Si chiama WAF, è l’acronimo di Web Application Firewall e il suo significato sta a indicare una tecnologia che aumenta la protezione delle applicazioni web aziendali e aiuta le organizzazioni a difendersi adeguatamente da diversi tipi di attacchi informatici, proteggendo in maniera sicura i dati.
L’ultima generazione, denominata WAF 3.0, grazie a una specializzazione nella protezione delle applicazioni è diventata molto interessante anche per chi si trova a dover gestire ambienti in cloud, tipicamente basati su un approccio software-defined.
Come funziona un WAF? In estrema sintesi, tra una rete geografica e una rete locale si mette un firewall, ovvero un componente che, come un muro ideale, offre una difesa perimetrale che consente di controllare gli accessi alle risorse di un sistema, filtrando tutto il traffico che viene scambiato tra l’ambiente interno e il mondo esterno. La specializzazione nelle Web Application viene dal fato che i WAF funzionano intercettando e analizzando il traffico HTTP.
Un WAF può implementare un modello di sicurezza positivo, tale da consentire il passaggio delle sole transazioni valide, oppure analitico: i messaggi possono essere intercettati ed analizzati alla ricerca di azioni o contenuti potenzialmente nocivi, in genere raffrontandoli con database di policy, di firme, di black/white list. Un punto importante è che l’attuazione delle policy in un WAF dipende spesso dal tipo di progettazione utilizzato per realizzare l’applicazione e impone un aggiornamento nel tempo.
Indice degli argomenti
Caratteristiche ed evoluzione della tecnologia WAF
“Quasi tutte le aziende – racconta Massimo Romagnoli, Country Manager per l’Italia di Positive Technologies – utilizzano ogni giorno centinaia o addirittura migliaia di applicazioni di rete, web, mobile, ERP e client-server per gestire le proprie operazioni e ne vengono sviluppate di nuove quasi ogni giorno. Ad oggi è relativamente comune utilizzare firewall e sistemi di prevenzione delle intrusioni (intrusion prevention systems – IPS) per proteggere in maniera sicura le applicazioni aziendali. Ciononostante, gli aggressori sfruttano di continuo le vulnerabilità traendo vantaggio dagli errori nella logica delle applicazioni. I firewall individuano ed isolano potenziali attacchi senza appesantire i dispositivi su cui i software vengono installati e senza andare a discapito della velocità della rete. Il loro compito è di monitorare e offrire un servizio di reportistica integrale, tale da permettere di conoscere in maniera dettagliata il livello di sicurezza delle applicazioni web in uso. Gli utenti possono così controllare costantemente l’andamento del traffico della rete e intervenire tempestivamente in caso di attacchi”.
WAF: tra passato, presente e futuro
La tecnologia WAF è stata introdotta verso la fine degli anni ’90 con set di regole base e successivamente si è evoluta in potenti apparecchi in grado di analizzare il traffico e di mantenere modelli statistici sulla base di campioni normali di utilizzo.
WAF 1.0 La prima generazione di protezioni di applicazioni web, chiamata WAF 1.0, si caratterizzava per due principali innovazioni sugli IDS/IPS: l’uso di attributi HTTP e conversion of data prior to analysis. Queste soluzioni non avevano molta intelligenza a bordo: utilizzavano un approccio signature-based ed erano orientate alla protezione degli attacchi a server.
WAF 2.0 La complessità e il grande numero di applicazioni web hanno reso obsoleto il classico approccio signature-based. Il numero di riscontri false-positive era ad un certo punto troppo grande per essere gestito e vennero così introdotti metodi di dynamic profiling. Le tecnologie Web 2.0, AJAX e la crescita esplosiva del numero di applicazioni web critiche hanno portato in seguito allo sviluppo della tecnologia WAF 2.0, che include metodi per la protezione dagli attacchi per gli utenti e un approccio alla sicurezza Layer 7. Posizionati nel mezzo del percorso delle transazioni, i WAF 2.0 sono in grado di comprendere i messaggi, la logica applicativa, i meccanismi di sicurezza come, ad esempio i cookie, riuscendo a individuare le tecniche più comunemente utilizzate per sfruttare le vulnerabilità di questo contesto.
WAF 3.0 Per eludere la signature analysis, gli hacker hanno in seguito puntato la loro attenzione alle vulnerabilità zero-day. Sono stati così creati Application Firewall in grado di utilizzare traffico misto, buono e cattivo, per apprendere, proteggere e prevenire tentativi di bypass: si tratta della tecnologia WAF a 360°. Invece di attendere che un attacco si verifichi, la nuova generazione di WAF difende proattivamente la sicurezza delle applicazioni web attivando un sistema di protezione che localizza e identifica le vulnerabilità, implementando un controllo dell’utente che traccia e ricostruisce la catena di eventi di una particolare sessione.
“Grazie all’integrazione con sistemi antifrode per prevenire il furto di dati e le frodi di utenti – concliude Romagnoli – oggi si parla di WAF 3.0 sempre più spesso perché sii tratta di una più moderna tecnologia WAF che segue un approccio a tutto tondo, aiutando le organizzazioni a gestire i rischi legati agli utenti, senza bisogno di modificare le proprie applicazioni web. Oggi, infatti, i Web Application Firewall costituiscono un’arma vincente per la sicurezza dei dati personali e allungano il ciclo di vita dei software, proteggendolo dalle vulnerabilità che potrebbero derivare dall’ambiente operativo come, ad esempio, dopo l’aggiornamento di un web server. Non a caso WAF e open API riducono i costi dei data center così come dei servizi in cloud”.
