apresentação comercial akerwebdefender
DESCRIPTION
Apresentação Web Gateway AkerTRANSCRIPT
À frente dos desafios da segurança digital.
Firewall de Aplicação,Proteção completa para aplicações Web
A Segurança em Aplicações Web.
Agenda
A importância das aplicações Web nas empresas:Por que existem problemas nas aplicações Web?
Por que as aplicações são o foco dos ataques?
Web Application Firewall.
Aker Web Defender
A importância das aplicações Web nas empresas
Economia de tempo
Compatibilidade
Baixo consumo de recursos
Acesso imediato
Usuários trabalhando ao mesmo tempo
Alta disponibilidade
Exemplo de aplicações Web nas empresas
A. Blog
B. Portais de negócios
C. Webmail
D. Portais institucionais CMS (Joomla, Wordpress, outros)
E. Sites institucionais
Estatística de crescimento de aplicações Web
Esse crescimento sem limites tem trazido novos problemas e transformou as aplicações Web em alvo de atacantes. Segundo o Gartner, 75% dos ataques estão dirigidos às aplicações.
Por que existem problemas de segurança nas aplicações Web?
A. Falta de cultura em programação segura;
B. Falta de um ciclo de programação segura nas empresa;
C. Falta de política de retenção de programadores nas empresas;
D. Terceirização do desenvolvimento das aplicações;
E. Os programadores estão preocupados com funcionalidades, e não com segurança;
F. Legado de aplicações.
*** Os boas práticas em programação segura não se aplicam para novas vulnerabilidades e não se aplicam para legados de aplicações.
Aplicações Web e Padrões Internacionais
OWASP (Open Web Application Security Project)Fundação que promove a segurança no desenvolvimento de aplicativos web.
Não endossa ou recomenda produtos comerciais.
Lista as 10 vulnerabilidades de maior risco em aplicações web.
Isso tudo é teoria. Na prática, como vimos anteriormente,
quase ninguém segue padrões de desenvolvimento
seguro, porque é muito caro e demorado.
Por que as aplicações Web são o foco dos ataques?
Porque as aplicações conversamdiretamente com os bancos de dadosdas empresas;
Porque os atacantes sabem que asempresas não têm um ciclo dedesenvolvimento seguro;
Porque, em nível de infraestrutura derede, os atacantes sabem que asaplicações não podem ser protegidaspelos firewalls convencionais e que osIPS não são capazes de deter ataquesna camada de aplicação.
Por que as aplicações Web são o foco dos ataques?
O que motiva um atacante?Antigamente era fama e o prestígio frente à comunidade underground.
Hoje, prestígio, protesto (Anonymous) e, principalmente, ganhos financeiros.
SQL Injection
Ocorre quando é possível injetar instruções (código) SQLem uma aplicação, utilizando parâmetros de entrada quesão posteriormente repassados ao banco de dados paraexecução.
As ações executadas ocorrem com o mesmo nível deprivilégios do usuário que está sendo utilizado para seconectar ao banco de dados.
Vulnerabilidade com mais de 15 anos e continua a ser amais utilizada forma de extração de dados e de ataques.
SQL Injection
Fire
wal
l
OS Hardenizado
Servidor Web
Servidor de Aplicação
Fire
wal
l
Banc
o de
Dad
osSi
stem
as L
egad
osSe
rviç
os W
ebEs
trutu
ra d
e D
iretó
rios
Rec
urso
s H
uman
osFa
tura
men
to
Código Personalizado
ATAQUE DEAPLICAÇÃO
Cam
ada
de R
ede
Cam
ada
de A
plic
ação
Con
tas
Fina
ncei
roAd
min
istra
ção
Tran
saçõ
esC
omun
icaç
ãoD
ados
Com
érci
o el
etrô
nico
Reg
ras
de N
egóc
io
Requisição HTTP
SQL query
Tabela do Banco
RespostaHTTP
"SELECT * FROM accounts WHERE acct=‘’ OR 1=1--
’"
1. O aplicativo apresenta um formulário para o atacante;2. O atacante envia um ataque no campo de dados;3. A aplicação passa o ataque para o banco, como uma consulta SQL;
Lista de Usuários
Acct:5424-6066-2134-4334Acct:4128-7574-3921-0192Acct:5424-9383-2039-4029Acct:4128-0004-1234-0293
4. O banco executa a consulta contendo o ataque e envia os resultados criptografados de volta à aplicação;5. A aplicação decifra os dados como em uma operação normal e devolve os resultados para o usuário.
Usuário:
Senha:
Usuário:
Senha :
Fonte: OSWAP 2010
Entendendo o perímetro – melhores práticas
As 3 camadas básicas de um perímetro de segurança:
Firewalls convencionais podem detectar ataques,
inspecionando IP e Portas.
Já IPS, só assinaturas conhecidas:
É possível evadir assinaturas;
Não inspeciona trafego SSL;
Não entende com perfeição o protocolo http, nem as particularidades das aplicações, gerando um alto número de falsos positivos;
Não consegue fazer controle de aplicações.
Camada de Rede(OSI 1-3)
Camada de Aplicação(OSI 4-7)
Firewall
IDS/IPS
Web Application Firewall
Somente um Web Application Firewall pode detectar e bloquear ataques às aplicações Web.
Novos Desafios
Ameaça Firewalls/IPS WAF
Cookie poisoning Assinaturas
Hidden field manipulation Assinaturas
Cross Site scripting Assinaturas
Ataques de injeção
Comandos Stealth
Parameter Tampering
Buffer overflow
Google Hacks
Forceful Browsing
Roubo de Identidade
DoS de Aplicação
Roubo de Dados
FirewallsNormalmente não supervisionam tráfego HTTP/S de forma adequada.
IPS/IDSFoco principal em Assinaturas, não possuem foco na aplicação;Não conseguem proteger ataques "zero day”;Tráfego criptografado é preterido;Não é possível "normalizar" o tráfego para detectar ataques ofuscados.
O que falta?
Mais controle na estrutura do aplicativo:
URLs, cookies, cabeçalhos, formulários, de sessão, as ações SOAP, elementos XML ...
O que é um WAF?
O WAF oferece proteção específica contra ataques às aplicações Web. Diferente dos IPS, só entende e trabalha na camada de aplicação. É especialista em análises de tráfego http, inspeciona tráfego https (ssl), além de trabalhar com análises de assinaturas e análises comportamentais, utilizando o modo positivo. Tem, inclusive, recursos de inteligência artificial.
Topologia de rede com WAF
Aker
Web Defender
Proteção WAF
Problema Protege Não Protege
Violações de protocolo HTTP
SQL Injection
LDAP Injection
Injeção de comandos no sistema operacional
Cross-Site Scripting (Refletido e Armazenado)
Cookie Tampering
Buffer Overflow
Remote File Include
Information Leak
Brute Force Login
Negação de Serviço *
Design (Arquitetura)
* Proteção Parcial
WAF - Comparativo
Funcionalidade ImpervaSecureSphere
IBMData Power
TrustWaveWebdefend
AKERWeb Defender
SSL Termination
HTTP protocol filtering
Protection SQL injection
Virtual Patching
Modo Positivo
HTTP, HTTPS (SSL), XML, Web services, SOAP e AJAXSistema especialista para detecção de ataquesRede bayesiana para detecção de ataquesRede neural para detecção de ataques
Appliances
Modelos Throughput(MBITS/S)
Nº de applicaçõesprotegidas
Aker Web Defender Box 50 50 5
Aker Web Defender Box 200 200 25
Aker Web Defender Box 500 500 50
Aker Web Defender Box 2000 2.000 100
Aker Web Defender Box 4000 4.000 300
Obrigado!
/AkerSec
@akersecurity
www.aker.com.br