frente dos desafios da segurana digital.

Firewall de Aplicao,
Proteo completa para aplicaes Web
A Segurana em Aplicaes Web.

Agenda
A importncia das aplicaes Web nas empresas:
Por que existem problemas nas aplicaes Web?
Por que as aplicaes so o foco dos ataques?
Web Application Firewall.

Aker Web Defender

A importncia das aplicaes Web nas

empresas
Economia de tempo
Compatibilidade
Baixo consumo de recursos
Acesso imediato
Usurios trabalhando ao mesmo tempo
Alta disponibilidade

Exemplo de aplicaes Web nas empresas

A. Blog
B. Portais de negcios
C. Webmail
D. Portais institucionais CMS (Joomla, Wordpress, outros)
E. Sites institucionais

Estatstica de crescimento de aplicaes Web

Esse crescimento sem limites

tem trazido novos problemas
e transformou as aplicaes
Web em alvo de atacantes.
Segundo o Gartner, 75% dos
ataques esto dirigidos s
aplicaes.

Por que existem problemas de segurana nas

aplicaes Web?
A. Falta de cultura em programao segura;
B. Falta de um ciclo de programao segura nas empresa;
C. Falta de poltica de reteno de programadores nas
empresas;
D. Terceirizao do desenvolvimento das aplicaes;
E. Os programadores esto preocupados com
funcionalidades, e no com segurana;
F. Legado de aplicaes.
*** Os boas prticas em programao segura no se aplicam para novas
vulnerabilidades e no se aplicam para legados de aplicaes.

Aplicaes Web e Padres Internacionais

OWASP (Open Web Application Security Project)

Fundao que promove a segurana no desenvolvimento de
aplicativos web.
No endossa ou recomenda produtos comerciais.
Lista as 10 vulnerabilidades de maior risco em aplicaes web.
Isso tudo teoria. Na prtica, como vimos anteriormente,
quase ningum segue padres de desenvolvimento
seguro, porque muito caro e demorado.

Por que as aplicaes Web so o foco dos

ataques?
Porque as aplicaes conversam
diretamente com os bancos de dados
das empresas;
Porque os atacantes sabem que as
empresas no tm um ciclo de
desenvolvimento seguro;
Porque, em nvel de infraestrutura de
rede, os atacantes sabem que as
aplicaes no podem ser protegidas
pelos firewalls convencionais e que os
IPS no so capazes de deter ataques
na camada de aplicao.

Por que as aplicaes Web so o foco dos

ataques?
O que motiva um atacante?
Antigamente era fama e o
prestgio frente comunidade
underground.
Hoje, prestgio, protesto
(Anonymous) e,
principalmente, ganhos
financeiros.

SQL Injection
Ocorre quando possvel injetar instrues (cdigo) SQL
em uma aplicao, utilizando parmetros de entrada que
so posteriormente repassados ao banco de dados para
execuo.
As aes executadas ocorrem com o mesmo nvel de
privilgios do usurio que est sendo utilizado para se
conectar ao banco de dados.
Vulnerabilidade com mais de 15 anos e continua a ser a
mais utilizada forma de extrao de dados e de ataques.

SQL Injection

APLICAO

Cdigo Personalizado

Servidor Web

Firewall

OS Hardenizado

Firewall

Camada de Rede

acct= OR 1=1-Acct:5424-6066-2134-4334
Acct:4128-7574-3921-0192
"
Acct:5424-9383-2039-4029
Acct:4128-0004-1234-0293
1. O aplicativo apresenta um
formulrio para o atacante;

Servidor de
Aplicao

Fonte: OSWAP 2010

Tabela do
Banco

Faturamento

Requisio
HTTP
ATAQUE DE

Servios Web
Estrutura de
Diretrios
Recursos Humanos

Resposta
SQL
HTTP
query

Sistemas Legados

Banco de Dados

Comunicao
Dados
Comrcio eletrnico
Regras de Negcio

Administrao
Transaes

Contas
Financeiro

Camada de Aplicao

"SELECT * FROM

Usurio:
Lista de Usurios
Usurio:
accounts WHERE
Senha
Senha: :

2. O atacante envia um ataque no

campo de dados;
3. A aplicao passa o ataque
para o banco, como uma consulta
SQL;
4. O banco executa a consulta
contendo o ataque e envia os
resultados criptografados de volta
aplicao;
5. A aplicao decifra os dados
como em uma operao normal e
devolve os resultados para o
usurio.

Entendendo o permetro melhores prticas

As 3 camadas bsicas de um permetro de segurana:
Firewalls convencionais podem detectar
ataques,
inspecionando IP e Portas.
J IPS, s assinaturas conhecidas:
possvel evadir assinaturas;

Firewall
IDS/IPS
Web Application Firewall

No inspeciona trafego SSL;

No entende com perfeio o
protocolo http, nem as
particularidades das aplicaes,
gerando um alto nmero de falsos
positivos;
No consegue fazer controle de
aplicaes.

Camada de Rede
(OSI 1-3)

Camada de Aplicao
(OSI 4-7)

Somente um Web Application Firewall pode

detectar e bloquear ataques s aplicaes Web.

Novos Desafios
Ameaa

Firewalls
Normalmente no supervisionam trfego
HTTP/S de forma adequada.

IPS/IDS
Foco principal em Assinaturas, no
possuem foco na aplicao;
No conseguem proteger ataques "zero
day;
Trfego criptografado preterido;
No possvel "normalizar" o trfego
para detectar ataques ofuscados.

Cookie poisoning

Assinaturas

Hidden field manipulation

Assinaturas

Cross Site scripting

Assinaturas

Ataques de injeo
Comandos Stealth
Parameter Tampering
Buffer overflow
Google Hacks
Forceful Browsing
Roubo de Identidade

O que falta?
Mais controle na estrutura do aplicativo:
URLs, cookies, cabealhos, formulrios, de sesso,
as aes SOAP, elementos XML ...

Firewalls/IPS

DoS de Aplicao
Roubo de Dados

WAF

O que um WAF?

O WAF oferece proteo especfica contra

ataques s aplicaes Web. Diferente dos
IPS, s entende e trabalha na camada de
aplicao. especialista em anlises de
trfego http, inspeciona trfego https (ssl),
alm de trabalhar com anlises de
assinaturas e anlises comportamentais,
utilizando o modo positivo. Tem, inclusive,
recursos de inteligncia artificial.

Topologia de rede com WAF

Aker
Web Defender

Proteo WAF
Problema

Protege

Violaes de protocolo HTTP

SQL Injection
LDAP Injection
Injeo de comandos no sistema operacional
Cross-Site Scripting (Refletido e Armazenado)
Cookie Tampering
Buffer Overflow
Remote File Include
Information Leak
Brute Force Login
Negao de Servio
Design (Arquitetura)
* Proteo Parcial

No Protege

WAF - Comparativo
Funcionalidade
SSL Termination
HTTP protocol filtering
Protection SQL injection
Virtual Patching
Modo Positivo
HTTP, HTTPS (SSL), XML,
Web services, SOAP e AJAX
Sistema especialista para
deteco de ataques
Rede bayesiana para
deteco de ataques
Rede neural para deteco
de ataques

Imperva
SecureSphere

IBM
Data Power

TrustWave
Webdefend

AKER
Web Defender

Appliances
Modelos

Throughput
(MBITS/S)

N de applicaes
protegidas

Aker Web Defender Box 50

50

Aker Web Defender Box 200

200

25

Aker Web Defender Box 500

500

50

Aker Web Defender Box 2000

2.000

100

Aker Web Defender Box 4000

4.000

300

Obrigado!

/AkerSec
@akersecurity
www.aker.com.br