آیا به محصول WAF نیاز دارید؟
آیا به محصول WAF نیاز دارید؟
اگر شما یک WAF در جلوی برنامه های خود قرار ندهید نمیدانید چه اتفاقی در حال رخ دادن است و کنترلی بر برنامه ها ندارید. برنامه ها باید از اول کار امن باشند. هیچ برنامه وب 100 امن نخواهد بود پس ما باید یک استراتژی داشته و دفاع خود را در چند لایه اجرآ کنیم. ما سال ها است که از دیواره آتش شبکه استفاده میکنیم و ادعا نشده که آن از همه نقض ها و آسیب ها جلوگیری میکند. با داشتن WAF نیز نمیتوان گفت که محافظت 100 است پس هوشیاری و پشتکار لازم است.
گفته میشود که بازار محصول WAF رشد کرده ولی هنوز جایگاه خود را پیدا نکرده است. در سال 2005 بازار WAF با 10 رشد نمود و 40 میلیون دلار ارزش داشت در حالیکه بازار کلی امنیت در 5 سال گذشته رشد بین 20 الی 30 درصدی داشته است. پیش بینی میشود که در چند سال آینده بازارWAF امروز با بازار های بزرگتر ادغام میگردد و این محصول با محصولات application assurance platforms (مانند پایگاه های داده های اطلاعاتی، گیت وی های امنیتی XML و برنامه های مدیریت ترافیک) یکپارچه خواهد شد.
نکاتی در مورد WAF
1. WAF نیاز به تغییر در کد منبع (source code) ندارد.
2. WAF را میتوان با معماری بر اساس پراکسی (proxy-based) یا بر اساس بازرسی عمیق پکت ها (deep packet inspection) یا هر دو استفاده نمود.
3. معیار های ارزیابی WAF (WAFEC) معماری خاصی را مشخص ننموده است.
4. WAF با مسائل متفاوتی در مقایسه با یک دیواره آتش شبکه میپردازد. دیواره آتش از محیط شبکه محافظت میکند، کوکی ها را پارسه نمیکند و پارامتر URL را نمیداند. WAF علائم نقض ها و آسیب پذیری ها را مشاهده، مانیتور و پیگیری میکند.
اگر سازمان شما در حال بررسی نیاز به یک WAF است به توصیه های ذیل توجه کنید:
1- ارزش دارایی های نیازمند به محافظت و هزینه های حدودی نقض های احتمالی برآورد کنید.
2- دموی WAF را در یک محیط آزمایشی بررسی و آزمایش کنید.
3- محصولی را در لیست خود قرار دهید که مناسب اهداف میان مدت شما است و سطح انتظار فعلی سازمان شما را برآورد میکند و فراتر از آن میرود.
اثر WAF و دیواره آتش یکپارچه بر امنیت
در اجلاس مدیریت امنیتی و ریسک گارتنر(Gartner Security & Risk Management Summit) مواردی در مورد وضعیت ابزار های امنیتی سازمانی بیان گردید. در آمار بیان شده که یک از هر سه برنامه وب در مقابل حملات تزریق SQL (SQL injection attacks) آسیب پذیر است و دو از هر سه اپ وب دارای نقص های حملات تزریق کد (cross-site scripting flaws) میباشد.
در حال حاضر تمامی تحقیقات در زمینه آسیب پذیری برنامه ها به صورت آمارگیری انجام میشود و نمیتوان از صحت و دقت گزارشات نوشته شده اطمینان حاصل نمود. توسعه دهندگان امنیت تا بحال انگیزه نداشته اند که توسعه برنامه های امنیتی را کامل بررسی کنند. چنین بررسی هایی فقط در صورت وجود یک واقعه یا نقض اجرآ میشود.
مردم امروزه بر اساس درخواست و اجرآ کار محول شده عمل میکنند و فراتر از انتظارات دیگران نمیروند. اگر از کسی درخواست شود که نرم افزاری را تحویل دهد هدف فقط اجرای به موقع کار و وجود معیار های درخواستی در آن کار است و موارد دیگر مانند امنیت و آسیب پذیری در آن لحاظ نمیگردد. با وجود و توسعه سریع نرم افزار های موبایل این طرز تفکر تداوم پیدا کرده است و معیار موفقیت برای شرکت ها سرعت اجرای کار و به دست آوردن ورژن جدید برای فروش است نه فاکتور ایمنی آن.
در این اجلاس توصیه گردید که سازمان ها استراتژی های دیگری را که تکنولوژی های ادغام دفاع و امنیت، مانند WAF، DAP، گیت وی، در معماری برنامه خود قرار داده اند در نظر بگیرند و کمتر بر روی توسعه دهندگان ابزار تکیه کنند. اجزآ مانند WAF بهتر است با چار چوب کد و ویژگی های پلاتفرم هماهنگ شود تا امنیت مورد نیاز به دست آید.
از لحاظ بعد مالی اضافه نمودن پچ های جدید به صورت مستقل، بخصوص در مورد سیستم های عملیات حیاتی (mission-critical systems)، برای سازمان ها هزینه بر شده است. برای همین استفاده از یک WAF و دیواره آتش یکپارچه ارزانتر، سریعتر و موثر تر واقع میگردد.
یک WAF میتواند که ترافیک مابین اینترنت و شبکه شما را مانیتور و بلوکه کند. امروزه این ابزار در سازمان ها معمولآ استفاده میگردند. WAF شرکت پارس فنآورن خوارزم به عنوان محصولی مناسب برای امنیت شبکه به شما توصیه میگردد.