Dall’avvento delle reti di computer, prima i firewall poi i WAF ci aiutano a proteggere i servizi web. L’Intelligenza Artificiale fa la sua parte, integrata nei dispositivi di tipo Web Application Firewall, per potenziare gli strumenti di analisi e velocizzate la risposta. Il mercato è in mano agli Stati Uniti ma qualcosa si muove anche in Europa ed in Italia. I WAF non sono soluzioni a tutti i problemi di sicurezza ma devono essere inseriti in una più complessa struttura di sicurezza.
Esistono strumenti di sicurezza progettati e realizzati appositamente per il web, tra questi vi sono i Web Application Firewall (WAF). Cerchiamo di capire di cosa si tratta e come funzionano.
Cos’è un WAF
Un Web Application Firewall è una applicazione di sicurezza che si occupa di proteggere le applicazioni web da attacchi malevoli e da traffico internet indesiderato. Con l’avvento e la diffusione delle reti di computer e con la scoperta delle loro vulnerabilità si realizzarono dei dispositivi di sicurezza chiamati firewall, questi si occupavano di fungere da prima linea di difesa proteggendo le risorse di rete, server, data base e file server. Con lo sviluppo del web divenne sempre più importante protegere anche le applicazioni e ciò determinò, all’inizio del 2000, la nascita e lo sviluppo dei Web Application Firewall.
Ma come funziona un Web Application Firewall?
Un WAF è uno strumento che analizza il traffico web in entrata e in uscita per individuare e bloccare eventuali attacchi informatici, come attacchi di tipo cross-site scripting (XSS), SQL injection (SQLi), Cross-Site Request Forgery (CSRF) e altri tipi di minacce. In linea di massima i WAF evolvono per adattarsi alle nuove minacce, per esempio alcuni sono in grado di intercettare correttamente anche attacchi di tipo SQL By-Pass. È inoltre capace di rilevare la presenza di vulnerabilità nelle applicazioni web, quali errori di programmazione o configurazione che potrebbero essere sfruttati dagli hacker per compromettere la sicurezza dell’applicazione. Può gestire e controllare gli accessi degli utenti ai servizi web, assicurandosi che solo coloro dotati dei diritti appropriati possano accedere e interagire con l’applicazione. Il WAF è capace di distinguere tra un utente umano ed uno strumento automatico e reagire in maniera adeguata alle azioni dell’utente o, se è il caso, dell’avversario. Esistono WAF di differenti tipi e tecnologie, sviluppati nel tempo e aventi caratteristiche anche molto diverse tra loro, sia per architettura generale sia per funzionalità disponibili e modalità di funzionamento. I primi WAF (ma molti ancora sono così) erano posizionati di fronte alle applicazioni da proteggere. In questo modo eseguivano il controllo del traffico e lo filtravano, facendo passare solo ciò che ritenevano fosse traffico lecito. Questa architettura chiaramente introduce dei ritardi nel processo dell’applicazione in quanto è necessario attendere i risultati delle analisi. Inoltre può causare dei problemi di interruzione del servizio qualora il WAF avesse dei problemi. Architetture più recenti analizzano una copia del traffico e intervengono solo dopo la rilevazione. Ciò elimina i ritardi introdotti dall’analisi ed elimina i rischi di interruzione per malfunzionamento del WAF. Esistono WAF che fanno uso di moderne tecnologie come l’Intelligenza Artificiale, per svolgere meglio e soprattutto più velocemente le loro funzioni. C’è da dire che il WAF puro è uno strumento che necessita di essere inserito in una più ampia e completa architettura di sicurezza in quanto è specializzato per le applicazioni web ma non è adatto per altri compiti.
Un occhio al mercato
Sul mercato mondiale, tra i WAF più quotati vi sono le soluzioni di Akamai (USA), Radware (USA), Cloudflare (USA), F5 (USA), Barracuda networks (USA) e naturalmente i grandi marchi quali AWS, Microsoft e Google. In pratica il mercato è in mano agli Stati Uniti d’America, ma esistono anche prodotti europei che anche se sono meno conosciuti non vuol dire che siano meno performanti. Interessante il prodotto della società francese .OGO che produce un WAF basato su un motore di intelligenza artificiale che si appoggia su tre principi:
– elevate performance, le operazioni di analisi svolte dal WAF non devono degradare la qualità del servizio che proteggono;
– adattabilità, deve essere possibile configurare manualmente il comportamento del motore per poter trattare tutti i casi che si dovessero presentare;
– facilità di comprensione, le decisioni prese dal motore devono essere documentate e comprensibili all’uomo.
E in Italia?
In Italia esiste un WAF chiamato Seer Box, sviluppato dalla società Pluribus One, spin-off del Dipartimento di Ingegneria Elettrica ed Elettronica dell’Università degli studi di Cagliari. In questo caso in realtà si tratta di qualcosa di più di un WAF, trattandosi di un Web Application Security manager. Seer Box riesce ad integrarsi con soluzioni di Application Security Testing per semplificare l’individuazione delle vulnerabilità e, nel caso degli scanner DAST (Dynamic Application Security Testing), di migliorare la capacità di rilevamento delle vulnerabilità degli scanner in media del 30% in scenari reali.
Tra le particolarità più apprezzate:
– velocità di installazione, l’inserimento nel sistema senza alcuna modifica dell’architettura da proteggere, gli consente di essere operativo in 45 – 50 minuti;
– elevate performance, come il prodotto francese, non introduce ritardi dovuti allo svolgimento delle sue funzioni di analisi;
– possibilità di ottimizzazione di regole e policy, per consentire i necessari adattamenti alle diverse architetture;
– possibilità di ispezionare e filtrare il traffico HTTP e integrazione di feed di Threat Intelligence, per seguire da vicino l’evolversi della minaccia;
– Asset Inventory Automatico, Seer Box possiede una funzionalità per l’asset inventory automatico, che gli consente di costruire e mantenere costantemente aggiornato l’elenco delle applicazioni e servizi da un lato e l’elenco dei server che provvedono all’erogazione di questi stessi;
– assistenza in lingua italiana (oltre che in inglese).
Indipendentemente dalla scelta del prodotto che si utilizza, è chiaro che se un CISO (Chief Information Security Officer) deve gestire la sicurezza informatica di un’azienda dotata di infrastrutture e siti web sulle quali basa il proprio core business (resa di servizi al cittadino, siti di e-commerce…), è opportuno che prenda in considerazione l’aggiunta di un prodotto WAF (o suoi derivati più recenti) nel proprio portafoglio di sicurezza.
L’evoluzione
La complessità del mondo digitale e la sua presenza in settori un tempo esclusivamente analogici fa si che occorra fronteggiare sempre nuove minacce che, anche grazie alle evoluzioni tecnologiche diventano più pericolose. Tutto ciò spinge anche i WAF verso l’evoluzione.
I nuovi WAF dovranno occuparsi di attacchi di tipo Reverse shell o Server-Side Request Forgery (SSRF)? Sembrerebbe di si.
Utilizzeranno motori di Intelligenza Artificiale sempre più sofisticati? Anche qui è facile fare una predizione.
Avranno interfacce uomo-macchina basate sui principi di gamification e di data o enhanced visualization? E’ più difficile da dire, ma è probabile.
In ogni caso sarà il mercato a decidere e noi utenti lo scopriremo a breve, tanto è veloce ormai l’evoluzione nel settore.
Certo è che come tutte le cose sviluppate dall’uomo anche per i WAF si dovrà tener conto del fattore di rischio principale, l’uomo stesso e la sua innata capacità di commettere errori e di esplorare l’impensabile, sia per limitare i possibili errori di configurazione sia per ridurre la superficie d’attacco, che notoriamente aumenta all’aumentare della complessità dei sistemi.