Web Application Firewall: você ainda vai precisar de um

Postado em: 17 de julho de 2015 - Por: Marcio Fernandes

149601__man-suit-an-umbrella-the-information-flows_p_2

Se você ou sua empresa tem um site já deve ter pensado seriamente sobre segurança ou muito, provavelmente, já sofreu algum incidente relacionado. Porque não se trata mais de uma questão de “se” mas de “quando” ocorrerá algum evento dessa natureza.

Com a proliferação dos Content Management Systems (CMS), como WordPress, Joomla, Drupal, etc., que possuem código fonte aberto ao público (Open Source), diversos portais na Internet hoje são montados em bases comuns entre si.

Não é raro que um site seja desenvolvido a primeira vez sobre um CMS e nunca mais atualizado, ou seja, quando há uma vulnerabilidade conhecida, aqueles que não fizeram a atualização do sistema simplesmente são atacados, tendo seu conteúdo explorado.

Os prejuízos financeiro e de imagem para essas empresas são incalculáveis, sem falar quando a coisa não fica mais séria e impacta diretamente os clientes ou os provedores onde os sites estão hospedados, já que determinados tipos de injeções proliferam conteúdos maliciosos ou ataques.

Como resolver e cobrir 100% desse problema? A má notícia é que não existe resolução total e completa, mas sim, camadas adicionais de mitigação, aliada a ações de melhores práticas por parte do mantenedor ou desenvolvedor dos sites.

O WAF (Web Application Firewall) é uma proteção a mais localizada entre o visitante (ou atacante) e o servidor de hospedagem. O acesso passa primeiro pelo WAF e é analisado por ele e, caso não seja “compreendido” como um possível ataque, é entregue ao web server que exibirá aquele conteúdo.

Web Application Firewall funcionamento

Fonte: sucuri.net

Além da prevenção em termos de código e aplicação, um serviço ou appliance de WAF deve preferencialmente prever suporte a ataques Distribuídos de Negação de Serviço (do inglês DDoS).

Existem diversos serviços de WAF na nuvem, alguns deles bem conhecidos e eficientes, como: Sucuri, CloudFlare, Incapsula, entre outros. Todos com valores bastante acessíveis e implantação praticamente indolor para seu site e servidor de hospedagem.

Lembre-se, o WAF não faz milagres – e não é sua intenção fazê-lo – desta forma não se esqueça de que ele funciona como uma camada de mitigação e, portanto, não resolverá todos os seus problemas. Sempre trabalhe no sentido de ter um código defensivo contra injeções de conteúdo (POSTs/GETs, SQL Injections, Cross Site Scripting, etc.) e mantenha seu CMS/Framework atualizado.

Avalie os riscos técnicos e estratégicos de seu negócio e caso haja viabilidade para implantação de um Web Application Firewall em seu budget, recomendo fortemente, afinal segurança e prevenção nunca são demais.

 

Leia também