אבטחה אפליקטיבית באמצעות מערכות WAF

אבטחה אפליקטיבית

סדרת מאמרי סייבר מקצועיים

רקע

במהלך השנים האחרונות רוב הארגונים הגדולים במשק השקיעו ושיפרו באופן משמעותי את רמת אבטחת המידע בהתאם לכפיפות לרגולציות שונות (הוראה 257 \ 35 7, PCI DSS, HIPAA ועוד).

הקשחת בקרות ויישום אפקטיבי של מערכות אבטחה שונות גרמו לירידה דרמטית באפקטיביות התקפות הסייבר על משאבי החברה.

אך עם זאת, בזמן שגופי IT ואבטחת מידע בחברה עסוקים ביישום והטמעת מערכות אבטחה ובניית מודלים לאבטחת המידע, האקרים בילו את זמנם בפיתוח טכניקות התקפה חדשות לניצול מה שנחשב ל"עקב אכילס" של הארגון וזו השכבה האפליקטיבית.

מחקרים שונים שבוצעו בתחום מציגים הצלחה מעשית של עד 75% בניצול חורי אבטחה ברמה האפליקטיבית לפני כניסת פתרונות אבטחה אפליקטיביים כגון מערכות WAF.

הצלחות ההאקרים בניצול פרצות אבטחה אפליקטיביות מבוססות על עקיפת מנגנוני האבטחה שיושמו בארגון כגון חסימת פרוטוקולים.

מערכות חומות אש מסורתיות מגינות על שרתי ה – Web באמצעות יצירת חוקים אשר חוסמים תעבורה לא רצויה ומאפשרים בדרך כלל גישה רק באמצעות פרוטוקול 80 ו – 443, אך לצערנו פה זה מסתכם.

מאחר ולחומות אש מסורתיות אין את היכולת לנתח מהן הפקודות שעוברות מצד משתמש הקצה לשרת – Web והאם הינן לגיטימיות או זדוניות.

פה נכנס פתרון חומת אש אפליקטיבית (Web Application Firewall).

מערכות WAF מנתחות תעבורת HTTP ברובד האפליקטיבי לצורך ניתוח אופי וסוג הפקודות שמשתמשי הקצה מספקים לבקשה לפני העברתו לשרת ה – Web.

ניתוח המידע יכול להתבסס על חתימות (Signatures) של התקפות מוכרות או על בסיס חריגות בתעבורה לפי פרופיל ההגנה שיושם במערכת.

ברגע שארגון מחליט להטמיע מערכת WAF עליו לקחת בחשבון כמה מרכיבים חשובים ביצירת חוקי בסיס להגנה על שרתי ה – Web.

ארכיטקטורת הרשת

הכרת ארכיטקטורת רשת הארגון חשובה מאד לפני הטמעת ה – WAF, מאחר ויישום חוקי האבטחה מתבסס על הצרכים הייחודיים של הארגון והמערכת ויכול לשפר את אפקטיביות האבטחה באופן דרמטי.

לדוגמה: אם בארגון קיימים אתרים נוספים אשר רק באתר אחד ישנה אפשרות להעלאת קבצים על ידי משתמש הקצה, אזי ניתן ליצור חוק שיחסום את פקודת ה – PUT מכלל האתרים פרט לאתר בו קיימת אפשרות זו.

הרצת ההגנה במצב פסיבי (Passive Mode)

סקירת חוקיות הפרופיל שיושם מצריכה הרצה מקדמית אשר באמצעות אסטרטגיה זו ה – WAF בוחן את התעבורה בהתבסס על החוקיות שהוגדרה במערכת ללא חסימה.

לפני העברת המערכת למצב הגנתי אקטיבי (Active Mode), יש לבחון את תעבורת המידע שמפרה את מדיניות האבטחה והחוקים שנוצרו במערכת.

לאחר מכן, הגורמים האחראיים על הטמעת המערכת נדרשים לכוונן את שיעור ה – False-Positive במהלך בחינת ההגנה במצב פסיבי לפני העברתו למצב הגנתי אקטיבי.

ניטור

בעת העברת המערכת למצב הגנתי אקטיבי, יש לנטר ולבחון את הלוגים של החסימות מאחר והם מספקים מידע מעניין אודות החוקיות שיושמה.

רישומי הפרת מדיניות וחסימת התקפות שקיימים בלוגים של המערכת יציגו בין השאר גם חסימות שהינן False-Positive אשר יאפשרו לכוון יתר על המידה את פרופיל ההגנה שהוגדר.