اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

پنج نکته که درهنگام خرید تجهیز WAF باید به آن توجه کرد

پنج نکته که درهنگام خرید تجهیز Web Application Firewall باید به آن توجه کرد

امنیت برنامه‌های کاربردی مبتنی بر وب وابسته به فاکتورهای متفاوتی است که یکی از آنها استفاده از تجهیزات Web Application Firewall یا WAF می‌باشد. با توجه افزایش حملات سایبری، سازمان‌ها جهت محافظت از اطلاعاتی که بر روی اینترنت به اشتراک گذاشته شده‌اند میتوانند به یک تجهیز WAF مجهز شوند از طرفی سازمان‌هایی که قصد تهیه این تجهیز را دارند، ابتدا باید از نیازهای حیاتی سازمان مربوطه را بررسی کرده و جوانب تکنیکی ابزار WAF و قابلیت‌هایی که به همراه دارد، را بررسی نمایند.

برای مقایسه نمودن WAFهای مختلف، سازمان‌ها ابتدا باید از توانایی شناسایی و کاهش خطرات، نحوه‌ی گزارش‌دهی، نحوه‌ی ذخیره‌ی لاگ‌ها، تطبیق‌پذیری و میزان سادگی مدیریت تجهیز، آگاه شوند. پس از اینکه معیارهای انتخاب WAF توسط سازمان مشخص گردید در ادامه می‌توان در مورد امنیت و دقت اطلاعاتی که از طریق Web در دسترس قرار می‌گیرد اطمینان حاصل نمود. در این مبحث به 5 معیار اصلی که در هنگام انتخاب WAF باید به آن توجه داشت، پرداخته می‌شود.

یکپارچه‌سازی Web Application Firewall با سازمان

اولین قابلیت مورد بررسی، نحوه یکپارچه سازی WAF با ساختار شبکه سازمان است. برای مثال این تجهیز چطور می‌تواند باعث ساده سازی ساختار شبکه گردد. روش‌های مختلفی در پیاده‌سازی یک WAF وجود دارد، ممکن است به صورت Inline Appliance، مبتنی بر Cloud یا WAF متجمع‌شده با دیگر تجهیزات امنیتی باشد.

شرکت APK (امن پایه ریزان کارن) دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور

حالت Inline Appliance

در این روش تجهیز میان کاربران و Web-Application قرار می‌گیرد. این نوع از WAF احتیاج به تخصصی فراتر از مدیریت IT دارد. برای مثال مدیریت فایروال یا مدیریت شبکه کافی است. سازمان‌ها به کارمندان متخصص برای پیاده‌سازی این مورد نیاز خواهند داشت.

WAFهای مبتنی بر Cloud

در این روش، شرکتی که خدمات DNS ارائه می‌دهد IP سرور Web-Application را به سمت سرویس Cloud، تغییر مسیر می‌دهد، رمزگشایی توسط میزبان صورت می‌گیرد در نتیجه برای انتقال داده‌ها کلیدهای SSL باید توسط سازمان‌ها ارائه شوند.

WAF مجتمع

در این نوع WAF فرایندهای کد نویسی اقلب در Web-Application یا سرورهای اینترنتی صورت می‌گیرد. باید توجه داشت که در این روش احتیاج به تکنیک‌ پیشرفته برای پیاده سازی WAF نیاز است ولی احتیاجی به تغییر مسیر DNS یا تغییر در معماری شبکه وجود ندارد.

نحوه شناسایی و پاسخگویی WAF

WAF با تجزیه و تحلیل نوع محتوا و ارتباطاتی که ایجاد می‌گردد، از درخواست‌های کاربران محافظت می‌نماید. توان عملیاتی یک WAF به قابلیت‌های آن در محافظت از اطلاعات سازمانی وابسته است. WAF باید قادر به آنالیزی نوع درخواست‌ها، منبع درخواست، فایل‌های انتقال یافته، مدت زمان جلسات و کاربرانی که ارتباط را برقرار کرده‌اند، باشد. با وجود همه این بررسی‌ها سازمان‌ها می‌توانند اطمینان حاصل کنند که Web-Application‌شان از خاموشی‌های احتمالی توسط حملات DDoS در امان است.

به عبارتی دیگر WAF می‌تواند با استفاده از قابلیت‌های Black-List و White-List امنیت شبکه را تضمین نماید و در کنار آن حملات Cross-Site Scripting و SQL Injection که به صورت متداول اتفاق می‌افتند، را شناسایی کند، بنابراین این تجهیز  باید همیشه برای شناسایی تهدیدهای جدید بروز نگه داشته شود.

با استفاده از Black-List هرگونه رفتار ناشناس و مخرب متوقف می‌گردد و با توجه به White-Listها تجهیز فقط به درخواست‌های موجود در این لیست اجازه عبور از WAF را می‌دهد. علاوه بر این موارد، WAF باید توانایی مسدودکردن ترافیک یک کاربر، جلسه، درخواست یا IP آدرس را در زمان مورد نیاز داشته باشد.

برخی اوقات تجهیز WAF ممکن است نیاز به هماهنگی با سایر تجهیزات شبکه‌ای برای متوقف ساختن رفتارهای مشکوک و پیاده‌سازی روتین‌های روزانه داشته باشد. به همین خاطر سازمان‌ها و شرکت‌ها پیش از تصمیم گیری برای انتخاب WAF سازمان، باید این قابلیت‌ها و سازگاری‌ها را بررسی کنند.  این تجهیز باید بتواند دید کامل بر روی ریسک‌های شبکه‌ای داشته باشد و نسبت به آن تدابیر امنیتی مناسبی را ارائه دهد.

سیستم ذخیره کردن Log و هشداردهی در WAF

تجهیزات WAF باید در زمان‌هایی که رفتارهای مشکوکی در شبکه سازمان مشاهده می شود، قادر به Log کردن و هشدار دادن به موقع به مدیران IT باشند. با توجه به قابلیت ذخیره Log در این تجهیزت، مدیران IT می‌توانند تهدید شناسایی شده را توسط Logهای به دست آمده به قسمت‌های کوچکتر تقسیم کنند و آن را مورد بررسی قرار دهند.‌ این Logها در تجزیه و تحلیل نحوه ی نفوذ یا زمان و مکان نفوذ در ساختار شبکه یا تهدیدهای احتمالی کمک خواهند کرد. علاوه بر این می‌توانند علت اصلی یک رخداد را پیدا کرده و آن را با راهکار مناسب برطرف کنند.

مدیریت WAF

از آنجایی که WAF یک فایروال برای Web-Applicationها است، در فواصل زمانی مشخص برای اطمینان از دفع حملات به صورت موثر احتیاج به تغییر پیکربندی دارد. Web-Applicationها به سرعت در حال تغییر هستند و با اجزاء Third-Party یک‌پارچه سازی می‌شوند و ممکن است در این میان نیاز به تغییر در تجهیزات مختلف نیز وجود داشته باشد.  مدیریت و پیکربندی قوی از سوی متخصصان برای بروزرسانی قوانین بدون بوجود آوردن False Positiveها بزرگترین تفاوت را میان یک WAF کارامد و یک نمونه‌ی غیر کارآمد ایجاد می‌کند.  

موارد مهم مدیریت WAF

  1. آیا خودتان مهارت مدیریت تجهیز WAF را دارید؟ یا اینکه فروشنده بر اساس روند فروش محصول فرآیند بروزرسانی Ruleهای را مبتنی بر ریسک‌های سازمانی انجام می‌دهد.
  2. آیا شما زمان، روند و تخصص آزمایش برای False Positiveها را پیش از بروزرسانی Policy دارید؟سازمان‌هایی وجود دارند که عنوان بخشی از سرویس‌های مدیریت شده، قوانین شخصی‌سازی شده مدیریتی، با تضمین وجود نداشتن False Positive، از سوی WAF را همراه با SLA ارائه می‌دهند.
  3. آیا سازمان شما پشتیبانی 24 ساعته و 7 روز هفته و توانایی انجام کار در لحظه ای که رخدادی اتفاق می‌افتد دارید؟

پیشنهاد می شود سازمان‌هادر هر زمانی به آنالیز لایه مدیریت Web Application Firewall  بپردازند چه زمانی که توسط افراد سازمانی نگهداری میکنند چه توسط کارشناسان پشتیبانی وندور مربوطه. لازم به ذکر است که بررسی قابلیت‌های گزارش‌دهی این تجهیز که ممکن است حتی شامل گزارش‌دهی از راهکارهای شناسایی دیگر باشد، نیز از این قاعده مستثنا نیست.

بررسی WAF استفاده شده در دیگر سازمان‌ها می‌تواند به شرکت یا سازمان شما کمک کند تا متوجه عملکرد این تجهیز در حالت Real-Time شوید. همچنین بررسی هشدارهای خطا که توسط WAF با SLA و Penalty Clausesهای تجهیز ایجاد شده، می‌تواند به انتخاب صحیح تجهیز مورد نظر توسط شما کمک کند.

روند تجهیز کردن سازمان ها به WAF

تصمیم به خرید WAF باید بعد از بررسی دقیق تجهیز مربوطه نسب به دارا بودن تمامی قابلیت‌ها و الزامات شبکه‌ای مورد نیاز انجام شود. یافتن نمونه‌های متفاوت نیز می‌تواند رویکرد دیگری باشد که به شما در این امر کمک ‌کند. تیم فنی همراه با تیم R&D سازمان باید در انتخاب تجهیز بهتر تعامل داشته باشد.

پنج مورد از قابلیت‌های تاثیرگذار در تصمیم‌گیری برای خرید تجهیزات WAF به شرح زیر می باشد:

1. مدیریت

2. سازگاری

3. امنیت

4. گزارش‌دهی

5. پشتیبانی

لازم به ذکراست که شرکت‌های متعددی در حال ارائه فایروال برای Web-Applicationها هستند و قابلیت‌های کاربردی از جمله Web Application Scanning، Penetration testing، محافظت از حملات DDoS و یک CDN که کمک به شناسایی آسیب‌پذیری‌های اینترنتی، محافظت در برابر آن‌ها، بهبود سرعت وب‌سایت و مانیتورینگ مستمر را به عنوان قسمتی از سرویس مدیریت شده به عنوان یک محصول ارائه می‌دهند.