Warning: Constant WP_MEMORY_LIMIT already defined in /var/www/html/esyner.info/web/wp-config.php on line 134
Firewall de Aplicações (WAF), relações com DAST e DevSecOps | ESCS Esyner Cyber Security Info& Blog

A aplicação de regras de firewall para aplicações normalmente é confundida com os modelos tradicionais de regras de firewall, isto é, o bloqueio de fluxos entre entrada e saída com portas UDP e TCP ou assinaturas de IDS/IPS. O problema desta comparação para a aplicação de regras voltadas a aplicações, em especial nos WAF (Web Application Firewall ou Firewall para Aplicações Web) é o entendimento de cada aplicação WEB no Front end a ser protegido, e que este seja bem entendido para que as regras no nível de Aplicação sejam realmente efetivas.

            O WAF é configurado sem analisar a aplicação, com isto temos uma relação similar a instalações de câmeras/alarmes/bloqueadores de segurança, ao qual deve-se identificar o perímetro externo e internou por meio de uma planta baixa, justamente para entender os pontos vulneráveis e que estes sejam protegidos. Quando se aplica uma regra de WAF sem entender a extensão de um “muro”, posiciona-se uma câmera em um local de “sombra”, por conseguinte o monitoramento e o alarme ou bloqueio não funcionará, por exemplo.

Um dos instrumentos para entendimento das vulnerabilidades de aplicações WEB é o método Teste de Segurança de Aplicações em inglês AST Application Security Test, com duas variantes: a estática e a dinâmica. Um engenheiro de segurança da informação com o auxílio de ferramentas realiza testes de vulnerabilidade e/ou invasão de aplicações Web para identificar problemas nos métodos de chamadas, frameworks, senhas e funcionamento entre outros; que podem ser explorados por cyber criminosos.

O modelo estático de teste de vulnerabilidade de aplicações SAST (Static Application Security Testing) verifica pontualmente a aplicação e fornece informações detalhadas / resultados no intuito de correção dos problemas encontrados.

Já o modelo dinâmico DAST (Dynamic Application Security Testing) utiliza a tecnologia de maneira continuada, fazendo parte do ciclo de desenvolvimento, pois pode-se realizar uma avaliação e teste de invasão antes da produção, ou mesmo, em produção alterando parâmetros ou aprimorando os modelos de ataques, servindo quase como uma simulação continuada de invasão, respectivamente.

O DAST pode ser utilizado no ciclo de DevSecOps, com ações e melhores práticas desde o nascimento dos projetos de software, durante o seu desenvolvimento, até as suas entregas (SPRINTs), tendo sempre o elemento de segurança por default. As ferramentas DAST, somadas com avaliação de um especialista em segurança, possibilitam a retificação dos códigos ou a ratificação da segurança (baixo risco), em um ciclo continuado de aprimoramento.

Finalmente, a relação de aplicações de regras de firewalls para aplicações – WAF – pode ser realizada de maneira que se entenda os softwares WEB e que estes sejam testados, justamente para o firewall seja uma barreira/proteção para uma possível vulnerabilidade. Desta maneira diversas ferramentas de DAST possuem plug-in para a aplicação de regras (WAF), facilitando a construção dos parâmetros e configurações nos firewalls de nova geração NGFW – Next Genetarion Firewalls. Logo a boa prática para o uso do WAF é justamente a realização de testes estáticos ou dinâmicos SAST ou DAST.

O ideal para o cenário atual e futuro é a utilização do DAST como item fundamental na segurança do negócio das empresas. O DAST contribui com ações abaixo relacionadas:

  • Ataque Replay – avaliação da aplicação em ambiente de avaliação de qualidade – Q.A (Quality Assurance) – antes da Produção;
  • Ataque simulado – construção das regras de WAF;
  • Ataque e avaliação periódicos – revisão das regras;
  • Avaliação de vulnerabilidades via ferramenta profissionais – entendimento das novas ameaças ou problemas/vulnerabilidades encontrados nos frameworks ou nas tecnologias – inclusão regras de WAF para mitigar estas falhas encontradas;
  • Relatórios para auditorias internas e externas;
  • Entendimento executivo;
  • Compliance com leis (LGPD) e regras de segurança;
  • Aplicações de políticas de segurança e privacidade de dados.