O WAF não é mais suficiente: explorando os quatro pilares da segurança da Web para a AWS

No cenário digital atual, a segurança na Web é de extrema importância para as empresas que dependem de aplicativos da Web para atender aos clientes e gerar receita.

Web Application Firewalls (WAFs) há muito tempo são a principal solução de segurança para proteger aplicativos da Web contra ataques mal-intencionados. No entanto, o atual cenário de ameaças em evolução exige uma abordagem mais abrangente. Embora os WAFs se destaquem na inspeção e filtragem de solicitações HTTP hostis, eles podem não ser eficazes contra ataques mais sofisticados e direcionados. Para garantir a segurança total da Web, são necessárias medidas adicionais para complementar os recursos de um WAF.

Neste artigo, discutimos os quatro pilares da segurança robusta da Web, indo além do WAF para incluir proteção contra DDoS, segurança de API e gerenciamento de bots. Exploramos os pontos fortes e fracos de cada um, o que demonstrará por que uma estratégia robusta inclui todos os quatro.

Visão geral do conteúdo

• Usando a AWS como exemplo
• Pilar 1: Web Application Firewall (WAF)
• Pilar 2: Proteção DDoS
• Pilar 3: segurança da API
• Pilar 4: gerenciamento de bots

Usando a AWS como exemplo

Para ilustrar os conceitos deste artigo, vamos nos concentrar em organizações que usam Amazon Web Services (AWS) , embora os mesmos conceitos também se apliquem a Google Cloud e Microsoft Azure .

Pilar 1: Web Application Firewall (WAF)

Por que é importante: conforme observado acima, um WAF é um componente crítico da segurança da Web, projetado para inspecionar e filtrar o tráfego HTTP/HTTPS para identificar e bloquear solicitações maliciosas. Os WAFs desempenham um papel crucial na proteção contra ataques comuns de aplicativos da Web, como injeção de SQL e script entre sites (XSS).

Disponibilidade na AWS: a Amazon oferece um serviço WAF nativo (AWS WAF), que permite que as organizações criem regras e políticas personalizadas para a segurança da camada de aplicativos. Muitos WAFs de terceiros também podem ser usados para filtrar solicitações de entrada para cargas de trabalho da AWS; alguns deles podem até ser executados nativamente em ambientes da AWS.

Por que não é suficiente: embora o AWS WAF forneça uma base sólida para a segurança de aplicativos da web, ele tem certas limitações. Primeiro, ele se concentra principalmente em padrões de ataque conhecidos, o que significa que pode não ser eficaz contra ataques de dia zero ou ameaças emergentes. Em segundo lugar, os WAFs são projetados para identificar ameaças com base em solicitações hostis, mas muitos tipos de ataques são baseados em solicitações que parecem benignas. Em terceiro lugar, como acontece com muitos WAFs, o AWS WAF exige que os usuários criem e mantenham suas próprias políticas de segurança e conjuntos de regras, o que pode ser desafiador.

Lidando com suas limitações: as organizações devem considerar aumentar o AWS WAF com medidas de segurança adicionais (além dos outros pilares descritos abaixo). Alguns WAFs de terceiros integram feeds de inteligência de ameaças que podem fornecer dados de ameaças em tempo real e mecanismos de defesa proativos. Isso permite que as organizações fiquem à frente das ameaças emergentes e fortaleçam suas defesas contra vetores de ataque em evolução.

Além disso, a implementação de análise comportamental avançada e algoritmos de aprendizado de máquina pode aprimorar os recursos do WAF, detectando anomalias e identificando novos padrões de ataque. Aproveitando essas tecnologias, as organizações podem melhorar a precisão e a eficácia de seu WAF, reforçando assim a segurança geral de seus aplicativos da web.

Por fim, alguns WAFs de terceiros estão disponíveis como soluções de firewall de aplicativo da Web totalmente gerenciadas. Isso isenta as organizações clientes da responsabilidade de criar e manter suas próprias políticas de segurança (o que requer muito tempo e experiência), porque o fornecedor faz isso por elas.

Pilar 2: Proteção DDoS

Por que é importante: __Ataques distribuídos de negação de serviço (DDoS) __representam uma ameaça significativa a aplicativos da Web, com o potencial de sobrecarregar servidores e interromper a disponibilidade do serviço. A extorsão de DDoS é uma tática popular entre os hackers e pode ser especialmente eficaz (para os invasores) durante os períodos em que as vítimas normalmente receberiam grandes volumes de tráfego e receita.

Disponibilidade na AWS: a AWS fornece proteção DDoS integrada por meio do AWS Shield, que protege contra os ataques volumétricos mais comuns e em grande escala.

Por que não é suficiente: o AWS Shield Standard é gratuito, mas não oferece proteção total contra DDoS (por exemplo, não protege contra ataques da camada 7). A maioria das organizações precisará comprar o AWS Shield Advanced, mas pode ser caro (com uma taxa básica de US$ 3.000 por mês, mais taxas de dados e um compromisso de um ano). Mesmo assim, ele tem problemas para proteger APIs e, exceto para zonas hospedadas no AWS Route 53, o AWS Shield não protege recursos em implantações híbridas/de várias nuvens.

Por fim, o AWS Shield destina-se a mitigar ataques volumétricos diretos. Ele não foi projetado para se defender de táticas mais sofisticadas, como ataques yo-yo DDoS, que são projetados para infligir o máximo de dano financeiro à vítima, minimizando os recursos gastos pelo invasor.

Lidando com suas limitações: as organizações podem considerar aumentar ou substituir o AWS Shield por uma solução de mitigação de DDoS que utiliza algoritmos avançados de detecção e análise de tráfego. Essas soluções fornecem monitoramento e mitigação em tempo real, permitindo identificação proativa e neutralização de ameaças DDoS em evolução. Eles geralmente têm estruturas de custo mais baixo (especialmente as soluções completas que incluem proteção DDoS como parte de uma plataforma abrangente) e a maioria oferece suporte a arquiteturas híbridas e multinuvem.

Além disso, como foi discutido acima, uma solução totalmente gerenciada pode ser útil para derrotar ataques sofisticados, como ioiôs orquestrados por humanos, esgotamento de recursos (uma tática que pode ser usada contra servidores sem servidor) e outras estratégias, porque a equipe de segurança do fornecedor monitorar e responder aos incidentes à medida que eles ocorrem.

Pilar 3: segurança da API

Por que é importante: as APIs se tornaram um componente crucial para a integração perfeita e a troca de dados por vários motivos, incluindo a popularidade da computação em nuvem, a prevalência de arquiteturas de microsserviços, o número crescente de aplicativos móveis e outros. À medida que o tráfego de APIs cresce, proteger as APIs contra atividades hostis tornou-se de vital importância.

Disponibilidade na AWS: a AWS oferece serviços como AWS Identity and Access Management (IAM) e Amazon API Gateway. O IAM permite que as organizações gerenciem o acesso aos recursos da AWS, enquanto o API Gateway fornece recursos de autenticação, autorização e gerenciamento de tráfego.

Por que não é suficiente : para proteger suas APIs, espera-se que os usuários da AWS usem o AWS WAF junto com o API Gateway. Isso significa que as limitações do AWS WAF também se aplicam à segurança da API. Na verdade, existem mais limitações quando usadas neste contexto. Por exemplo, em determinadas situações, o AWS WAF usa desafios de navegador e CAPTCHAs para verificar as solicitações recebidas, mas eles não podem ser aplicados ao tráfego da API.

Lidando com suas limitações: os usuários da AWS podem aumentar os recursos de segurança nativos da AWS com outras ferramentas. Algumas soluções de segurança de terceiros incluem recursos abrangentes para proteger o tráfego da API com a mesma eficácia do tráfego de aplicativos da Web, não apenas para filtrar solicitações hostis, mas também em capacidades relacionadas, como controles de acesso granular e visibilidade e registro de tráfego abrangentes. Alguns vão ainda mais longe e aproveitam as oportunidades para proteção adicional em determinadas situações, por exemplo, fornecendo um SDK para adicionar reforço extra ao tráfego de aplicativos móveis.

Pilar 4: gerenciamento de bots

Por que é importante: a prevalência de bots na Web representa um desafio significativo para as organizações. Enquanto alguns bots atendem a propósitos legítimos, outros são implantados para atividades maliciosas, como controle de contas, extração de conteúdo e preenchimento de credenciais. Em média, cerca de 38% do tráfego total da web consiste em bots hostis.

As tecnologias tradicionais de segurança da Web, como WAFs, não são projetadas para detectar bots hostis, pois a maioria das formas de tráfego automatizado se disfarça de usuários legítimos. Normalmente, as solicitações individuais parecem benignas (e, portanto, evitam a filtragem). Seus objetivos maliciosos só se manifestam em suas ações coletivas. Por exemplo, bots de negação de estoque parecem ser clientes legítimos realizando atividades de compras; no entanto, esses “clientes” nunca compram nada. Em vez disso, eles realizam ações que tornam o estoque indisponível para clientes legítimos (como colocar itens em carrinhos de compras, concluir as etapas iniciais de reservas de viagens etc., mas nunca consumar as transações).

Disponibilidade na AWS: a Amazon oferece o AWS WAF Bot Control, um conjunto de regras gerenciadas para o AWS WAF.

Por que não é suficiente : como complemento do AWS WAF, o Bot Control inclui as mesmas limitações mencionadas acima. No entanto, essas questões são ampliadas ao tentar excluir bots hostis de aplicativos da web e APIs, porque, entre todas as formas de ataque na web, as mais complexas e sofisticadas são frequentemente realizadas por bots. Por exemplo, a falta de precisão nos recursos de limitação de taxa da AWS dificulta o bloqueio completo de bots que executam preenchimento de credenciais e outras formas de ataques ATO (aquisição de conta). A visibilidade incompleta ou atrasada do tráfego pode impedir que os clientes entendam completamente a atividade do bot em suas propriedades da web ou de ajustar as políticas de segurança para reduzir os alarmes falsos negativos e falsos positivos. Ter que escrever e manter políticas de segurança complicadas aumenta o potencial de erro. E assim por diante.

Em seguida, usar o Bot Control cria cobranças de uso adicionais. Quando combinado com o custo do AWS WAF, AWS Shield Advanced, AWS API Gateway etc., os clientes podem enfrentar taxas mensais bastante altas.

Por fim, o nível básico (“Comum”) do AWS Bot Control depende de métodos simplistas para identificar o tráfego de bot (principalmente o User-Agent da solicitação e se o endereço IP está ou não na lista negra). Os agentes de ameaças podem escapar facilmente da detecção com base nesses critérios. Para obter uma melhor detecção de bot, as organizações clientes devem adquirir o nível superior (“Targeted Bots”), que custa ainda mais (mas ainda pode ter dificuldade em identificar a última geração de bots evasivos).

Lidando com suas limitações: em geral, a mitigação de bots hostis pode ser o aspecto mais desafiador para manter uma postura de segurança robusta. Assim, dos quatro pilares discutidos neste artigo, este é o mais importante para superar as limitações inerentes às ferramentas nativas da AWS.

Muitas soluções de segurança da Web de terceiros incluem recursos de gerenciamento de bots que excedem os da Amazon Web Services. Isso não é surpreendente; A AWS está no negócio de vender acesso a recursos de nuvem e fornece ferramentas de segurança apenas para incentivar o consumo desses recursos. Por outro lado, os fornecedores de segurança da Web estão no negócio de criar soluções de segurança robustas e eficazes.

Ao avaliar as soluções WAAP (aplicativo da web e proteção de API) em termos de gerenciamento de bot, as principais considerações são aquelas que já foram discutidas acima. O melhor soluções de gerenciamento de bots permitirá que os clientes definam políticas de segurança com precisão, visualizem e controlem seu tráfego em tempo real com visibilidade total e aproveitem tecnologias poderosas, como aprendizado de máquina e análise comportamental.

Além disso, muitas organizações exigirão uma opção de gerenciamento completo, para que possam ter suas defesas de segurança cibernética configuradas e mantidas por uma equipe de profissionais de segurança, em vez de exigir que a equipe interna desempenhe essa função.

Conclusão

Embora um firewall de aplicativo da Web seja um componente crítico da segurança da Web, confiar apenas em um WAF não é mais suficiente no cenário de ameaças atual. Ao adotar os quatro pilares da segurança da Web – WAF, proteção contra DDoS, segurança de API e gerenciamento de bots – os usuários da AWS podem estabelecer uma defesa robusta e multicamadas contra uma ampla gama de ameaças.

\Embora a AWS forneça algumas ferramentas de segurança integradas, é crucial entender suas limitações e complementá-las com medidas de segurança externas adaptadas a ameaças específicas. Ao adotar essa abordagem abrangente, as organizações podem proteger com eficiência seus aplicativos web e APIs da AWS e reduzir os riscos no ambiente de ameaças moderno.