Massimo Romagnoli, Country Manager per l’Italia di Positive Technologies, descrive l’evoluzione della tecnologia WAF (Web Application Firewall) e i vantaggi che ne possono trarre le aziende
Quasi tutte le aziende utilizzano ogni giorno centinaia o addirittura migliaia di applicazioni di rete, web, mobile, ERP e client-server per gestire le proprie operazioni e ne vengono sviluppate di nuove quasi ogni giorno. Ad oggi è relativamente comune utilizzare firewall e sistemi di prevenzione delle intrusioni (intrusion prevention systems – IPS) per proteggere in maniera sicura le applicazioni aziendali. Ciononostante, gli aggressori sfruttano di continuo le vulnerabilità traendo vantaggio dagli errori nella logica delle applicazioni.
Gli attacchi alle reti da Internet sono diventati negli ultimi 20 anni sempre più sofisticati e le soluzioni Intrusion Detection System/Intrusion Protection System (IDS/IPS) hanno mostrato ormai la loro età, infatti l’originalità ed interattività delle applicazioni web odierne rendono possibili attacchi invisibili e distruttivi. Molte violazioni di reti aziendali sono proprio il risultato di vulnerabilità delle applicazioni web, anche in aziende che usano tradizionali tool di sicurezza. Ciò ha portato allo sviluppo di un nuovo tipo di soluzione specializzata: la tecnologia WAF.
WAF, acronimo di Web Application Firewall, descrive un servizio di firewall che permette di aumentare la protezione delle proprie applicazioni web e difendersi adeguatamente da diversi tipi di attacchi informatici, proteggendo in maniera sicura i propri dati.
La tecnologia WAF è stata introdotta verso la fine degli anni ’90 con set di regole base e successivamente si è evoluta in potenti apparecchi in grado di analizzare il traffico e di mantenere modelli statistici sulla base di campioni normali di utilizzo.
I Web Application Firewall costituiscono un’arma vincente per la sicurezza dei propri dati personali: i firewall individuano ed isolano potenziali attacchi senza appesantire i dispositivi su cui i software vengono installati e senza andare a discapito della velocità della rete. I firewall monitorano e offrono un servizio di reportistica integrale per sapere sempre qual è la sicurezza delle proprie applicazioni web: gli utenti possono così monitorare costantemente l’andamento del traffico della rete e intervenire tempestivamente in caso di attacchi.
La prima generazione di protezioni di applicazioni web, chiamata WAF 1.0, si caratterizzava per due principali innovazioni sugli IDS/IPS: l’uso di attributi HTTP e conversion of data prior to analysis. Queste soluzioni utilizzavano un approccio signature-based ed erano orientate alla protezione degli attacchi a server.
Le tecnologie Web 2.0, AJAX e la crescita esplosiva del numero di applicazioni web critiche hanno portato in seguito allo sviluppo della tecnologia WAF 2.0. La complessità e il grande numero di applicazioni web hanno reso obsoleto il classico approccio signature-based. Il numero di riscontri false-positive era ad un certo punto troppo grande per essere gestito e vennero così introdotti metodi di dynamic profiling. Nella seconda generazione WAF vi erano inoltre metodi per la protezione dagli attacchi per gli utenti.
Per eludere la signature analysis, gli hacker hanno in seguito puntato la loro attenzione alle vulnerabilità zero-day. Sono stati così creati Application Firewall in grado di utilizzare traffico misto, buono e cattivo, per apprendere, proteggere e prevenire tentativi di bypass: si tratta della tecnologia WAF 3.0. Invece di attendere che un attacco si verifichi, è importante che chi si difende aumenti proattivamente la sicurezza delle applicazioni web utilizzando un sistema di protezione che localizzi e identifichi le vulnerabilità. Ma i firewall delle precedenti generazioni non erano in grado di fare ciò. Le soluzioni WAF di terza generazione aumentavano le protezioni e implementano il controllo dell’utente, in grado di tracciare e ricostruire la catena di eventi di una particolare sessione.
Come già sostenuto, la tecnologia WAF allunga il ciclo di vita dei software di sicurezza e chiude vulnerabilità che potrebbero derivare dall’ambiente operativo – ad esempio dopo l’aggiornamento di un web server. Supporti per la gestione di un gran numero di WAF e open API riducono i costi a data center e servizi cloud. Grazie all’integrazione con sistemi antifrode per prevenire il furto di dati e le frodi di utenti, è stata sviluppata una più moderna tecnologia WAF, WAF 360º, che aiuta le organizzazioni a gestire i rischi legati agli utenti, senza bisogno di modificare le proprie applicazioni web. Grazie a queste tecnologie ampiamente avanzate, gli Application Firewall moderni sono assolutamente in grado di affrontare tutti i punti deboli della sicurezza e realizzare una protezione delle applicazioni realmente esauriente e completa.
Per capire quanto è importante proteggere le proprie applicazioni basti pensare all’azienda inglese TalkTalk che nell’ottobre del 2015 è stata vittima di un attacco che ha rubato informazioni personali e dati di carte di credito a più di 150.000 clienti. L’attacco è costato all’azienda 42 milioni di sterline e ha causato perdite agli azionisti per 60 milioni, circa 100.000 clienti lasciarono l’azienda. Secondo il Data Breach Investigations Report di Verizon, le vulnerabilità delle applicazioni web sono state nello stesso anno le maggiori cause di violazioni.
Le applicazioni moderne, integrando un gran numero di interazioni client–server, sono enormemente complesse ed è quindi essenziale che siano protette tutte le connessioni tra i sistemi applicativi e i vari componenti. La tecnologia WAF è fondamentale nell’identificare dati non autorizzati o dolosi, per aumentare la protezione delle proprie applicazioni web e difendersi adeguatamente da numerose tipologie di attacchi informatici.