Il Web Application Firewall (WAF) è uno strumento per la sicurezza informatica per proteggere le applicazioni web.
Tutto ciò che ricade sotto la denominazione di “firewall” deve essere inteso come “muro” a protezione di un asset informatico. In particolare, il firewall analizza il traffico passante per tale muro ed attraverso apposite regole decide se è ammissibile o malevolo.
I WAF possono essere hardware o software, in base alla complessità del prodotto stesso. I WAF software, solitamente, sono molto leggeri e non alterano le prestazioni del sistema in modo considerevole, tuttavia non forniscono lo stesso livello di protezione dei WAF hardware (come, per esempio, Imperva SecureSphere).
WAF: da quali attacchi possono proteggere
I WAF operano principalmente al livello 7 della pila ISO-OSI e proteggono da tutti gli attacchi web più famosi rivolti ai nostri applicativi, quali SQL Injection, Cross-Site Scripting, XML injection, Remote Command Execution, Remote File Inclusion.
La maggior parte dei WAF Enterprise (come Imperva Securesphere) consente anche il monitoraggio del livello “transport” e “network”, sebbene il monitoraggio di questi livelli venga spesso demandato ai firewall tradizionali.
Come funziona la tecnologia WAF
Il WAF viene posizionato a protezione delle nostre applicazioni web. Il dispositivo procederà, quindi, all’analisi del traffico HTTP/HTTPS, passante verso i nostri servizi web esposti sulla rete e attraverso l’utilizzo di firme apposite, di regole logiche e di whitelist/blacklist deciderà se tale traffico può essere ritenuto lecito o malevolo.
Nel caso in cui il traffico risultasse malevolo, il WAF genererebbe un alert, a disposizione degli analisti, riportante le caratteristiche dell’attacco. Tale traffico malevolo, chiaramente, verrà bloccato.
Il traffico normale, invece, verrebbe reindirizzato alla corretta applicazione web.
Perché usare i WAF: i vantaggi dei Web Application Firewall
I vantaggi offerti dall’utilizzo di un WAF sono:
- capacità di filtraggio del traffico malevolo su HTTP e HTTPS (porte 80 e 443);
- possibilità di tuning delle policy;
- possibilità di generazione della reportistica sugli attacchi e di riscrittura delle firme;
- monitoraggio del corretto funzionamento di un’applicazione dopo averla profilata.
Il vantaggio principale della tecnologia WAF risiede, dunque, nella protezione dei nostri applicativi web.
Un’altra peculiarità dei WAF è il “virtual patching”, funzionalità che permette di inserire una patch ad una vulnerabilità alle nostre applicazioni, molto prima che riescano a farlo gli sviluppatori stessi.
Modelli di sicurezza implementati dal WAF
I WAF implementano 2 modelli di sicurezza: uno di sicurezza positivo ed uno di sicurezza analitico:
- Modello di sicurezza positivo: il modello di sicurezza positivo è l’unico in grado di fornire una protezione da zero day, grazie all’analisi comportamentale che viene effettuata sull’applicazione. Una volta profilato il tipo di comportamento corretto che l’applicazione deve seguire, è più facile individuare i comportamenti anomali.
- Modello di sicurezza analitico: il modello di sicurezza analitico si basa sull’analisi del contenuto del pacchetto attraverso l’utilizzo di firme presenti in un database per cercare una corrispondenza a un’attività malevola.
Generazioni dei WAF: WAF 1.0, 2.0, 3.0
Nella storia dei Web Application Firewall si riscontrano 3 generazioni:
- WAF 1.0, la prima generazione – individuazione di corrispondenze di pattern. Per determinare se fosse necessario o meno bloccare un determinato tipo di traffico, si utilizzavano due tipi di liste, le whitelist e le blacklist.
- WAF 2.0, la seconda generazione – whitelist automatiche. Dopo aver monitorato le applicazioni web che dovevano essere protette, veniva generata automaticamente una whitelist dei pattern e delle richieste che erano accettabili, ossia non ritenute pericolose. Ciononostante si rendeva sempre necessaria una review manuale delle whitelist generate, per non incorrere in troppi falsi positivi. La seconda generazione alleviava la fatica necessaria per realizzare da zero la whitelist nei WAF di prima generazione.
- WAF 3.0, la terza generazione – individuazione basata sulla logica. Nella terza generazione si combinano diverse tecniche, tra cui blacklisting, whitelisting e analisi dei pacchetti per individuare e categorizzare logicamente gli attacchi. In questo modo il numero di falsi positivi è enormemente ridotto e c’è la possibilità di rivelare con più facilità la presenza di attacchi caratteristici che provano a bypassare le firme presenti sul WAF.
Perché è importante aggiornare i WAF
Ogni giorno si affacciano sul web nuove vulnerabilità che possono potenzialmente compromettere gli asset aziendali; di conseguenza si ritiene fondamentale il continuo monitoraggio e aggiornamento di firme.
È fondamentale avere sempre una fonte attendibile da cui è possibile ricevere aggiornamenti delle vulnerabilità esistenti.
WAF ed il Cloud
Il cloud è un paradigma informatico che si focalizza sull’erogazione di servizi tramite internet. Le risorse necessarie alla fruizione del servizio vengono fornite dal venditore del servizio e il client non dovrà fare altro che installare la sua applicazione ed utilizzarla.
Nel mercato corrente esistono diverse soluzioni WAF cloud, tutte consistenti nell’erogazione del servizio di monitoraggio delle applicazioni web. La più nota è probabilmente la soluzione “Incapsula“, fornita da Imperva, che consente, tramite una comoda interfaccia grafica, di proteggere il nostro applicativo dai più comuni attacchi informatici. Nel Magic Quadrant 2018 di Gartner dedicato alle soluzioni WAF, Imperva viene posizionato nel quadrante dei leader.
Il vantaggio principale di Incapsula è la totale assenza dei costi di gestione e della gestione stessa dell’hardware che rimane a carico del fornitore.
Per approfondire:
Redatto da Giovanni Liber