Cos’è WAF? (WEB APPLICATION FIREWALL)
WAF protegge sostanzialmente le applicazioni, le API e i server dal traffico Internet dannoso per prevenire violazioni dei dati. Filtra e monitora istantaneamente il traffico in entrata e in uscita proteggendo le applicazioni da visitatori malintenzionati.
Criminali informatici sono una delle maggiori minacce alle applicazioni web, poiché sviluppano e utilizzano tecniche sempre più sofisticate per colpire potenziali vulnerabilità. In generale, WAF è un tipo di firewall che ispeziona il traffico in entrata ed in uscita dalla rete aziendale per bloccare e prevenire gli attacchi.
Oggi, l’utilizzo di WAF sta diventando sempre più importante di fronte a sofisticati attacchi informatici che scoprono e sfruttano le vulnerabilità del codice. Inoltre, man mano che le applicazioni diventano più complesse, diventano più dipendenti da un sistema in grado di analizzare, scoprire e mitigare i problemi nel traffico HTTP e HTTPS.
Come funziona WAF
La sicurezza WAF funziona come un proxy inverso che si trova sopra un’applicazione per migliorarne le prestazioni e proteggerla dal traffico dannoso. Esistono vari tipi di WAF. A seconda della topologia della rete dell’organizzazione, possiamo diversificare in servizi cloud, dispositivi hardware o moduli software.
WAF prende di mira tipi specifici di traffico e attacchi. Lo fa lavorando con policy che consigliano tipi di traffico e comportamento, potenziali scappatoie, problemi di bilanciamento del carico e vulnerabilità note a cui prestare attenzione. Quando viene rilevata un’attività o un comportamento dannoso, WAF monitora una serie predeterminata di azioni successive per contrastare o prevenire un attacco.
WAF esegue anche la scansione delle reti alla ricerca di richieste HTTP che sembrano fuori dall’ordinario. Bloccherà immediatamente bot o malware potenzialmente dannosi o il traffico che considera fraudolento. WAF aiuta a proteggere le aziende da un’ampia gamma di minacce alla sicurezza avanzate come:
- Attacchi XSS (cross-site scripting): un attacco XSS prevede in un utente malintenzionato sfruttare le falle nella sicurezza del sito web.
- Attacchi malware: uno dei tipi più comuni di attacchi è il malware. Gli aggressori sfruttano le vulnerabilità o lanciano attacchi come il phishing per infettare i siti Web con ransomware e spyware.
- Attacchi SQL injection: questi attacchi vengono effettuati contro i moduli di siti Web, come moduli di contatto e di invio. L’aggressore inserisce codici SQL dannosi nei campi compilati dall’utente, il che consente loro di accedere al back-end del sito web e rubare i dati.
- Attacchi zero-day: questi attacchi prendono di mira anche il codice vulnerabile in un’applicazione. Tuttavia, accade così rapidamente che un’organizzazione non è a conoscenza dell’esistenza del problema. Le persone malintenzionate cercano potenziali vulnerabilità, quindi lanciano attacchi per sfruttare questa scappatoia e ottenere l’accesso ai dati e alle risorse dell’azienda. Gli attacchi zero-day spesso non vengono rilevati per mesi o addirittura anni sui sistemi aziendali.
WAF eseguirà anche la scansione delle vulnerabilità che un hacker potrebbe sfruttare. Quando ne scopre uno, impedisce automaticamente ai potenziali hacker di trovarli e si concentra sulla risoluzione immediata del problema.
Di conseguenza, gli strumenti WAF devono essere sempre aggiornati in modo da poter rilevare le vulnerabilità e prevenire minacce emergenti e precedentemente sconosciute.
Poiché WAF è in grado di riconoscere il traffico legittimo, può essere utilizzato anche per scoprire i punti deboli nelle difese di sicurezza di un’organizzazione. Può scoprire e correggere le vulnerabilità esistenti ed eseguire test di sicurezza sulle applicazioni delle organizzazioni.
Protezione DDoS
Un attacco DDoS si verifica quando un hacker utilizza botnet per inviare enormi quantità di traffico e più richieste alla propria destinazione, consumando tutte le risorse di un’organizzazione e rendendo vulnerabili le difese di sicurezza. WAF aiuta a prevenire gli attacchi DDoS identificando i sintomi delle botnet e bloccando le loro richieste, mantenendo i sistemi in esecuzione normalmente.
