acompanhar esse avanço utilizando técnicas de proteção mais sofisticadas, eficientes e performáticas.
Em um cenário de cibersegurança que vem acumulando eventos de ataques zero-day, por exemplo, a discussão em relação aos métodos de bloqueio existentes nos WAFs ganhou força e tornou-se um dos critérios determinantes para empresas que estudam implementar uma solução. Pensando nisso, explicamos neste post as diferenças entre WAFs baseados em assinaturas (ou vacinas) e scoring, que são os métodos utilizados atualmente.
Quais as diferenças entre os métodos de bloqueio por assinaturas e baseados em scoring?
Embora todos os WAFs sejam concebidos para filtrar o tráfego malicioso, seus métodos para proteger aplicações são diferentes. Enquanto um WAG baseado em assinaturas depende de listas de padrões de ataques conhecidos, ou vacinas, para evitar ameaças conhecidas, WAFs baseados em scoring usam simples conjuntos de regras para identificar tanto ameaças conhecidas quanto desconhecidas e bloqueá-las de acordo com os níveis de sensibilidade desejados. Abaixo, explicamos em detalhes como cada método funciona.
WAF baseado em assinaturas
Modelos de WAF baseados em assinaturas aproveitam os dados relativos a ataques anteriores para filtrar o tráfego que corresponde a padrões de ataque conhecidos. Cada vez que um novo ataque é detectado, provedores de cibersegurança criam uma assinatura contendo componentes do padrão de ataque, a qual é adicionada ao WAF, que irá compará-la com cada nova requisição, podendo tanto bloquear quanto gerar um alerta em função de quaisquer requisições correspondentes.
WAF baseado em scoring
Embora as políticas de segurança baseadas em assinaturas tenham sido a prática tradicional usada por firewalls e programas antivírus durante muito tempo, WAFs modernos foram desenvolvidos para evitar problemas de performance e utilização inerentes às listas de assinaturas, substituindo-as por conjuntos de regras inteligentes.
Essas regras se baseiam em algoritmos para analisar a sintaxe de numerosos padrões de ataque, que são condensados em um simples conjunto de regras, como os operadores do dicionário para ataques de injeção por SQL, e atribuir um scoring ou número de pontos quando tais regras são atendidas — nesse caso, palavras como UNION, INSERT ou TABLE aumentariam o scoring de uma requisição. Se o scoring da requisição ultrapassar determinado limite — que pode ser ajustado de acordo com a sensibilidade desejada — ela será bloqueada.
Como o método baseado em assinaturas impacta a performance do WAF?
Um dos principais pontos é o fato de que o WAF baseado em assinaturas precisa ser constantemente atualizado para que a eficácia seja mantida. Essas atualizações geram milhares de assinaturas, que devem ser comparadas a cada nova requisição, resultando em uso intensivo de recursos e redução de desempenho à medida em que as requisições são processadas.
Além disso, a lógica por trás de modelos de segurança negativos que admitem acesso por padrão é incompatível com abordagens de cibersegurança modernas, como Zero Trust e outras que, por padrão, bloqueiam o acesso em vez de autorizá-lo. Isso também contribui para que um WAF baseado em assinaturas retorne uma elevada incidência de falsos negativos, a menos que uma tentativa se associe a definições predefinidas de comportamento malicioso do WAF.
Uma pesquisa sobre inteligência de ameaças conduzida pelo periódico de informática e segurança Elsevier ecoou essa preocupação, observando que soluções de WAF tradicionais e outras medidas de segurança que dependem “fortemente de tecnologia estática de identificação de padrões baseada em listas ou assinaturas de malware” tornam o conteúdo digital “extremamente vulnerável a ameaças em constante evolução, que exploram vulnerabilidades desconhecidas e de zero-day”.
A soma de todos os fatores acima levam à conclusão de que esse método de bloqueio torna as aplicações mais vulneráveis a ameaças emergentes, como ataques zero-day, e facilitam o trabalho dos hackers, que podem manipular strings conhecidas ou padrões de expressão a fim de obter acesso privilegiado a dados ou componentes da aplicação web.
Que benefícios um WAF baseado em scoring proporciona?
WAF baseado em scoring incorpora métodos de segurança positiva que bloqueiam por padrão quaisquer requisições que extrapolam um determinado limite, possibilitando a mitigação de ameaças emergentes e de zero-day antes mesmo de uma assinatura de ataque ser conhecida e registrada. Em termos de performance, o uso de scoring minimiza o consumo de recursos e, consequentemente, os problemas de latência tipicamente presentes nos WAFs tradicionais.
Diferentemente do método baseado em assinaturas, um WAF moderno é aderente ao que há de mais sofisticado em cibersegurança, uma vez que o seu funcionamento é complementar ou até mesmo providencial para uma postura de defesa à altura dos desafios que ataques zero-day implicam. Isto é, ainda que uma vulnerabilidade seja descoberta neste exato momento, os meios para que ela seja explorada podem ser facilmente lidos pelo algoritmo de scoring que, conforme os parâmetros de configuração, fará o bloqueio automaticamente.
Por fim, além da eficiência e dos ganhos em performance proporcionados, WAFs exigem menos atualização manual de políticas, resultando em economia de custos com o time de DevSecOps, que passam a dedicar mais tempo em tarefas críticas, como inteligência contra ciberameaças, investigações e análises críticas de segurança. Para elucidarmos melhor essa relação, separamos este post no qual explicamos como um WAF bypass driblou várias soluções de players globais — e não foi capaz de passar pelo WAF da Azion.