Таблетка не волшебная, но полезная: 5 мифов о WAF, которые пора развеять
Некоторые идеализируют Web Application Firewall, другие сомневаются в его эффективности. Разногласия во мнениях мешают заказчикам оценить важность внедрения WAF для обеспечения безопасности веб-приложения и сохранения репутации компании.
Мы собрали несколько распространенных мифов о технологии WAF и решили их разоблачить.
Миф №1
WAF поможет защититься от DDoS-атак
Считается, что WAF — это щит, который отражает все виды атак и уязвимостей, в том числе DDoS-атаки.
Но в реальности анализ входящего трафика на уровне WAF — слишком ресурсоемкая задача. При мощной DDoS-атаке, когда веб-ресурс находится под шквалом «мусорных» запросов, инфраструктура WAF может не справиться с большим объемом трафика — проверка даже самого простого запроса происходит с использованием всего набора инструментов и фильтров: сигнатуры, поведенческий анализ и другие.
Поэтому в случае серьезной атаки попытка защититься от DDoS с помощью WAF, скорее всего, наоборот — сделает сайт недоступным еще быстрее.
Миф №2
Если есть NGFW, то WAF уже не нужен
Несмотря на схожий функционал, NGFW и WAF применяются для решения разных задач:
- NGFW обеспечивает защиту от различных угроз на уровне сети (L3/L4): занимается решением задач доступа и защитой от атак на этих уровнях;
- WAF предназначен для защиты от уязвимостей и атак на уровне веб-приложений (L7).
Миф №3
Для эффективной защиты приложений от атак хватит бесплатного WAF
Бесплатный WAF защитит веб-ресурсы от самого распространенного набора угроз. Однако он не справится с более изощренными и сложными атаками. Бесплатный WAF сложнее настраивать корректным образом и поддерживать его работу — доступного функционала для этого мало.
Платные WAF обладают продвинутыми функциями и дополнительными возможностями, такими как расширенное обнаружение и блокировка атак, виртуальный патчинг, сканер уязвимостей, интеграция с другими системами безопасности, удобное управление и мониторинг.
Миф №4
WAF и так умный, его не нужно обучать
Если не обучать технологию новым сигнатурам поведения пользователей, признакам хакерских атак, она не сможет корректно отличить вредоносный трафик от легитимного. И тогда либо злоумышленники проникнут в систему, либо легитимные пользователи будут заблокированы.
Миф №5
WAF поставил и забыл
WAF — не волшебная таблетка, выпив которую можно забыть о всех проблемах. После установки WAF его нужно грамотно настраивать и обслуживать.
Владельцу сайта важно быть включенным в работу с WAF, так как провайдер сам по себе не сможет настраивать и оптимизировать правила для сайта заказчика. Только совместные усилия, регулярное взаимодействие ИБ-специалистов и команды со стороны заказчика помогут достичь хороших результатов в области обеспечения безопасности веб-ресурса.
🧑💻 Узнать о WAF больше можно в других наших статьях:
«Защита от взлома: как WAF помогает защитить сайт», где мы рассказали, откуда появляются уязвимости; чем опасны атаки на веб-приложения; что такое WAF и зачем он нужен; как устроен WAF и какие угрозы предотвращает.
«On-premise или Cloud WAF: какую модель выбрать и почему?», где поделились, какие есть модели использования WAF; кому подойдет on-premise и какие у него недостатки; почему WAF в облаке — это удобно и что такое NGENIX Cloud WAF.