07/05/2018

Perchè il Web Application Firewall di F5 Networks è 'avanzato'


Condividi:

Conoscete già il WAF di F5 e desiderate seguire il webinar dedicato e dare risposta ad eventuali domande che potrete fare ai nostri esperti? Iscrivetevi qui!

ISCRIZIONE AL WEBINAR


Negli ultimi anni, la maggior parte delle tecnologie WAF è rimasta in gran parte invariata e paragonabile a sistemi di rilevamento passivo basati su filtro. I sistemi Web Application Firewall (WAF) applicano la conformità ai protocolli garantendo una richiesta "ben formata" e utilizzano signature per garantire che non vi siano contenuti dannosi noti e per bloccare potenziali attacchi. Nel tempo sono state aggiunte funzionalità per identificare la sessione e l'utente al fine di combattere attacchi di hijacking e brute force, e sono stati integrati feed di IP reputation per filtrare botnets, reti anonime e altre minacce. Queste sono, di nuovo, in gran parte tecnologie passive posizionate al perimetro del datacenter, con una capacità molto limitata di comunicare con l'end point.

Ci sono alcune cose che sappiamo sull'attuale panorama delle minacce:

  • La maggior parte delle minacce è di natura automatizzata. Gli aggressori automatizzano le scansioni per individuare le vulnerabilità. Gli attacchi DDoS (Distributed Denial of Service) sono completamente automatizzati per consentire di arrivare a volumi notevoli di traffico di dati, e l'automazione è complessa da rilevare perché spesso progettata per imitare il traffico lecito. Tecnologie come il CAPTCHA sono state utilizzate per rilevare le automazioni, ma questi metodi di verifica si rivelano inefficaci nel tempo e incidono sull'esperienza degli utenti legittimi.
  • Il riempimento di credenziali automatizzato (credential stuffing) è un tipo specifico di attacco che sfrutta miliardi di combinazioni di nome utente e password conosciute da precedenti violazioni. Secondo i recenti rapporti sulle minacce, l'uso di credenziali rubate è stato il tipo di attacco a livello applicazione più diffuso del 2017. Il riempimento delle credenziali è particolarmente difficile da rilevare perché queste richieste non solo sembrano normali ma vengono anche "rallentate" per evitare di essere classificate come attacchi "brute force" dalle contromisure adottate dalle organizzazioni.
  • Il malware è diffuso e viene utilizzato per sfruttare i punti deboli dei browser e degli utenti che gestiscono tali browser. Il malware sfrutta diversi vettori, dagli allegati e-mail ai link dannosi sui social media e negli annunci. Le macchine compromesse vengono utilizzate per attaccare altri siti Web per DDoS, portare a termine furti di dati e accumulare risorse. I metodi di rilevamento e mitigazione sono limitati, a meno che il client non sia gestito da un utente esperto.
  • Gli attacchi DDoS non sono solo di natura volumetrica. Molti attacchi sono progettati per causare l'esaurimento delle risorse a diversi livelli nello stack dell'applicazione (application server, middleware o il database). Rilevare queste condizioni può essere complesso poiché il traffico è conforme per la maggior parte dei controlli standard.

In poche parole, questi attacchi aggirano tutti i tradizionali meccanismi di rilevamento WAF poiché spesso non risultano come attività anomale. I meccanismi basati su IP reputation sono di efficacia limitata a causa della fonte pressoché inesauribile di obiettivi di facile compromissione, e le informazioni sull'indirizzo di origine cambiano troppo rapidamente perchè risulti efficace un feed di crowdsourcing nel combattere il livello di automazione tipico di questi vettori di attacco. Per combattere queste minacce è necessario quindi un firewall per applicazioni Web più avanzato.

La buona notizia è che la tecnologia Advanced WAF è già disponibile. F5 ha scoperto la tecnologia per il rilevamento di bot senza CAPTCHA circa dieci anni al fine di bloccare processi automatizzati di lettura dei prezzi dai siti ecommerce del settore retail, quando la protezione del Web Scraping è stata introdotta nel 2009. F5 ha progressivamente avanzato quella tecnologia e l'ha ampliata in quella che ora è conosciuta come difesa bot proattiva (Proactive Bot Defence), introdotta nel 2015. PBD consente l'interrogazione del client richiedente per verificare che sia presente un utente umano con un browser legittimo, una soluzione molto più efficace del metodo IP reputation.

Il Proactive Bot Defence, insieme ad altre funzionalità, rende F5 Advanced WAF una piattaforma di sicurezza applicativa estremamente evoluta per mitigare anche gli attacchi più sofisticati, ed è disponibile già da oggi sul mercato.

Se volete saperne di più, Mercoledì 30 Maggio alle ore 15 vi invitiamo a partecipare al Webinar IFInet "La Sicurezza applicativa avanzata in ambienti cloud eterogenei" in cui Paolo Arcagni, System Engineer Manager @ F5 Networks, illustrerà come rendere sicure e performanti le applicazioni in diversi scenari e architetture di rete. Vi aspettiamo!

 

ISCRIZIONE AL WEBINAR

 

Inviate domande, commenti e suggerimenti all'indirizzo info@ifinet.it o lasciate un messaggio usando la form alla pagina contatti del sito.


<< Indietro