มาต่อกันดีกว่าครับ จากคราวที่แล้วเพื่อนๆก็คงได้รู้แล้วว่า Perimeter Firewall นั้นสามารถปกป้อง Web Application ได้แค่ไหน เรามาดู Firewall ที่ออกแบบมาเพื่อปกป้อง Web Application กันบ้างดีกว่า ก็ได้เกริ่นไว้แล้วบ้าง บางคนอาจลองเข้าเว็บไปดูกันมาแล้วก็ได้ http://www.imperva.com/ ชื่อของ Solution นั้นก็คือ Imperva SecureSphere ทาง imperva ได้ปฏิวัติวิธีการปกป้อง Web Application รวมทั้ง Database ด้วย โดยมีการตรวจจับภัยคุกคามที่ก้าวหน้าขึ้น, การเรียนรู้การใช้งาน App แล้วสร้างเป็น profile, สามารถเชื่อมโยงเหตุการณ์ที่เกิดขึ้นได้ และมันยังไม่ได้แค่ปกป้องเพียงส่วนนอกสุดก่อนออกเน็ตเท่านั้น ยังปกป้องได้ทั้งการโจมตีจากภายนอกและภายในด้วย เรามาดูหัวข้อที่น่าสนใจของมันกันดีกว่า
ความปลอดภัยได้จะได้รับซึ่งครอบคลุมทั้ง Web Application และ Database
- สามารถปกป้องทุกอย่างจากการโจมตีที่รู้จักตาม signature ที่มีอยู่ และการโจมตีที่ไม่รู้จักซึ่งเกิดขึ้นทุกๆวัน โดยจะทำการอัพเดตข้อมูลจาก Imperva Application Defense Center หรือ ADC
- สามารถปกป้องได้ทั้งการโจมตีจากนอกและจากภายใน
- สามารถดูข้อมูลการติดต่อกันของทั้ง Web และ Database
- มีการแจ้งเตือน(Alerting) และการปกป้องที่เหมาะสมกับการโจมตีที่เกิดขึ้น
ความเสี่ยงที่เกิดขึ้นจากการติดตั้ง
- มันง่ายต่อการใช้งานและติดตั้ง โดยเพียงไปวางขวางระหว่าง Internal Network และ Internet แต่เป็นเพียงรูปแบบหนึ่งของการติดตั้ง
- ไม่ต้องเปลี่ยนแปลง Application หรือ Network เลย
- Zero Latency
Web Application Firewall VS TOP 10 OWASP Vulnerabilities
|
OWASP ช่องโหว่ |
ป้องกัน?? |
ทำไมล่ะ?? |
|
1) Unvalidated Parameters |
ได้ |
SecureSphere จะพิจารณาทุก request ที่ส่งไปยัง Web Application แต่ละ request จะถูกตรวจสอบว่าผู้ใช้ไม่ได้เพิ่มพารามิเตอร์ หรือเว้นไว้ไม่ได้เติม และยังตรวจสอบกับ profile ที่เก็บไว้ด้วยว่าพารามิเตอร์นั้นถูกต้องไหม ไม่เพียงแค่นั้นมันยังมีกระบวนการตรวจสอบพารามิเตอร์ที่น่าสงสัยโดยอิงจากพจนานุกรมด้วย |
|
2) Broken Access Control |
ได้ |
SecureSphere สามารถตรวจจับพวก Attacker ที่พยายามจะทำอะไรกับค่าพารามิเตอร์ โดยเฉพาะพวก Cookie Tempering ก็สามารถตรวจจับได้ SecureSphere ยังสามารถตรวจสอบได้อีกด้วยถ้า Attacker พยายามเข้าหน้าเว็บที่ไม่ได้อยู่ใน profile ที่มีอยู่ มันจะตรวจจับว่าเป็นการเข้าถึง Web Application เนื่องจากไม่มีสิทธิ์ในการ SQL query ไปยัง database |
|
3) Broken Accent & Session Management |
ได้ |
จากที่ได้บอกไปในข้อข้างบนว่า SecureSphere สามารถตรวจจับเรื่องการแก้ไชค่าพารามิเตอร์และ Cookie Tempering attack ถ้า Attacker พยายามปลอมตัวเป็น user คนอื่นโดยเปลี่ยนแปลง cookies หรือ parameters ด้วยข้อมูลที่บ่งชี้ถึงถึงตัวบุคคล SecureSphere ยังสามารถตรวจจับการ password guessing attack หรือการเดารหัสผ่าน โดยมันจะแจ้งเตือนเมื่อ user ใส่รหัสผิดจำนวนมากกว่ากี่ครั้งที่เรากำหนดไว้ หรือมีการพยายามเข้าในหลายๆ account หรือเข้าถึงใน URL เดิมๆในแบบไม่ปกติ |
|
4) Cross-Site Scripting (XSS) Flaw |
ได้ |
Signature ที่เกี่ยวกับ Cross Site Scripting (XSS) ซึ่งถูกเก็บไว้ในตัว Web Application Firewall นั้นจะรวม Dictionaries เข้าไปด้วย การโจมตีประเภทนี้จะตรงกับ signature เมื่อมีการส่ง response code จาก Web Application Server ส่วนใหญ่แล้ว XSS นั้นจะพบเมื่อเกิด error pages |
|
ได้ |
SecureSphere จะตรวจสอบความยาวและข้อจำกัดต่างๆของพารามิเตอร์ที่ส่งไปยัง Web Application กฎใน SecureSphere จะตรวจสอบ response code เมื่อได้ request ที่มีพารามิเตอร์ยาวเกินกำหนด เพราะว่าเมื่อเกิด Buffer Overflow Attack ขึ้น เซิฟเวอร์จะส่ง error message ไปยัง Attacker ได้ และยังตรวจจับได้อีกด้วยถ้า Attacker คนเดิมพยายามส่งพารามิเตอร์ยาวๆ กับพารามิเตอร์ตัวอื่นๆด้วย |
|
|
6) Command Injection Flaws |
ได้ |
ถ้า Attacker พยายามเปลี่ยนค่าของพารามิเตอร์ที่กำหนดไว้โดย Web Application แล้ว SecureSphere จะแจ้งเตือนเมื่อมีการยิงคำสั่งเข้ามาเพราะความยาวของพารามิเตอร์จะผิดไปจากที่มันควรเป็นซึ่งเก็บไว้ในโปรไฟล์ และ SecureSphere ยังมีการเก็บคำที่เกี่ยวข้องกับพวกคำสั่งของ OS หลายๆยี่ห้อ, พวกชื่อไฟล์ที่สำคัญของระบบ, คำสั่งที่เกี่ยวข้องกับ database เช่น พวกคำสั่ง SQL ไว้ในฐานข้อมูลของตัวมันด้วย |
|
ได้ |
SecureSphere จะคอยตรวจดู response code ซึ่งผิดปกติที่ถูกส่งไปยัง user แล้วมันจะวิเคราะห์ข้อมูลใน responses และจะแจ้งเตือนเมื่อมี specific error message ด้วย ในตัวอุปกรณ์ สามารถจะกำหนด error page ในตัวอุปกรณ์ได้ว่าจะให้มันแสดงข้อความใดเมื่อเกิด error ขึ้น |
|
|
8) Insecure Use of Cryptography |
ได้ |
SecureSphere สามารถตรวจจับการพยายามเข้าหน้า HTTPS ด้วยโปรโตคอล HTTP ได้ มันจะตรวจสอบความถูกต้องของ SSL connection และทำให้มั่นใจว่าเข้ารหัสได้อย่างถูกต้อง ด้วยฟังก์ชันที่ชื่อว่า Proprietary cryptographic ซึ่งมันจะถูกฝังไว้ใน parameters และ cookies จากฟังก์ชันนี้ ทำให้ SevureSphere สามารถตรวจจับ parameter tampering, cooking tampering และ bad response codes ใน SSL ได้ |
|
9) Remote Administration Flaws |
ได้ |
การพยายามเข้าถึง Application ด้วยสิทธิ์ระดับ Administrative จะถูกตรวจพบโดย SecureSphere อัตโนมัติ หน้าของ Administrative จะไม่ถูกเก็บในโปรไฟล์ แต่กลุ่มของ Admin นั้นจะถูกระบุเป็น IP Address ซึ่งจะอนุญาตให้เข้าถึง Administrative page ได้ |
|
10) Web & Application Server Misconfiguration |
ได้ |
ช่องโหว่ของ Web และ Database ส่วนใหญ่ถูกเก็บในฐานข้อมูล signature ของ SecureSphere ตัว SecureSphere จะตรวจพวกการรั่วไหลของ source code จาก Web Server ไปยัง browser ของ Attacker อีกด้วย ถ้ามันเป็นพวก ASP หรือ JSP ก็จะถูกตรวจจับจาก HTTP response หรืออย่าง Zero-day Attacks จะถูกตรวจพบตั้งแต่ Attackers เข้ามายังหน้าเว็บที่พวกเขาไม่มีสิทธิ์เข้าถึง, ใช้พารามิเตอร์ที่ไม่ควรถูกใช้ หรือ bad HTTP requests |
Web Application Firewall VS Intrusion Prevention System
Self learning & Profiling
มันจะทำการเรียนรู้ก่อนว่า Application ขององค์กรเรามีหน้า page อะไรบ้างโดยเรียนรู้จากการใช้งานจริงๆ ของ user แล้วเก็บข้อมูลเป็น profile ไว้ เพราะเมื่อเรียนรู้เสร็จพร้อมที่จะใช้งานจริงๆ แล้ว profile นี้จะมีประโยชน์มากเนื่องจากถ้ามีการใช้งานที่ผิดจากข้อมูลที่เก็บไว้นั้น อาจจะเป็นการโจมตีได้ก็จะทำให้เราสามารถจะป้องกันได้ทันท่วงที
User Tracking
บทสรุป
ความต้องการในการปกป้องโปรแกรมประยุกต์หรือ Web Application Security มีแต่มากขึ้นทุกวัน เราควรจะป้องกัน Database และ application ขององค์กรเราได้ทันที เมื่อมี attacks เกิดขึ้น จากที่เห็นกันจาก OWASP Top 10 vulnerabilities ฟังก์ชั่นในการบล็อกการโจมตีนั้นอาจเป็นเพียงเรื่องเล็กๆ ของปัญหาที่พบจริงเกี่ยวกับ Web Application Security แล้วอะไรบ้างล่ะที่ SecureSphere ต่างจาก Perimeter Firewall
- สามารถป้องกัน Top 10 OWASP Vulnerabilities ได้ทั้งหมด
- มีการอัพเดตการโจมตีใหม่ๆ ที่เกิดขึ้นจาก Imperva Application Defense Center เพื่อสามารถป้องกันการโจมตีได้อย่างทันท่วงที
- Self learning - มีการเรียนรู้ Application อย่างแท้จริงซึ่งต่างจากพวก firewall, IDS, IPS ที่จะต้อง match กับ signature เท่านั้น ทำให้เกิด false-positive สูง
- Profiling – มีการเก็บพฤติกรรมการใช้งานจริงของ user ว่า page นั้นควรจะใส่ค่าพารามิเตอร์ที่มีความยาวเท่าใด ตัวอักษรชนิดอะไร
- Session Tracking – เพื่อทำให้รู้ว่ามีใครบ้างที่ log in อย่างถูกต้องหรือมีความพยายาม log in เข้าใช้ page ใดๆ ของ Application ของเราได้
WAF vs Firewall ก็คงจบแล้วครับ เด๋วคราวหน้าจะมาอัพเดตเทคโนโลยีเกี่ยวกับ security ให้ฟังกันอีกนะครับ เพื่อนๆ มีความคิดเห็นอย่างไรก็เล่าสู่กันฟังบ้างน๊า แล้วเจอกันครับ The END