A visibilidade do tráfego web, é um aspecto vital de segurança web que normalmente ignoram quando comparam soluções de segurança.
Para a segurança efetiva no ambiente moderno contra ameaças, a visibilidade completa do tráfego web é um requisito. Entender completamente todas as requisições e seus conteúdos e contexto, inclusive as bloqueadas.
Quando um evento de segurança ocorre, ou mesmo em condições de tráfego normal, a visibilidade parcial pode atrapalhar a sua capacidade de entender o que está acontecendo. Somente a visibilidade completa pode te ajudar a atingir e manter uma postura de segurança firme.
Infelizmente, as soluções de segurança web variam na quantidade de tráfego de dados que eles deixam disponíveis para os usuários. Neste artigo, discutiremos por que a visibilidade completa é um requisito vital para a segurança efetiva além das funcionalidades importantes para se olhar ao testar uma solução.
Primeiramente devemos perguntar: O que constitui a “visibilidade completa”?
Visibilidade completa: O que inclui
A visibilidade inclui uma quantidade de diferentes aspectos:
- O conteúdo e o metadata para cada requisição HTTP
- O que aconteceu com a requisição e por quê
- Acesso simples aos dados atuais e históricos, tanto inclusivos como exclusivos
- A capacidade de ver os dados e controlar o tráfego em tempo real
- A capacidade de fazer tudo acima, não apenas para as requisições bloqueadas, mas também para as requisições que foram adiante. Como veremos abaixo, esse é um grande diferenciador ao avaliar as soluções de segurança.
Vamos discutir esses requisitos e algumas situações para ilustrar por que cada um é importante.
Conteúdo Relacionado: 5 dicas para aprimorar a segurança web
O conteúdo e o metadata para cada requisição HTTP
Para que uma solução ofereça visibilidade completa, é necessário expor todos os dados que uma requisição HTTP inclui: o IP de origem, a URL que foi requisitada, o método HTTP, entre outros. Os cabeçalhos precisam estar amostra junto ao payload.
A solução também deve mostrar o metadata contextual; qualquer informação que a solução possa discernir que não esteja contida na própria solicitação. Por exemplo, a requisição pode ter sido originada de uma VPN, ou um IP da nuvem, ou por alguém usando um navegador Tor, entre outras possibilidades.
Por que isso é importante: Manter uma postura de segurança robusta requer um entendimento profundo do tráfego que chega. Ataques modernos podem ser sutis e você precisa ter a capacidade de examinar todos os parâmetros das requisições que chegam ao seu ambiente. Por exemplo, meramente rastrear as requisições pelo endereço de IP não será útil se os autores da ameaças estiverem trocando os IPs; para entender (e então bloquear) o escopo completo das atividades dele, algumas vezes você precisará ir mais a fundo nos dados e encontrar padrões com base em uma variedade de características.
O que aconteceu com a requisição e por que
A solução de segurança deve mostrar os resultados do seu processamento, por exemplo, a requisição foi:
- Imediatamente bloqueada por uma solução
- Submetida a uma inspeção extra, e então bloqueada
- Submetida a uma inspeção extra, e então aprovada
- Aprovada, mas por que a solução estava no modo “apenas monitoramento” (talvez para setup inicial, teste ou outros propósitos) e outra ocasião teria bloqueado a requisição
- Permitida pela solução mas rejeitada pelo servidor upstream
- Aprovada pela solução e aceita pelo servidor upstream
Além disso, para toda requisição bloqueada ou submetida a uma inspeção extra, a solução deve explicar o porquê. Em outras palavras, a solução precisa mostrar o(s) aspecto(s) da requisição que foi dada como suspeita ou inaceitável.
Além disso, a solução deve incluir as respostas que foram dadas para as solicitações recebidas: não apenas as que foram produzidas pela solução em si, mas também pelo servidor upstream. Muitas soluções não incluem elas em seus relatórios, mas sem elas, é impossível entender completamente como o seu sistema responderá as condições de tráfego.
Por que isso é importante: Quando você analisa regularmente o tráfego de chegada e verifica a resposta do seu sistema, você pode descobrir e corrigir anomalias. Ao longo do tempo, isso irá melhorar a precisão da sua segurança web.
Isso ajudará em diversas ocasiões, incluindo na higiene geral do site (como uma análise regular dos códigos de status do HTTP sendo retornados, especialmente os 4xx e os 5xx). Outra prática recomendada é ver se algum evento de segurança recente foi um falso positivo (ou seja, um alarme de falso positivo: uma atividade não maliciosa que foi mal interpretada como um ataque). Se um falso positivo for encontrado, você revisar a política que o produziu.
Exemplo
Por exemplo. A maioria dos WAFs incluem uma proteção contra ataques de SQL injection, mas algumas vezes os usuários a desabilitam e a substitui por um filtro próprio. Então vamos supor que um administrador adicionou um filtro no seu WAF que bloqueia todas as requisições que coincidem com essa regex:
(?i)(select|create|drop|<|>|alert)W
O administrador teve como intenção bloquear todas as tentativas de injeção dos comandos SELECT, CREAT e DROP.
Em boa parte do tempo o filtro funcionará bem. Mas de vez em quando ele pode produzir um falso positivo. Por exemplo, vamos imaginar que algum dos seus clientes tente compartilhar uma de suas páginas no Pinterest. Isso vai criar uma requisição que inclui uma URL como essa:
https://www.pinterest.com/pin/create/button/?url=https://yoursite.com/your-page/
A regex mostrada anteriormente irá coincidir com essa URL (pois contém a palavra “create”), e logo essa requisição seria bloqueada como uma tentativa de injection. Apesar de ser um exemplo bem especifico, o ponto se mantém; ocasionalmente, as políticas de segurança podem ter consequências indesejadas.
Uma análise regular das reações dos seus sistemas a essas requisições permitirá que você note erros como esse e corrija as condições que as produzem. Logo, uma boa solução de segurança deve mostrar todo o tráfego dos dados e as respostas dos seus sistemas para que essas analises sejam possíveis.
Conteúdo Relacionado: Como a Segurança web em nuvem funciona (e por que ela é melhor)
Acesso simples aos dados atuais e históricos, tanto inclusivos como exclusivos
É difícil apresentar grandes volumes de dados em um formato acessível e entendível. Logo, diversas soluções sequer tentam, mesmo sendo uma funcionalidade essencial.
Uma solução de segurança web deve permitir que você veja os dados através de períodos específicos de tempo. Você deve ser capaz de usar filtros de regex, operadores booleanos, entre outros, para construir consultas de forma rápida e conseguir resultados. A solução deve suportar ambas consultas inclusivas (“me mostre requisições com essas características”) e exclusivas (“exclua dados com essas características”).
Por que isso é importante: Obviamente durante o stress de um ataque, uma interface que é estranha ou difícil de usar é inaceitável.
Entretanto, mesmo durante condições normais, capacidades de consultas robustas são importantes. Como mencionado acima, é importante ver regularmente o tráfego de entrada e ver o que se pode tirar deles.
Por exemplo, você deve querer começar todo dia com uma análise do que aconteceu nas últimas 24 horas. Mas ver todas as requisições seria exaustivo; Este tipo de análise é muito mais fácil quando você pode incluir filtros como:
- Excluir requisições de rotina, como chamadas do balanceador de carga para monitorar a saúde das URLs
- Excluir requisições aprovadas e mostrar apenas as bloqueadas.
- Mostrar apenas as requisições bloqueadas pela solução de segurança, excluindo as requisições rejeitadas pelo servidor upstream
- Excluir requisições de IPs banidos/em quarentena
- Excluir requisições que são obviamente invalidas, como as com cabeçalhos do host irreconhecíveis.
Quando a solução de segurança oferece capacidades compreensivas de consulta, incluindo flexibilidade e robustez nas opções de filtro, você pode mostrar apenas os eventos recentes mais interessantes no seu fluxo de tráfego. Isso torna muito mais fácil verificar regularmente que a solução está reagindo de forma apropriada ao tráfego e de ajustar a postura de segurança do sistemas perante a evolução do ambiente de ameaças.
A habilidade de ver os dados e controlar o tráfego em tempo real
Algumas soluções oferecem apenas dados históricos do tráfego. Porém apesar de ser útil saber o que já aconteceu, o agora também é importante.
Igualmente, a solução deve oferecer ferramentas de uso em tempo real. As regras de segurança são necessárias para filtro de tráfego a longo prazo, mas as vezes um administrador deve tomar ações diretas e imediatas que não seriam feitas pelas políticas existentes.
Por que isso é importante: Claramente, quando um ataque ocorre, é crucial tomar ciência dele imediatamente, para que as medidas corretivas possam ser tomadas, também é importante que a solução ofereça ações de remediação que possam ser aplicadas uma vez, enquanto uma solução de longo prazo é preparada. Por exemplo, se as requisições que estão chegando parecem hostis, mas estão de alguma forma evitando serem filtradas pelas políticas de segurança atuais, um administrador deve ser capaz de banir rapidamente a origem do tráfego (fazendo algo como colocar os IPS em quarentena). Isso bloqueará as requisições e irá parar o ataque; então, com o problema imediato resolvido, haverá tempo para uma análise mais profunda e construção de um novo conjunto de regras que prevenirá esse tipo de atividade no futuro.
A capacidade de fazer tudo acima para todas as requisições
Muitas soluções não oferecem dados de tráfego completos. Até mostram as métricas de requisições bloqueadas, porém não há dados das requisições aprovadas.
Essas soluções restringem sua capacidade de controlar seu tráfego e você não deveria aceitar isso.
Por que isso é importante. Uma vez capaz de ver as requisições aprovadas e as bloqueadas, você pode usá-las em diversas situações uteis.
Por exemplo, vamos supor que você tenha uma origem de tráfego que está cada vez mais suspeita, mas ainda não está hostil de forma que dispare um alerta na política de segurança. Você pode querer examinar essa requisição e talvez até restringir o acesso ao seu ambiente. Entretanto, sem a capacidade de ver requisições aprovadas, você não teria nem uma forma de saber que isso estava ocorrendo.
Outro exemplo, supondo que você não notou que um endereço de IP tem diversas requisições para a mesma URL e houve bloqueio em todas as requisições. Isso levanta uma questão: Os bloqueios ocorreram por causa do requisitante ou por causa da URL alvo?
Se você pode ver eventos aprovados, você pode ver se o bloqueamento está ocorrendo com vários usuários. Se você descobrir que a resposta é não, esse IP especifico deveria ser bloqueado, mas outros requisitantes para a mesma URL podem ser permitidos, dessa forma o bloqueio provavelmente será a melhor resposta para essa requisição de IP (Especialmente se o IP tiver tentado outras atividades questionáveis.) Paralelamente, se múltiplos requisições estão sendo bloqueadas, e elas parecem ser inofensivas, isso pode indicar um problema de falso positivo e você deve investigar a política de segurança que disparou esses eventos.
Conclusão
Junto com os tópicos discutidos acima, há diversas razões pelo qual a visibilidade completa do tráfego é uma necessidade para as soluções de segurança web.
Se a sua solução atual não te oferece tudo isso, considere o Reblaze. A plataforma Reblaze inclui visibilidade do tráfego completa em tempo real como parte da sua suíte all-in-one de segurança unificada. Os usuários podem facilmente ver o tráfego de entrada para qualquer período de tempo especificado e então detalhar em períodos mais custos ou requisições individuais conforme necessário. O Reblaze mostra claramente os detalhes do tráfego de entrada, as decisões que foram tomadas (não só as que originaram do WAF, mas também da proteção contra DDoS do Reblaze, da sua mitigação de bot avançada, do seu módulo de limite de taxa, suas funcionalidades de prevenção contra ATO (Account TakeOver e muito mais), além de reforçar as ações que foram tomadas.
Para saber mais sobre ou caso queira uma demonstração, contate-nos.
Texto Original: Reblaze




