Em negocios / noticias-corporativas

WAF: solução tecnológica que permite proteção em aplicações web

Toda empresa que trata dados pessoais de cidadãos, já tendo em mente a aderência à Lei Geral de Proteção de Dados (LGPD), devem atentar-se a esta ferramenta.

Há muito tempo a tão propagada Transformação Digital das empresas tem amadurecido para o conceito de Evolução Digital. Organizações em todo parte buscam uma forma diferente de interação e conexão com seus mercados e a tecnologia, mais precisamente a internet, tem sido o agente de pavimentação deste caminho.

Ao abrir comunicação direta com o mercado, empresas de todos os portes e setores coletam volumes imensos de dados e formas cada vez mais tênues de contato. E neste ponto entram as aplicações web, que basicamente são softwares instalados em um servidor web e desenhados para responder a solicitações e comandos, processar informações, armazenar dados e interagir com as respostas, de acordo com a demanda. Segundo o Instituto Gartner (2018), mais de 75% dos problemas com segurança na internet são devidos a falhas exploráveis a partir das aplicações web.

Quer sejam baseadas no próprio navegador web, em aplicações próprias (cliente) ou em aplicativos móveis (como os que rodam em smartphones e tablets), todos os tipos têm uma coisa em comum: a vulnerabilidade.

Os riscos de ataques mais comuns são mundialmente conhecidos e podem ser previstos com antecedência, pois são listados pela Open Web Application Security Project (OWASP), e dentre eles, os 3 principais são:

1- Injeção de SQL;

2- Script entre sites;

3-  Quebra de Autenticação e Gerenciamento de Sessão;

Os aplicativos web não protegidos são o ponto de entrada mais fácil para os hackers e são vulneráveis a diversos tipos de ataques. A abordagem em cibersegurança dos principais fabricantes do setor, diante desta demanda, projetou um firewall específico para este tipo de fragilidade; o Web Application Firewall, ou simplesmente WAF, que protege os aplicativos web contra diversas ameaças.

A rigor, o WAF é um tipo de firewall criado para combater as ameaças que estão além das capacidades dos firewalls tradicionais. Segundo Rafael Granha, Systems Engineer da Fortinet, “o WAF cria uma barreira entre o serviço baseado na web e todo o resto da Internet, bloqueando e protegendo a aplicação de ações criminosas, como vazamento de dados sensíveis ou manipulação de conteúdo, determinados tipos de fraudes em acesso administrativo e várias outras espécies de ciberataques”. Granha ainda ressalta que a arquitetura deste nível de proteção atua através de mecanismos de detecção de ataques e machine learning. “Os aplicativos são protegidos contra ameaças sofisticadas, estouro de buffer, envenenamento por cookie, fontes mal-intencionadas e ataques DoS”, pontua o engenheiro da Fortinet.

Atento a este tipo de vulnerabilidade nas organizações, Clério Almeida, CEO da Brasiline Tecnologia, integradora de soluções de infraestrutura e cibersegurança, enfatiza que as empresas que adotam o WAF garantem que todos os níveis do negócio tenham suas redes protegidas adequadamente, ajudando as equipes de TI no combate às principais ameaças e assegurando a continuidade das operações da empresa. Almeida explica que o WAF apresenta-se em duas plataformas, sendo Cloud ou On-premise. “Os WAFs hospedados na nuvem são geralmente administrados pelos provedores do serviço, que disponibilizam uma interface de configuração adequada às necessidades do cliente. Estes são a opção mais econômica e escalável de todas. E há o modelo de rede, normalmente baseado em hardware ou appliance virtualizado, que, por ser instalado localmente, tende a ser mais rápido. São muitos os benefícios nas duas opções”, destaca o executivo, que atua há quase 20 anos com cibersegurança de ambientes críticos.

É importante ressaltar sobre os investimentos em todo o ambiente tecnológico para promover os serviços baseados na internet. O ROI, principal métrica para medir o retorno sobre o investimento, para este tipo de solução tende a ser positivo, pois a resiliência das aplicações podem ser baseados no volume de processamento de informações, na quantidade de acessos dos serviços em segundos, na disponibilidade dos serviços em permanecer o maior tempo possível sem interrupções e o nível de segurança que protege este negócio.

Segundo Raphael Oliveira, Especialista Técnico da ARROW ECS, “a segurança está presente justamente para mitigar os riscos cibernéticos e a proteção avançada utilizando um produto WAF elimina essas ameaças e consequentemente o tráfego proveniente de ataques que consomem banda de internet, infraestrutura computacional e recursos operacionais”. Oliveira abre um ponto importante, “na contenção de ameaças, a empresa evita gastos desnecessários, inclusive na questão da reputação da marca ou serviço que é disponibilizado ao seu público em casos de eventos de segurança”. Oliveira ainda salienta que a organização para estar em conformidade com o PCI-DSS, padrão para setor financeiro, ou outras leis como a Lei Geral de Proteção de Dados (LGPD) ou a europeia GDPR, entre outras, passam por ferramentas deste tipo. “As ferramentas de Segurança da Informação vem para ajudar na realização dessas tarefas de compliance e automatizar ações para simplificar a proteção das informações. Elas são aliadas na proteção do perímetro de aplicações web e têm como grande missão evitar ataques pela perspectiva do hacker na condição de explorar as vulnerabilidades e extrair informações da Base de Dados das empresas ou até indisponibilizar os serviços aos seus clientes”.  

Ainda sobre a conformidade das empresas à LGPD, Wellington Santos, System Engineer da Network 1-ScanSource, acrescenta que “a nova lei foca na proteção das informações de usuários. Com uma solução WAF implementada, mitigamos a possibilidade de que informações sensíveis fiquem expostas de maneira indevida e ajuda na adoção das práticas recomendadas de privacidade e segurança dessas informações contidas em aplicações web”.

Como se pode observar, ter a ferramenta correta para a uma demanda tão crítica garante uma abordagem pragmática, que cobre todas as pontas necessárias para estabelecer a proteção dos dados pessoais e o compliance com a grande maioria das normas de privacidade e manutenção da saúde digital do negócio.

Por Rodolpho Barbosa (Gerente de Desenvolvimento de Negócios – Brasiline Tecnologia).

Website: https://brasiline.com.br/home

 

Tudo sobre: 

Contato