Você precisa de um firewall de aplicativos web (WAF) baseado na nuvem?

Towne Besel

a shield icon with a flame overlay and a brick wall background

 

Seu aplicativo é crucial para a entrega de sua solução ou serviço, e a experiência do usuário é fundamental. Além disso, o limiar de atenção dos clientes é curto — portanto, se o aplicativo não carregar suficientemente rápido ou outra solução for mais atraente, os usuários irão para a concorrência.

As empresas gastam milhões de dólares e trabalham diligentemente para capturar a atenção dos usuários. Adicionalmente, precisam garantir a segurança das informações coletadas sobre os clientes, dos dados gerados pelo serviço e dos sistemas de dados utilizados para fornecer a solução. Diante de todo esse investimento, como garantir que seu aplicativo seja seguro e entregue no prazo, com a experiência de usuário que você espera?

Uma área-chave que as pessoas negligenciam é o firewall de aplicativos web (WAF) baseado na nuvem. Sem um WAF, é possível que seu aplicativo já esteja vulnerável a estes vetores de ataque:

  • Explorações na web
  • Abuso de API
  • Ataques de disponibilidade
  • Robôs, raspadores e rastreadores

 

"Mas eu tenho AWS, Azure ou GCP. Será que preciso de um WAF na nuvem?" Sim! Os provedores de nuvem são exímios em oferecer soluções de computação para que os clientes implantem aplicativos. Mas proteger esses aplicativos é responsabilidade sua.

Além disso, cada provedor tem uma solução própria que funciona apenas na plataforma dele. Por outro lado, as soluções WAF em nuvem fornecem uma única solução para todos os ambientes, protegendo seu aplicativo de ponta a ponta, independentemente da escala, da complexidade ou do provedor de nuvem com o qual você esteja implantado.

Vamos dar uma olhada em como os WAFs na nuvem protegem seu aplicativo e mantêm seus dados seguros.

 

Explorações na web

Atacantes hábeis atuam para descobrir fraquezas no código que executa os aplicativos na internet. Uma vez encontradas as vulnerabilidades, eles desenvolvem explorações de dia zero para usar contra os aplicativos que executam o código vulnerável.

Muitas vezes, esses hackers vendem as explorações na dark web ou em outros locais para se divertir ou lucrar. Em seguida, hackers maliciosos varrem toda a internet em busca de aplicativos vulneráveis. Quando os descobrem, podem usar as ferramentas disponíveis na dark web para roubar dados e propriedade intelectual e furtar dados de clientes, informações de cartão de crédito ou outras informações de identificação pessoal (IIP).

Para piorar ainda mais a situação, explorações comercializáveis são fáceis de encontrar e não requerem nenhuma habilidade para ser executadas. Mesmo que a sua empresa tenha pontos de extremidade protegidos e detecção de intrusões, seu aplicativo ainda pode estar vulnerável a ataques da web.

Implantar um WAF na nuvem é uma solução simples para proteger seus aplicativos contra explorações na web, tais como as dez principais ameaças do Open Web Application Security Project (OWASP), que incluem scripting entre sites, configurações incorretas de segurança e ataques por injeção de SQL. 

 

Abuso de API

O hackers não procuram vulnerabilidades apenas nos aplicativos web — eles também visam os sistemas que dão sustentação a esses aplicativos. No desenvolvimento da maioria dos aplicativos modernos, a comunicação entre sistemas é conduzida por uma interface de programação de aplicativos (API). E, em 2020, 91% das empresas sofreram algum incidente de segurança de API.

As APIs são usadas para que máquinas e programas se comuniquem entre si e viabilizem a entrega rápida que os usuários esperam. Assim como dependemos de um aplicativo para entregar um serviço ou solução, os aplicativos e apps móveis dependem das APIs para entregar informações importantes aos sistemas de apoio. Os ataques contra APIs estão crescendo em popularidade.

Ao implantar um WAF na nuvem, você consegue proteger os apps móveis dos ataques a sistemas de apoio e APIs vitais — tais como falta de recursos, limitação de taxas, autenticação corrompida e outras dez ameaças às APIs listadas pelo OWASP.

 

Ataques de disponibilidade

Os aplicativos também são vulneráveis a ataques contra a disponibilidade. Por exemplo, nos ataques de negação de serviço (DoS), os hackers lançam enormes ofensivas que inundam seu aplicativo e são capazes de sobrecarregar até mesmo a solução mais bem projetada. Isso pode degradar ou, muitas vezes, prejudicar a experiência dos usuários.

O fato de poderem ser usados vários estilos de DoS agrava ainda mais a situação. Se você está implantado localmente, a largura de banda da sua internet ou seu ponto de agregação de rede podem ser sobrecarregados por um ataque volumétrico, como inundações SYN ou ataques de amplificação de DNS, que saturam a rede com tráfego falso.

Muitas empresas têm mitigado os ataques DDoS do tipo volumétrico adotando a transformação digital e migrando para um provedor de nuvem como AWS, Azure ou Google Compute. Esses provedores oferecem grupos de segurança que permitem aos usuários bloquear portas e protocolos indesejados, de forma semelhante a um firewall dinâmico. Essa estratégia evita que inundações de tráfego falso cheguem ao aplicativo, mas não bloqueia o tráfego nas portas ou protocolos dos quais o aplicativo depende. Os adversários já descobriram técnicas para lançar ataques contra as portas e protocolos obrigatórios usando solicitações falsas.

Esse ataque é chamado de DDoS de aplicativo, já que o alvo é o aplicativo em vez da rede. Clientes com instalações locais dispõem de pouquíssimas soluções para se defender quando ataques DDoS dos tipos volumétrico e de aplicativo são usados em combinação.

Com um WAF na nuvem, seu aplicativo estará protegido contra ataques DDoS volumétricos e de aplicativo.  As mitigações de DDoS com WAF na nuvem estão disponíveis para ambientes locais, na nuvem ou híbridos.

 

Robôs, raspadores e rastreadores

Depois de implantar e proteger seu aplicativo, você pode se concentrar em capturar a atenção do cliente, certo? Infelizmente, não.

Os golpistas vão procurar obter qualquer vantagem possível, e isso não será diferente com seu serviço ou solução. Desde lojas de calçados até casas de shows, vários setores têm sido impactados pelos "robôs maus": programas escritos para comprar todas as unidades de um item muito procurado antes que os clientes consigam fazê-lo. Depois, os golpistas revendem os itens por um preço muito maior.

Além disso, um concorrente malicioso que queira oferecer produtos mais baratos que os da sua empresa pode escrever um "raspador" para monitorar as mudanças no seu site, inclusive as ofertas e liquidações que você tem. Usando esses programas, os golpistas podem roubar seus clientes oferecendo itens semelhantes, só que um pouco mais baratos. Diante da escolha entre dois itens similares, os consumidores optarão pelo preço mais baixo.

Para obter vantagem sobre a concorrência, as empresas investem pesado em Otimização de Mecanismos de Busca (SEO) e marketing para melhorar os resultados em plataformas como o Google. As técnicas e táticas usadas para manter o resultado no topo são próprias de cada organização e formam a base de sua respectiva propriedade intelectual. O uso do robots.txt é uma das melhores práticas do setor e uma ótima solução para que os rastreadores bem-comportados saibam se e quando indexar o seu site; porém, os rastreadores e adversários maliciosos escrevem programas para roubar seu SEO e outros segredos comerciais usados para manter os resultados no topo das pesquisas.

Usando um WAF na nuvem, você pode impedir que robôs, raspadores e rastreadores atinjam seu aplicativo. O efeito será menos tráfego indesejado, menor custo de infraestrutura, maior retorno sobre o investimento de marketing e melhora na experiência geral do cliente.

 

Como a Rackspace Technology pode ajudar

Na Rackspace Technology, nossos clientes contam com a solução Managed Cloud WAF para proteger seus aplicativos em ambientes de nuvem, locais e híbridos. Com o Managed Cloud WAF, nossos especialistas fornecem tudo, desde segurança até a entrega de aplicativos, permitindo que nossos usuários se concentrem na gestão de seus negócios. O Managed Cloud WAF é uma maneira fácil de implantar uma solução de segurança em escala global em ambientes híbridos e multinuvem.

Dê o próximo passo para proteger seus aplicativos. Faça nossa rápida autoavaliação de segurança com 15 perguntas e receba uma consulta profissional com um especialista em nuvem. Ele analisará os resultados com você, tirará dúvidas e recomendará melhores práticas para solucionar as brechas de segurança identificadas.

 

Conheça sua pontuação de risco em cibersegurança.