I Web Application Firewall, o WAF, permettono di mantenere al sicuro le applicazioni Web da potenziali attacchi dannosi e da traffico Internet pericoloso e indesiderato.
Attraverso un WAF è possibile definire e gestire le regole per escludere e minimizzare l’impatto di minacce, come per esempio attacchi tramite bot, scripting, SQL injection, vulnerabilità e attività pericolose a livello di IP, HTTP e di stringa.
L’adozione di una simile architettura permette di proteggere le applicazioni Web e di raccogliere i log di accesso per la conformità e l’analisi. È così possibile mettere al sicuro le applicazioni distribuite nel cloud pubblico, on-premise e in ambienti multicloud, adottando controlli di accesso basati sui dati di geolocalizzazione, sulla lista di inclusione e sugli indirizzi IP in blacklist.
Come funziona un Web Application Firewall?
I criteri di funzionamento di un WAF prevedono la configurazione generale dei servizi, incluse le funzioni di gestione dell’origine, delle regole di protezione e di rilevamento dei bot. Tali regole possono essere definite per consentire, bloccare o registrare le richieste di rete quando soddisfano i criteri specificati. L’architettura del sistema è progettata per una capacità di intervento proattivo: WAF osserva il traffico verso una determinata applicazione Web ed è in grado di suggerire nuove regole da applicare, a fronte di una analisi permanente, effettuata in un dato periodo.
Un Web Application Firewall adotta algoritmi di instradamento del traffico basati su DNS che tengono conto della latenza utente di migliaia di posizioni globali per determinare i percorsi con latenza più bassa.
WAF sfrutta un DNS (Domain Name System) intelligente e algoritmi basati sui dati, in grado di determinare il miglior punto di presenza globale (POP) per servire un determinato utente in tempo reale. Di conseguenza, gli utenti sono instradati in base ai possibili problemi o interruzioni della rete globale e alla latenza, limitando potenziali disservizi.
La configurazione di questi apparati è altamente flessibile e si adatta alle esigenze operative dell’impresa. Per esempio, è possibile definire servizi ad alta disponibilità, aggiungendo più server di origine. In tal modo, nel caso i server primari siano offline è possibile appoggiarsi su server secondari, limitando così gli effetti dannosi di un attacco e mantenendo un’elevata qualità del servizio.
Un WAF offre monitoraggio e report puntuali e permette ai team security di emettere e scalare i ticket in base all’urgenza.
Un WAF cloud-based supporta differenti ambienti di hosting di applicazioni Web (on-premise, cloud, ibridi e multi-cloud) e può proteggere il perimetro della rete dal traffico dannoso, indipendentemente dal numero di provider utilizzati.
La gestione 24/7 dei Web Application Firewall è affidata a SOC e team di esperti in sicurezza; personale qualificato in grado di monitorare gli ambienti di produzione e di consigliare gli opportuni passaggi per mitigare le minacce.
Il monitoraggio continuo protegge le organizzazioni da tempi di inattività non pianificati e dai potenziali danni di reputazione del brand.
I bot, monitoraggio e protezione
Oggi i bot hanno differenti funzioni e utilizzi, dai motori di ricerca all’analisi, dal monitoraggio alla verifica delle applicazioni.
Tuttavia, criminali e malintenzionati sviluppano bot progettati per eseguire attività dannose. Tra questi, gli scraper di base, che cercano di ottenere dati da un’applicazione, per arrivare ai bot persistenti avanzati, capaci di comportarsi quasi come esseri umani nel tentativo di eludere il rilevamento. I ricercatori di Barracuda monitorano da diversi anni i bot su Internet e il loro effetto sulle applicazioni e, analizzando i modelli di traffico per i primi sei mesi del 2023, hanno identificato diverse tendenze.
Da gennaio a giugno 2023, i bot hanno rappresentato quasi il 50% del traffico Internet, mentre i bot dannosi erano il 30% del traffico. Si tratta di un dato in calo rispetto al 2021, quando la ricerca di Barracuda aveva rilevato una percentuale del 39% del traffico Internet.
Gli Stati Uniti sono il Paese di origine di quasi tre quarti (72%) del traffico di bot dannosi. Le successive quattro regioni sono gli Emirati Arabi Uniti (12%), l’Arabia Saudita (6%), il Qatar (5%) e l’India (5%).
I ricercatori di Barracuda hanno anche rilevato una quantità significativa di traffico di bot dannosi (33%) proveniente da indirizzi IP residenziali. Ciò è dovuto al fatto che i creatori di bot stanno cercando di occultarsi nel traffico residenziale, utilizzando l’indirizzo IP di qualcun altro tramite proxy per cercare di aggirare i blocchi IP.
Nel tempo, i gruppi criminali artefici delle minacce bot più estese si stanno evolvendo, diventando più sofisticati e causando gravi danni. I bot stanno diventando sempre più intelligenti e, di conseguenza, gli attacchi di acquisizione degli account, compresi gli attacchi contro le API, sono in aumento.
Difese efficaci contro i bot
Quando si tratta di proteggersi dagli attacchi bot, le organizzazioni possono trovarsi in difficoltà per via delle numerose soluzioni necessarie. Tuttavia, grazie ai WAF è possibile consolidare la security aziendale in modo lineare e senza incrementare la complessità di rete.
Il primo passaggio per innalzare le difese riguarda l’installazione e l’opportuna configurazione di Web Application Firewall o di una soluzione WAF-as-a-Service. Tale architettura deve includere una protezione anti-bot, così da poter rilevare e bloccare efficacemente gli attacchi automatizzati avanzati. Le soluzioni più moderne sfruttano inoltre algoritmi per l’apprendimento automatico: è così possibile individuare e fermare gli attacchi bot più complessi.
In altri casi, la soluzione di gestione bot può utilizzare tecniche di rilevamento come il limite di frequenza degli IP, CAPTCHA, la gestione delle impronte digitali dei dispositivi e test mirati per verificare una reale interazione umana. Il framework WAF, allo stesso tempo, consente al traffico bot legittimo da Google, Facebook e altri, di continuare ad accedere alle applicazioni Web.
Perché installare un WAF?
Il numero crescente di API e il loro accesso diretto a dati di alto valore le rende un obiettivo primario per gli aggressori e questo rischio non potrà che aumentare con la comparsa di più applicazioni basate su API. La ricerca Barracuda ha rilevato che poco meno di due terzi (63%) dei professionisti IT hanno problemi di sicurezza durante l’implementazione delle API e il 44% teme di non sapere dove vengono distribuite o utilizzate tutte le API.
Il passaggio fondamentale per proteggere le applicazioni basate su API è la visibilità. Visibilità di tutte le API sulla rete e sugli endpoint, indipendentemente dal fatto che siano interne o esterne, attive o dormienti. Una soluzione di sicurezza delle applicazioni web che include l’individuazione di API basate sull’apprendimento automatico è ideale per individuare e proteggere le API Zombie e Shadow non documentate.
I Web Application Firewall e le soluzioni WAF-as-a-Service consentono di innalzare sensibilmente la sicurezza delle applicazioni e dell’azienda.
Offrono infatti protezione contro gli attacchi basati sul Web e sono progettati per difendersi dai comuni attacchi alle applicazioni Web. Impiegano varie tecniche come il rilevamento basato sulle firme, l’analisi comportamentale e il rilevamento delle anomalie per identificare e bloccare il traffico dannoso.
Non solo, queste soluzioni consentono di applicare criteri di sicurezza specifici dell’applicazione, come per esempio, regole per il controllo degli accessi, la convalida dell’input, il filtro URL e altro ancora. I WAF possono anche fornire un controllo granulare sull’autenticazione e l’autorizzazione dell’utente.
I WAF garantiscono intelligence sulle minacce in tempo reale, scalabilità e flessibilità di impiego. Questi sistemi aggiornano continuamente i propri database di intelligence sulle minacce per rimanere aggiornati con i modelli di attacco e le vulnerabilità più recenti. Ciò consente loro di rilevare e bloccare le minacce emergenti in tempo reale.
In aggiunta, WAF-as-a-Service offre gestione e manutenzione semplificate, così che le organizzazioni possano delegare le attività al fornitore di servizi. Ciò include aggiornamenti software, patch di sicurezza e monitoraggio. Consente alle organizzazioni di concentrarsi sulle loro attività aziendali principali, garantendo al contempo la sicurezza delle loro applicazioni web.
Non solo, con WAF-as-a-Service non occorrono investimenti hardware o software: le organizzazioni pagano una quota di abbonamento in base al loro utilizzo.
In sintesi: la sicurezza delle applicazioni è sempre più complessa. Barracuda rende tutto più semplice. Barracuda Web Application Firewall fa parte di Barracuda Cloud Application Protection, una piattaforma integrata che riunisce un set completo di soluzioni e funzionalità interoperabili per garantire la sicurezza completa delle applicazioni.
