Suojaa verkkosovelluksesi!

Suojaa verkkosovelluksesi!.

F5:n tuoteportfoliossa yksi nopeimmin kehittyvistä ominaisuuksista on WAF-toiminnallisuutta toteuttava Application Security Manager (ASM). Siitä on tullut elinkaarensa aikana maailman eniten implementoitu WAF-tuote. Tänä vuonna Gartner tunnisti omassa Magic Quadrant (MQ) F5 Networksin ASM:n leader-kenttään.

Yksi päällimmäisistä syistä Gartnerin valintaan oli hyvä saatavuus eri sijainneille, missä sovellukset yleisesti ovat ajossa. Tähän ei riittänyt pelkästään ADC-tarjoama, vaan saatavuus ja helppo toteutus Azuressa, Googlessa, AWS:ssa, F5 Silverline SOC palveluna ja millä tahansa suosituista Hypervisor-alustoista. Sovelluksien suojeleminen mahdollisimman lähellä sovellusta on avain toimivaan sovellustason tietoturvaan.

Suurin osa onnistuneista tietomurroista tapahtuu suoraan sovellukseen kohdennettuun hyökkäykseen. Internet on täynnä botteja, jotka skannaavat verkossa olevia osoitteita ja etsivät aktiivisesti mahdollisen tietotomurron kohteita. Hyvin harvoin WAF kohtaa ensimmäisenä ihmistä pyrkimässä luvattomin menetelmin päästä sovellusten takana lepäävään informaatioon. Pohjatyön tekee automaatio ja koneäly, jotta helposti löydettävät heikkoudet ovat valmiiksi selvitettyjä. Näiden taustaselvittelyiden kohtaaminen on yksi WAF:n useimmin suorittamista tehtävistä ja siksi se on tehty F5 ASM:ssä erityisen helpoksi ottaa käyttöön. Ensisijainen syy ottaa WAF-käyttöön on suojella sovelluksia ja niihin kohdistuvia epämääräisiä tiedusteluja.

Web Scraping, missä kerätään sivulta kriittinen informaatio, kuten hintatiedot ja viedään ne muualle esimerkiksi hintakilpailutarkoituksia varten on erittäin yleistä. Sovellukset ovat täynnä hyvin tarjolla olevia hyökkäysvektoreita ja tietoturva-aukkoja, jotka on helppo paikata WAF-tuotteella. Viime aikaisista sovellushaavoittuvuuksista Apache Struts 2 on hyvä esimerkki, jossa WAF-pystyy paikkaamaan haavoittuvuuden siihen asti, kunnes varsinainen ohjelmisto on korjattu. Vastaavia tapauksia on maailma täynnä, missä ohjelmistoja ei voida paikata välittömästi. Aina syypää ei ole palvelinsovellus, vaan monesti sen päällä ajettava sovellus on täynnä aukkoja, kun esimerkiksi WebSocketteja ja API-rajapintoja, joita ei ole suojattu millään tavalla. Tällöin WAF-tulee apuun ja auttaa parantamaan sovelluksen tietoturvaa.

Sovellusten ydinteknologiat ovat kohdennettujen hyökkäyksien mahdollistajia. AJAX, JSON, SOAP, WebSockets, HTML5 WebSocket, Node.js, XML ja API-rajapinnat saavat skannauksissa paljon huomiota ja ovat OWASP TOP10 suositusten ulkopuolella, joten niihin kiinnitettään kehitysvaiheessa tietoturvamielessä vähemmän huomiota. Palveluita ajetaan yleisesti Apache-, IIS- tai Tomcat-ympäristöissä, joissa palvelinohjelmisto itsessään on hyvin houkutteleva haavoittuvuusrajapinta tutkailtavaksi.

Uutuutena on konttiympäristöt (Containers), missä sovelluksen suoritusympäristö on äärimmilleen kevennetty. Konteissa on vaikea tehdä binäärien päivittämistä nopeasti, koska pitää tarkistaa sovelluksen vaatimien binäärien yhteensopivuus ennen päivittämistä. Tämä puolestaan yleistää haavoittuvien komponenttien määrää konttien yleistyessä.

WAF suojaa sovellusta juuri niin tarkkaan, kun se ohjeistetaan sitä tekemään. Sen tehtävänä on oppia sovellus ja sen käyttäjien tavat käyttää sovellusta niin perusteellisesti kuin mahdollista. Nykyinen WAF on paljon muutakin kuin vain OWASP TOP10-listan ja SAN25:n tunnistamien ongelmien ehkäiseminen. WAF suojaa boteilta, tunnistaa käyttäjät selainpohjaisella sormenjälkimenetelmällä, analysoi aktiivisesti sovellusta ja sen komponentteja, suojaa sovellukseen kohdennetuilta palvelunestohyökkäyksiltä, oppii automaattisesti sovelluksen kriittiset toiminnot ja rajapinnat.

Helpommin sanottuna WAF jatkaa siitä, mihin NGFW:t ja IPS:t lopettavat. NGFW ei ole WAF eikä sisällä WAF:n toimintoja ja päinvastoin. Kumpikaan ei ole toisiaan pois sulkevia toimintoja, vaikka sellainen ajatusmalli kentällä on hyvin havaittavissa. WAF:n ylläpitäminen vaatii perehtymistä sovelluksiin ja sovelluskehityksen tapoihin toteuttaa niitä. Ylläpidollisesti WAF vaatii sujuvaa kommunikaatiota sovelluskehittäjien ja WAF-ylläpitäjien välillä. F5 tarjoaa WAF express-palvelua muun muassa Azure security centerissä, missä WAF:n saa ajoon muutamassa minuutissa, eikä tarvitse olla missään nimessä sovellustason guru.

Santa Monica Networks on Suomen korkeimmin sertifioitu F5-kumppani, jolta löytyy korkeatasoista osaamista F5 ASM:sta sen toteuttamisesta erilaisiin ympäristöihin. Kannattaa myös tutustua F5 Networks ADC:n muihin ominaisuuksiin, joiden yhdistäminen ASM:n kanssa luo hyvän ja helposti hallittavan tietoturvakokonaisuuden.

Ota yhteyttä

Jukka Springare
Jukka Springare Sales Manager 0400 201150 Tämä sähköpostiosoite on suojattu spamboteilta. Tarvitset JavaScript-tuen nähdäksesi sen.

”Tiedolla ja taidolla ei tee mitään ilman intohimoa.”

Lue myös