O que é um Aplicativo WEB e Proteção de API (WAAP)

O Web Application and API protection (WAAP) é uma evolução progressiva do produto de segurança ZEVENET, o Web Application Firewall (WAF). O WAAP oferece os mesmos recursos de um WAF tradicional, mas também protege APIs além de aplicativos da web.

Com a evolução dos serviços em nuvem e SaaS (Software as a Service), a necessidade de integração de diversos ambientes fez avançar o uso de APIs, proporcionando a melhor solução para orquestrar todos esses serviços. Essa funcionalidade torna o WAAP mais avançado que o WAF, pois pode-se implantar um WAAP na borda de uma rede contendo serviços públicos ou configurá-lo no mesmo ambiente com um ADC.

Portanto, é aqui que o ZEVENET ADC e o WAAP se unem para trabalhar juntos e oferecer proteção para aplicativos da Web e APIs antes da entrega de um aplicativo.

Por que um WAAP é necessário

Como é possível acessar APIs e aplicativos da Web facilmente na Internet, a segurança é uma grande preocupação porque dados confidenciais são expostos. Um invasor pode causar uma violação de segurança para obter informações privadas. Portanto, um WAAP é necessário, pois a segurança da Web tradicional não lida com as seguintes tarefas:

A correspondência de assinatura não é suficiente para a segurança do aplicativo:
O conteúdo de aplicativos da Web e APIs está mudando continuamente. Portanto, a assinatura do conteúdo é difícil de obter. Como o conteúdo publicado na Web e as APIs continuam mudando, o sistema requer aprendizado constante.

Bloquear o tráfego com base no IP de origem ou na porta de destino não é suficiente:
Os firewalls tradicionais bloqueiam IPs e portas, mas essas informações geralmente são criptografadas. Um mecanismo para descriptografar, analisar o conteúdo e criptografar novamente é vital. Usamos o mecanismo TLS, para que o WAAP possa oferecer um nível mais profundo de segurança.

O tráfego HTTP(S) é atualmente o mais utilizado e pode oferecer complexidade na análise: A maior parte do tráfego da web é direcionada para o protocolo HTTP(S) da Camada 7 do modelo OSI, oferecendo complexidade no comportamento do protocolo HTTP definido no dos anos 80 aos protocolos modernos usados ​​hoje. Isso obriga a solução de segurança a não apenas usar o mecanismo IPS ou IDS, mas também ser capaz de proteger contra ataques na camada superior do modelo OSI, protocolos da camada 7 como HTTP e HTTPS.

Quais recursos um WAAP pode oferecer que um WAF tradicional não pode

O WAAP oferece recursos tremendos que um WAF tradicional não pode oferecer:

Automação e aprendizado: O WAAP é um elemento vivo integrado dentro de um ADC. Esse recurso de segurança recebe informações e aprende constantemente usando mecanismos como DoS Detection, detecção de bot, proteção de protocolo e imposição, entre outros. O mecanismo WAAP requer um canal para recebimento de dados INPUT, onde o mecanismo WAAP está constantemente recebendo novas informações e comparando as informações recebidas com os dados processados ​​e inspecionados.

APIs e microsserviços seguros: Diariamente, engenheiros constroem APIs e microsserviços para oferecer serviços públicos. O WAAP deve proteger esses endpoints, levando em consideração as informações expostas.

Como o ZEVENET funciona como um WAAP

O ZEVENET ADC inclui um módulo de segurança cibernética chamado IPDS (sistema de prevenção e detecção de intrusão). Este módulo oferece recursos WAAP, automação e aprendizado para WEBs e APIs. ZEVENET inclui um pacote chamado zevenet-ipds, e este pacote é atualizado diariamente. Este pacote possui mais de 4 mecanismos para proteção de aplicativos da Web e API. Suas propriedades são:

Regras da lista de bloqueio

As listas de bloqueio fazem parte de um mecanismo de segurança para agrupar o tráfego com base na geolocalização e em diferentes origens, conforme descrito abaixo:

geo_*: essas listas de bloqueio incluem IPs e redes baseadas em países.
TOR_nodes: Esta lista de bloqueio é obtida do projeto TOR. Aqui podemos encontrar os IPs de origem onde o tráfego TOR é publicado na internet.
webexploit: os membros da lista de fontes foram identificados como exploradores da web. Esses invasores tentaram executar várias solicitações em servidores da Web para encontrar vulnerabilidades.
ssh_bruteforce: A fonte incluída é uma lista de invasores ssh usando técnicas de força bruta para obter o usuário e a senha do servidor ssh atacado.
spyware: A(s) fonte(s) incluída(s) é(são) uma lista de intervalos de endereço IP de spyware e adware malicioso.
procuração: contém TOR e outros proxies abertos.
mail_spammer: A fonte incluída é uma lista baseada em IPs detectados enviando spam.
bad_peers: A fonte incluída é uma lista baseada em relatórios de más ações em p2p.
wordpress_list: Todos os IPs que atacam Joomla, WordPress e outros logins da Web com logins de força bruta.
Private_networks: A origem incluída é uma lista baseada em todos os endereços de origem IPv4 não roteáveis ​​na Internet.
lista de Email: Todos os endereços IP que foram relatados nas últimas 48 horas como tendo executado ataques no serviço Mail, Postfix.
ssh_list: Todos os endereços IP que foram relatados nas últimas 48 horas como tendo executado ataques no serviço SSH.
ftp_list: Todos os endereços IP que foram relatados nas últimas 48 horas para ataques ao serviço FTP.
apache_list: Todos os endereços IP que foram relatados nas últimas 48 horas como tendo executado ataques no serviço Apache, Apache-DDOS, RFI-Attacks
Exército da CIA: As fontes incluídas aqui são oferecidas pelo projeto CIArmy. Este projeto fornece a fonte de dados obtida analisando o tráfego com base em um grupo de sentinelas da Internet.
bogon: A fonte incluída aqui afirma ser de uma área do espaço de endereço IP reservada, mas ainda não alocada ou delegada pela Internet.

regras do DOS

A mitigação de negação de serviço é um conjunto de regras destinadas a proteger ou reduzir o impacto de ataques em um serviço que o torna inutilizável devido a quantidades esmagadoras de solicitações ilegítimas. O mecanismo ZEVENET IPDS inclui várias técnicas para executar proteção DoS para aplicativos da Web e APIs.

Essas regras foram descritas a seguir:

Sinalizadores TCP falsos:
Em qualquer tráfego TCP, os pacotes TCP seguem um fluxo conhecido. Um ataque TCP BOGUS é aquele em que o fluxo TCP não segue um caminho TCP esperado. Por exemplo, o pacote pode seguir um caminho SYN-FIN que é inesperado, em vez de um caminho SYN-ACK. ZEVENET monitora e controla o fluxo TCP. Se um pacote inesperado for recebido, o ZEVENET o descartará.

Limite total de conexão por IP de origem:
O ZEVENET aplica um limite de origem com base no número de solicitações por segundo e, quando o limite por IP de origem for atingido, o ZEVENET descartará os pacotes recebidos.

Limite o pacote RST por segundo:
Este é um ataque DoS comum no qual o invasor tenta abrir um soquete TCP e, assim que o pacote de resposta TCP é recebido, o invasor envia um pacote TCP RST ao host.

Limite de conexão por segundo:
O ZEVENET aplica um limite de destino com base no número de solicitações por segundo. Se o limite por IP de destino for atingido, o ZEVENET descartará os pacotes recebidos.

regras RBL

Uma lista de buraco negro em tempo real é um sistema de segurança usado pelos servidores de correio para proteção contra spammers. Se o servidor de correio receber uma conexão, ele captura o IP de origem e tenta resolvê-lo em servidores DNS conhecidos. Se a resolução de DNS funcionar, o endereço IP de origem será detectado como um invasor.

O ZEVENET desenvolveu esse mecanismo de segurança, tornando possível capturar qualquer IP de origem em um determinado fluxo e tentar resolver o IP de origem em uma zona DNS. Cada zona DNS resolve IPs de origem com base em diferentes comportamentos, e essas zonas foram descritas abaixo:

zona all.rbl.zevenet.com: O IP de origem tentará ser resolvido em todas as subzonas incluídas no rbl.zevenet.com.
zona apache.rbl.zevenet.com: a origem incluída nesta subzona faz referência a invasores contra hosts Apache.
zona asterisk.rbl.zevenet.com: As fontes incluídas nesta subzona fazem referência a invasores contra Hosts Asterisk.
zona bruteforcelogin.rbl.zevenet.com: a fonte incluída nesta subzona faz referência a invasores que tentaram obter usuários e senhas contra vários serviços de host usando mecanismos de força bruta.
zona ftp.rbl.zevenet.com: a fonte incluída nesta subzona faz referência a invasores contra hosts FTP.
zona mysql.rbl.zevenet.com: A fonte incluída nesta subzona faz referência a invasores contra Hosts Mysql.
zona ssh.rbl.zevenet.com: a origem incluída nesta subzona faz referência a invasores contra hosts SSH.
zona webmin.rbl.zevenet.com: a fonte incluída nesta subzona faz referência a invasores contra o aplicativo web Webmin.
zona apacheddos.rbl.zevenet.com: a origem incluída nesta subzona faz referência a invasores contra o servidor da Web, Apache, usando o mecanismo distribuído de negação de serviço.
zona mail.rbl.zevenet.com: a fonte incluída nesta subzona faz referência a invasores contra hosts de e-mail.

Regras WAF

O ZEVENET inspeciona o tráfego HTTP(S) de duas maneiras:

1 – Usando regras predefinidas baseadas em conjuntos de regras OWASP (Open Web Application Security Project). Os conjuntos de regras incluídos no ZEVENET 6 são baseados no OWASP Core Rule Set versão 4. Essas regras são atualizadas diariamente. Se ocorrer alguma alteração no conjunto de regras OWASP, a próxima atualização do pacote IPDS incluirá as alterações.

2 – Utilizando regras obtidas de fornecedores terceirizados ou regras customizadas desenhadas por você, nosso cliente. O ZEVENET usa o suporte do mecanismo ModSecurity para conjuntos de regras de terceiros ou para criar suas próprias regras com base na linguagem HTTP dissector.

Por padrão, ZEVENET IPDS inclui pacotes de segurança contra os seguintes ataques:

Injeção de SQL (SQLi)
Script entre sites (XSS)
Inclusão de arquivo local (LFI)
Inclusão Remota de Arquivos (RFI)
Injeção de código PHP/Java/Ruby/Perl
Trauma pós guerra
Injeção de Shell Unix
Fixação de Sessão
Detecção de Script/Scanner/Bot

Os conjuntos de regras encontrados no ZEVENET 6 incluem:

REQUEST-905-COMUM-EXCEPÇÕES
Essas regras são usadas como mecanismos de exceção para remover falsos positivos comuns que podem ser encontrados.
REQUEST-911-MÉTODO-APLICAÇÃO
Métodos de solicitação permitidos.
PEDIDO-913-SCANNER-DETECÇÃO
Verifica se há scanners como crawlers, bots, scripts, etc.
PEDIDO-920-PROTOCOLO-APLICAÇÃO
Valida solicitações HTTP eliminando um grande número de ataques na camada de aplicativos.
PEDIDO-921-PROTOCOLO-ATAQUE
Verifica ataques de protocolo.
REQUEST-930-APLICATION-ATTACK-LFI
Verifica ataques de aplicativos usando inclusão de arquivo local (LFI).
REQUEST-931-APLICATION-ATTACK-RFI
Verifica ataques de aplicativos usando RFI (Remote File Inclusion).
REQUEST-932-APLICATION-ATTACK-RCE
Verifica ataques de aplicativos usando Execução Remota de Código (RCE).
REQUEST-933-APLICATION-ATTACK-PHP
Verifica ataques de aplicativos usando PHP.
REQUEST-934-APLICATION-ATTACK-GENÉRICO
Verifique se há ataques de aplicativos usando Node.js, Ruby e Perl.
REQUEST-941-APLICATION-ATTACK-XSS
Verifica ataques de aplicativos usando XSS.
REQUEST-942-APPLICATION-ATTACK-SQLI
Verifica ataques de aplicativos usando Sql Injection.
REQUEST-943-APLICATION-ATTACK-SESSION-FIXATION
Verifica ataques de aplicativos usando fixação de sessão.
REQUEST-944-APLICATION-ATTACK-JAVA.
Verifica ataques de aplicativos usando Java.

O mecanismo IPDS é um mecanismo de inteligência contra ameaças para aplicativos da Web e proteção de API. Ele atualiza diariamente através do pacote zevenet-ipds, que funciona como o core da engine, mantendo esta engine atualizada com as regras ZEVENET e aquelas customizadas pelo cliente.

Este conjunto de regras principais zevenet-ipds usa vários mecanismos para criar essas regras de segurança, como cruzamento de dados de terceiros, análise de logs de sentinela ou análise de big data em informações privadas. Se você identificar que o conjunto de regras principal do ZEVENET IPDS inclui alguns IPs de origem ou regras como falsos positivos, entre em contato conosco e teremos prazer em corrigir o problema o mais rápido possível.