WAF vs Test Penetracyjny

Web Application Firewall umożliwia ochronę strony www w czasie rzeczywistym. Robiąc to z perspektywy chmury, umożliwia wygodne zintegrowanie chronionej strony www z sobą, dzięki czemu strona może działać i być chroniona 24h na dobę, nie tracąc na swojej wydajności i funkcjonalności.

Od strony technicznej, Web Application Firewall dostępnych publicznie i znanych sygnatur ataków hakerskich.

Ale czy WAF chroni stronę internetową w 100%?

Załóżmy, że aby przejść na Twojej stronie do profilu użytkownika, musimy wpisać w przeglądarce link:
https://twoja-strona.pl/uzytkownik/jan

Strony www bardzo często posiadają linki w powyższym formacie. Jednak co się wydarzy, jeżeli spróbujemy wejść na profil użytkownika anna, chociaż wcale nie jest to nasze konto?
https://twoja-strona.pl/uzytkownik/anna

Na wielu portalach internetowych zdarza się, że zobaczymy wtedy dane użytkownika Anna. Czasami jest to zamierzone działanie, jak np. serwis społecznościowy Facebook, gdzie możemy obejrzeć profile naszych znajomych. Jednak jeżeli tego typu zachowanie miałoby miejsce na stronie bankowej, moglibyśmy uzyskać wgląd w czyjeś konto oraz w poufne informacje.

Opisany powyżej błąd jest błędem bezpieczeństwa. Problem leży w logice aplikacji i w tym jaki sposób zostało zaimplementowane zarządzanie uprawnieniami. Przykładem prawnień może być pytanie: Czy każdy użytkownik może wyświetlić każdą fakturę w systemie czy tylko tą, która została wystawiona dla niego? Niestety nie ma możliwości, aby Web Application Firewall znał odpowiedź i mógł zablokować tego typu atak. Musimy pamiętać, że WAF jest narzędziem automatycznym, a próba wyświetlenia profilu innego użytkownika lub wspomnianej faktury może nie posiadać śladów nadużyć.

Strony bankowe nie posiadają tego typu problemów. Jak to robią? Testy penetracyjne!

Wraz ze wzrostem zapotrzebowania na wzmacnianie cyberbezpieczeństwa w organizacjach, razem z WAF’ami pojawiły się usługi zwane jako „Testy Penetracyjne”. Polegają one na symulacji ataków hakerskich przeprowadzanych przez wykwalifikowanych specjalistów. Jednak w przeciwieństwie do prawdziwych ataków, podczas testów penetracyjnych zwraca się szczególną uwagę na troskę o badane środowisko. Testerzy penetracyjni, zwani również etycznymi hakerami, identyfikują rozmaite luki bezpieczeństwa (jak np. wyżej wspomniana sytuacja z profilem czy fakturą) i manualnie oceniają, czy tego typu zachowanie badanej strony www jest poprawne, czy też niesie ryzyko strat dla testowanej witryny. O ile cyberprzestępca prawdopodobnie wykradłby dane innych użytkowników, o tyle etyczni hakerzy tworzą specjalny raport zawierający zidentyfikowane zagrożenia i bezpiecznie przekazują go właścicielowi badanej strony wraz z rekomendacjami dotyczącymi rozwiązania problemów związanych z bezpieczeństwem.

Dla instytucji z sektora dużych przedsiębiorstw testy penetracyjne wykonuje się co najmniej raz w roku, aby upewnić się, że ochrona aplikacji jest utrzymywana na właściwym poziomie. Tego typu działanie wraz z ochroną typu WAF pozwala skutecznie wyeliminować 99% zagrożeń bezpieczeństwa.

Dla mniejszych firm, posiadających mniejsze systemy np. e-commerce, WAF może okazać się wystarczającym i możliwym do zrealizowania w ramach budżetu rozwiązaniem które znacznie podniesie stopień bezpieczeństwa witryny internetowej. Zapytaj nas rówmież o ofertę testów penetracyjnych.

Kontakt

Chcesz dowiedzieć się wiecej lub zapytać o bezpłatną wycenę? Zapraszamy do kontaktu!