À frente dos desafios da segurança digital.

Firewall de Aplicação,Proteção completa para aplicações Web

A Segurança em Aplicações Web.

Agenda

A importância das aplicações Web nas empresas:Por que existem problemas nas aplicações Web?

Por que as aplicações são o foco dos ataques?

Web Application Firewall.

Aker Web Defender

A importância das aplicações Web nas empresas

Economia de tempo

Compatibilidade

Baixo consumo de recursos

Acesso imediato

Usuários trabalhando ao mesmo tempo

Alta disponibilidade

Exemplo de aplicações Web nas empresas

A. Blog

B. Portais de negócios

C. Webmail

D. Portais institucionais CMS (Joomla, Wordpress, outros)

E. Sites institucionais

Estatística de crescimento de aplicações Web

Esse crescimento sem limites tem trazido novos problemas e transformou as aplicações Web em alvo de atacantes. Segundo o Gartner, 75% dos ataques estão dirigidos às aplicações.

Por que existem problemas de segurança nas aplicações Web?

A. Falta de cultura em programação segura;

B. Falta de um ciclo de programação segura nas empresa;

C. Falta de política de retenção de programadores nas empresas;

D. Terceirização do desenvolvimento das aplicações;

E. Os programadores estão preocupados com funcionalidades, e não com segurança;

F. Legado de aplicações.

*** Os boas práticas em programação segura não se aplicam para novas vulnerabilidades e não se aplicam para legados de aplicações.

Aplicações Web e Padrões Internacionais

OWASP (Open Web Application Security Project)Fundação que promove a segurança no desenvolvimento de aplicativos web.

Não endossa ou recomenda produtos comerciais.

Lista as 10 vulnerabilidades de maior risco em aplicações web.

Isso tudo é teoria. Na prática, como vimos anteriormente,

quase ninguém segue padrões de desenvolvimento

seguro, porque é muito caro e demorado.

Por que as aplicações Web são o foco dos ataques?

Porque as aplicações conversamdiretamente com os bancos de dadosdas empresas;

Porque os atacantes sabem que asempresas não têm um ciclo dedesenvolvimento seguro;

Porque, em nível de infraestrutura derede, os atacantes sabem que asaplicações não podem ser protegidaspelos firewalls convencionais e que osIPS não são capazes de deter ataquesna camada de aplicação.

Por que as aplicações Web são o foco dos ataques?

O que motiva um atacante?Antigamente era fama e o prestígio frente à comunidade underground.

Hoje, prestígio, protesto (Anonymous) e, principalmente, ganhos financeiros.

SQL Injection

Ocorre quando é possível injetar instruções (código) SQLem uma aplicação, utilizando parâmetros de entrada quesão posteriormente repassados ao banco de dados paraexecução.

As ações executadas ocorrem com o mesmo nível deprivilégios do usuário que está sendo utilizado para seconectar ao banco de dados.

Vulnerabilidade com mais de 15 anos e continua a ser amais utilizada forma de extração de dados e de ataques.

SQL Injection

Fire

wal

l

OS Hardenizado

Servidor Web

Servidor de Aplicação

Fire

wal

l

Banc

o de

Dad

osSi

stem

as L

egad

osSe

rviç

os W

ebEs

trutu

ra d

e D

iretó

rios

Rec

urso

s H

uman

osFa

tura

men

to

Código Personalizado

ATAQUE DEAPLICAÇÃO

Cam

ada

de R

ede

Cam

ada

de A

plic

ação

Con

tas

Fina

ncei

roAd

min

istra

ção

Tran

saçõ

esC

omun

icaç

ãoD

ados

Com

érci

o el

etrô

nico

Reg

ras

de N

egóc

io

Requisição HTTP

SQL query

Tabela do Banco

RespostaHTTP

"SELECT * FROM accounts WHERE acct=‘’ OR 1=1--

’"

1. O aplicativo apresenta um formulário para o atacante;2. O atacante envia um ataque no campo de dados;3. A aplicação passa o ataque para o banco, como uma consulta SQL;

Lista de Usuários

Acct:5424-6066-2134-4334Acct:4128-7574-3921-0192Acct:5424-9383-2039-4029Acct:4128-0004-1234-0293

4. O banco executa a consulta contendo o ataque e envia os resultados criptografados de volta à aplicação;5. A aplicação decifra os dados como em uma operação normal e devolve os resultados para o usuário.

Usuário:

Senha:

Usuário:

Senha :

Fonte: OSWAP 2010

Entendendo o perímetro – melhores práticas

As 3 camadas básicas de um perímetro de segurança:

Firewalls convencionais podem detectar ataques,

inspecionando IP e Portas.

Já IPS, só assinaturas conhecidas:

É possível evadir assinaturas;

Não inspeciona trafego SSL;

Não entende com perfeição o protocolo http, nem as particularidades das aplicações, gerando um alto número de falsos positivos;

Não consegue fazer controle de aplicações.

Camada de Rede(OSI 1-3)

Camada de Aplicação(OSI 4-7)

Firewall

IDS/IPS

Web Application Firewall

Somente um Web Application Firewall pode detectar e bloquear ataques às aplicações Web.

Novos Desafios

Ameaça Firewalls/IPS WAF

Cookie poisoning Assinaturas

Hidden field manipulation Assinaturas

Cross Site scripting Assinaturas

Ataques de injeção

Comandos Stealth

Parameter Tampering

Buffer overflow

Google Hacks

Forceful Browsing

Roubo de Identidade

DoS de Aplicação

Roubo de Dados

FirewallsNormalmente não supervisionam tráfego HTTP/S de forma adequada.

IPS/IDSFoco principal em Assinaturas, não possuem foco na aplicação;Não conseguem proteger ataques "zero day”;Tráfego criptografado é preterido;Não é possível "normalizar" o tráfego para detectar ataques ofuscados.

O que falta?

Mais controle na estrutura do aplicativo:

URLs, cookies, cabeçalhos, formulários, de sessão, as ações SOAP, elementos XML ...

O que é um WAF?

O WAF oferece proteção específica contra ataques às aplicações Web. Diferente dos IPS, só entende e trabalha na camada de aplicação. É especialista em análises de tráfego http, inspeciona tráfego https (ssl), além de trabalhar com análises de assinaturas e análises comportamentais, utilizando o modo positivo. Tem, inclusive, recursos de inteligência artificial.

Topologia de rede com WAF

Aker

Web Defender

Proteção WAF

Problema Protege Não Protege

Violações de protocolo HTTP

SQL Injection

LDAP Injection

Injeção de comandos no sistema operacional

Cross-Site Scripting (Refletido e Armazenado)

Cookie Tampering

Buffer Overflow

Remote File Include

Information Leak

Brute Force Login

Negação de Serviço *

Design (Arquitetura)

* Proteção Parcial

WAF - Comparativo

Funcionalidade ImpervaSecureSphere

IBMData Power

TrustWaveWebdefend

AKERWeb Defender

SSL Termination

HTTP protocol filtering

Protection SQL injection

Virtual Patching

Modo Positivo

HTTP, HTTPS (SSL), XML, Web services, SOAP e AJAXSistema especialista para detecção de ataquesRede bayesiana para detecção de ataquesRede neural para detecção de ataques

Appliances

Modelos Throughput(MBITS/S)

Nº de applicaçõesprotegidas

Aker Web Defender Box 50 50 5

Aker Web Defender Box 200 200 25

Aker Web Defender Box 500 500 50

Aker Web Defender Box 2000 2.000 100

Aker Web Defender Box 4000 4.000 300

Obrigado!

/AkerSec

@akersecurity

www.aker.com.br