مفهوم WAF و بررسی قابلیت های FortiWeb – قسمت اول

  ‌برنامه‌های کاربردی تحت وب‌ به راحتی مورد حمله Attackerها قرار می‌گیرند.

اگرچه تطبیق با استاندارد‌های Payment Card Industry Data Security یا به اختصار PCI DSS، دلیل اصلی پیاده سازی WAF‌ یا به عبارتی Web Application Firewall، در اکثر سازما‌ن‌ها می‌باشد اما برای بسیاری از کارشناسان روشن است که برنامه‌‌های کاربردی تحت وبِ حفاظت نشده، می‌توانند راحت‌ترین راه نفوذ حتی برای هکر‌های مبتدی محسوب ‌شوند. برنامه‌های کاربردی تحت وب که نیاز به ارتباط با شبکه‌هایی خارج از شبکه‌ی داخلی را دارند، در مقابل حملاتی چون Cross Site Scripting ،SQL injection و حملات DoS در لایه Application آسیب‌پذیر می‌باشند. برنامه‌های کاربردی تحت وب درون سازمانی، در صورت دسترسی مهاجم به شبکه داخلی به راحتی در معرض آسیب قرار خواهند گرفت؛ این موضوع برخلاف تصور اکثر سازمان‌ها در مورد این شبکه‌ها است که فکر می‌کنند از طریق سطوح امنیتی موجود در شبکه (Perimeter Network)، کاملا محافظت می‌شوند. معمولا کد‌هایی که به صورت سفارشی و متناسب با نیاز‌های سازمان خاصی ایجاد می‌گردد، به عنوان ضعیف‌ترین ارتباط تلقی می‌شود، چرا که داشتن اطلاعات و آگاهی در مورد جدیدترین نوع حملات برای تیم‌های توسعه، امری غیرممکن می‌باشد. از طرفی کدهای تجاری (Commercial Code) نیز دارای آسیب‌پذیری می‌باشند زیرا بسیاری از سازمان‌ها به دلیل نداشتن منابع لازم قادر به استفاده از Patchها و اصلاحات امنیتی به محض در دسترس قرار گرفتن آنها، نمی‌باشند. حتی در صورت استفاده از تمامی Patchها و در اختیار داشتن خدمات مجموعه‌ای از ارائه دهندگان سیستم‌های امنیتی، باز هم امکان بی دفاع شدن کاربر در مقابل حملات Zero-Day وجود دارد و پاسخگویی به آن‌ها نیز صرفا پس از وقوع آن امکان‌پذیر می‌باشد.

امنیت جامع و گسترده برنامه‌های تحت وب با FortiWeb

FortiWeb با کمک یک رویکرد مرتبط و چند‌لایه پیشرفته می‌تواند امنیت کامل در مقابل ریسک‌های امنیتی موجود در OWASP Top 10  و بسیاری از تهدیدات دیگر برای برنامه‌های کاربردیِ تحت وب‌ در شبکه‌های داخلی و خارجی را فراهم نماید. در FortiWeb، با استفاده از سرویس‌های IP Reputation آسیب‌پذیری‌های ناشی از بات‌نت‌ها و دیگر منابع مخرب به صورت خودکار حذف می‌گردند. با بهره‌مندی از قابلیت شناسایی حملات DoS و پیشگیری از آن‌ها در این تکنولوژی، می‌توان برنامه‌های کاربردی را از Overload شدن ناشی از حملات DoS در لایه Application ایمن نگاه داشت؛ به علاوه اینکه با کمک FortiWeb می‌توان صحت درخواست‌های فرستاده شده و عدم دستکاری آن‌ها را با استفاده از روش اعتبارسنجی HTTP RFC بررسی کرد. در این فرایند درخواست‌ها با Signatureهای FortiWeb  بررسی شده تا مقایسه‌ای بین درخواست ایجاد شده و انواع مختلف حملات شناسایی شده، انجام گردد و نسبت به تحت تاثیر قرار نگرفتن درخواست‌ توسط این حملات، اطمینان حاصل شود. با سرویس‌های آنتی ویروس و ضد بدافزار Built-In موجود در این تکنولوژی می‌توان تمامی فایل‌ها، ضمایم و یا کدها را پاکسازی نمود. موتور Auto-learning Behavioral Detection در این سرویس قادر به بازنگری کلیه درخواست‌هایی است که از آزمون حملاتِ شناخته شده به سلامت عبور کرده‌اند. در صورت خارج بودن درخواست از محدوده‌ی پارامتر‌های خودکار یا پارامترهای کاربر، درخواست مسدود می‌گردد. در نهایت FortiWeb به ارائه یک موتور ارتباطی (Correlation Engine) می‌پردازد که چندین رویداد از لایه‌های امنیتی مختلف را به یکدیگر مرتبط می‌نماید تا تصمیمات دقیق‌تری را اتخاذ نماید و محافظت در برابر پیچیده‌‌ترین حملات را میسر سازد. بدین ترتیب یک فرآیند محافظت تقریبا 100 درصدی در مقابل کلیه حملات برنامه‌های تحت وب از جمله تهدیدات Zero-day به عمل می‌آید که سیستم‌های مبتنی بر فایل (File-Based) قادر به شناسایی آن نمی‌باشند.

قابلیت اسکن برای کشف آسیب‌پذیری‌ها 

تنها FortiWeb است که با داشتن یک اسکنر آسیب‌پذیری برای‌ برنامه‌های تحت وب در هر دستگاه، می‌تواند انطباق آن با استاندارد PCI DSS را بدون هرگونه هزینه اضافی عملی نماید. قابلیت اسکن آسیب‌پذیری در FortiWeb تمامی عناصر برنامه‌های کاربردی را به شکلی دقیق بررسی کرده و در نتیجه اطلاعاتی جامع از ضعف‌های بالقوه در برنامه‌های کاربردی را در اختیار قرار می‌دهد. این قابلیت همواره با نسخه‌های به‌روز‌رسانی به صورت پیوسته و مرتب از سوی FortiGuard Labs به‌روزرسانی می‌گردد.

یکپارچگی کامل  FortiWeb با FortiGate و FortiSandbox

همگام‌ با گسترش روز‌افزون تهدیدات، برای حفاظت از برنامه‌های کاربردی تحت‌وب باید رویکردی چندجانبه نسبت به تهدیدات جدید، اتخاذ نمود. تهدیدات امنیتی پیشرفته با هدف قرار دادن کاربران می‌توانند نسبت به حملات Single-vector سنتی که تنها از یک روش برای حمله استفاده می‌کردند، اشکال متفاو‌ت و بسیاری را به ‌خود گرفته و بدین ترتیب از محافظت ارائه شده توسط یک دستگاه واحد عبور نمایند. ادغام FortiWeb با FortiGate و FortiSandbox، محافظت مبتنی بر WAF را از طریق همزمان‌سازی و به‌اشتراک‌گذاری اطلاعات مرتبط با تهدیدات افزایش می‌دهد تا علاوه بر اسکن فایل‌های مشکوک، منابع داخلی آلوده را نیز به اشتراک ‌گذارد.

FortiWeb به عنوان یکی از محصولات متعدد Fortinet، امکان یکپارچه‌سازی با پلتفرم پیشرفته‌ی شناسایی تهدید FortiSandbox را فراهم می‌نماید. FortiWeb قابلیت پیکربندی با FortiSandbox را دارا بوده و بدین ترتیب می‌تواند اطلاعات مربوط به تهدید را به اشتراک‌ گذاشته و تهدیدها را به محض شناسایی در محیط FortiSandbox، مسدود نماید. فایل‌های آپلود شده در وب سرور‌ها برای تجزیه و تحلیل به FortiSandbox و Cloud FortiSandbox ارسال می‎شوند. با شناسایی فایل‌های مخرب بلافاصله هشدارها ارسال شده و فایل‌های مشابه بعدی سریعاً مسدود می‌شوند.

یکپارچگی با FortiGate امکان به اشتراک‌گذاری آدرس IP‌های Quarantine یا قرنطینه شده را فراهم می‌کند که در فایروال Fortigate شناسایی و نگهداری می‌شوند. FortiWeb با بررسی‌ مداوم Fortigate، با آخرین لیست از منابع داخلی آلوده یا مشکوک به آلودگی به‌روز شده و جریان ترافیک از این دستگاه‌ها را برای جلوگیری از وارد آمدن خسارات بیشتر Block می‌نماید.

علاوه بر موارد ذکر شده، کاربران Fortigate می‌توانند پیاده‌سازی FortiWeb را در یک شبکه‌ی مبتنی ‌بر Fortinet ساده‌سازی نمایند. FortiGate را می‌توان با استفاده از پروتکل WCCP طوری پیکربندی نمود که بدون نیاز به تنظیم دستی روتر‌ها یا سرویس‌های DNS، ترافیک HTTP را به منظور بررسی به FortiWeb هدایت کند. کاربران می‌توانند یک سری قواعد اختصاصی را ایجاد نمایند تا با استفاده از Policy‌های جامع Forwarding Granular، ترافیک خاصی را مسیریابی نمایند.

FortiWeb به‌ طور کامل با FortiGate یکپارچه‌ می‌شود تا از ترافیک HTTP برای انجام بررسی‌ و اشتراک اطلاعات Quarantined IP عبور نماید.‌

کاهش False Positive در FortiWeb

از قابلیت های مهم FortiWeb، در بر داشتن ابزارهای پیشرفته جهت کاهش وضعیت False Positive به همراه قابلیت ارزیابی کاربر و Session Tracking می باشد.

در صورت عدم پیکربندی WAF به شکلی درست، این احتمال وجود دارد که شناسایی False Positive  (شناسایی نادرست یک مورد به عنوان تهدید) بسیار دردسر ساز باشد. اگرچه ممکن است نصب یک WAF تنها چند دقیقه طول بکشد اما تنظیم دقیق آن با هدف به حداقل رساندن False Positiveها شاید مستلزم صرف روز‌ها و حتی هفته‌ها باشد؛ مضافا این‌که تغییرات و اصلاحات مداوم و منظم در مورد برنامه‌های‌ کاربردی و متناسب با تغییرات محیطی نیز مطرح می‌باشد. FortiWeb با ابزار‌های پیشرفته از جمله تنظیم هشدار، ایجادWhite List، موارد استثنا در فرآیند یادگیری خودکار، شناسایی تهدیدات مرتبط به هم و آنالیز ساختاری مبتنی بر کد با این مشکل مقابله می‌کند.

Fortiweb تنها نمونه‌ای از تجهیزات WAF می‌باشد که از قابلیت ارزیابی کاربر و ردیابی Session برای ارتقای بیشتر ابزار‌های کاهش False Positive استفاده می‌کند. مدیران می‌توانند برای هر کدام از لایه‌های حفاظتی WAF در FortiWeb سطح مربوط به تهدید را اختصاص دهند و سپس یک Trigger Threshold را تعریف نمایند که قابلیت Block نمودن، مانیتور و گزارش‌گیری در مورد کاربرانی را ارائه می‌کند که در طول Session از مرز مشخص مربوط به رویدادهای متعدد تخطی کرده‌اند. پیش ‌از ‌این هرگز چنین سطحی از سفارشی‌سازی و هم‌بستگی پیشرفته در هیچ یک از تجهیزات WAF وجود نداشته است که به‌ نوبه‌ خود می‌تواند تعداد فرآیندهای شناسایی False Positiveها را با توجه به میزان حساسیت تعیین شده توسط مدیران کاهش دهد.

ـــــــــــــــــــــــــــــــــــــــــــــ

مفهوم WAF و بررسی قابلیت های FortiWeb – قسمت اول

مفهوم WAF و بررسی قابلیت های FortiWeb – قسمت دوم (پایانی)

مقاله های مرتبط: