איך בוחרים ספק או מוצר WAF
גילוי נאות – אנו מספקים מזה שנתיים שירות WAF של ריבלייז למספר רב של ארגונים, לאחר מספר שנים של ניסיון שלי עם המוצר כסמנכ"ל מערכות מידע בארגון גדול, התאהבתי במוצר!
השיא היה בכך שאיתרנו פריצה לארגון אקדמי גדול לתוך הרשת הארגונית. איך? לאחר שזיהינו ניסיון תקיפת אתר האינטרנט של הלקוח ב Reblaze העברנו את אליו את כתובת ה IP החשודה והוא איתר תעבורה של שרת קריטי בארגון לכתובת הנ"ל אשר מייד נחסם ב FW הארגוני. מדובר היה במחשב ישראלי שהאקרים רוסיים ההשתלטו עליו וממנו ביצעו את התקיפה.
הבעייתיות בשירות WAF
שירות WAF הוא שירות מורכב ומאוד נישתי ולכן יש מספר קטן של יצרנים בשוק הזה. מדובר במוצר רגיש אשר בודק כל פיסת טקסט המגיעה לשרת האינטרנט הארגוני ומכאן המורכבות והסיכוי בחסימות מיותרות, בפגיעה בשירות של הארגון במקרה של תקלה וכו'. לא בכדי ספקי שירות ה Firewall הדירו רגליהם משירות זה והשאירו אותו לשחקני נישה בשוק.
ככל ששחקני הנישה שנכנסו לתחום גדלו והרחיבו את סל המוצרים שלהם – כך פחתה השקעתם ב WAF ובעיקר ביכולת לתת שירות מהיר ומיידי.
ב WAF יש Trade off בין רמת ההגנה, לבין כמות ה False Positive. לכן, מרכיב השירות והטיפול במוצר ע"י היצרן עצמו משפר את המאזן הזה ומכאן החוזק הגדול של יצרן בוטיק כמו Reblaze הנותן שירות ישירות ללקוחות החברה ומטייב את ההגדרות עד "רמת הבורג" ותוך מענה של 15 דקות תחילת טיפול "אמיתי" מרגע קריאה ופתרון תקלה תוך דקות.
מספר עקרונות הנוגעים לשירות WAF
- חומרה מקומית אל מול ענן – שירות המבוסס חומרה מקומית מוגבל ב Scalability שלו וביום הדין עשוי לא לעמוד במתקפה גדולה, למוצרי ענן הבנויים נכון עם יכולת גדילה אוטונומית יש יתרון מובהק בהתמודדות עם אירועי אבטחה גדולים.
- ככל שהמוצר מוגבל ביכולת הזיהוי ובעיקר באפשרויות ניהול ה Rules כך מסתבך המצב כאשר נכנסים לאירועי False Positive. במוצרים הפחות איכותיים פותחים עוד ועוד בלית ברירה ושם תהיינה הפרצות.
- חסימות False Positive הקשורות לקוד – ארגונים דינמיים אשר מתרחשים בהם שינויים במערכות צריכים מענה מידי לטיפול בחסימות אשר נוגעות לענייני קוד. איש סיסטם אשר רואה חסימה בגלל בעיית Cross Scripting לא יפנה למפתחי האתר ויבקש מהם לשנות אותו, ומן הצד השני אין לו את הידע הנדרש לטפל בזה. במקרה הטוב הוא יבטל את כל האכיפה של XSS על הדף ובמקרה הרע על כל האתר במקום לכתוב פיסת קוד נקודתית שלא תסכן את הדף/אתר. אם הוא יפנה לאינטגרטור, אז האינטגרטור יפנה ליצרן שיחזור עם שאלה לאינטגרטור שיעביר את השאלה ללקוח וחוזר חלילה, מוכר לכם? ללא אפשרות להתקשר ישירות ליצרן זה עשוי לקחת שעות והמשמעות היא השבתה עד לפתרון הבעיה.
לקוח דינמי של שירות WAF שאין לו בכלל אירועי False Positive במערכת ה WAF – כדאי שיבדוק מדוע. - DDOS – פתרונות WAF עשויים לא להתמודד עם מתקפת DDOS כאשר הם אינם Scalable או שהם תכלס "פרוצים". למה? כי אם ה WAF מסוגל להתמודד עם ה DDOS אך הוא לא מזהה שמדובר בהתקפה הוא יעביר את ה Request לשרת ואז השרת יקרוס. ב Reblaze למשל כשהמערכת "חושדת" אך לא בטוחה היא מציגה "Challenge" שבו הדפדפן מציג דף מיוחד שבו יש לאשר שאינך רובוט ואז ניתן להמשיך הלאה. ככל שהמתקפה גדלה כך יוקמו עוד ועוד שרתים בענן אשר יתמודדו עם המתקפה.
- מחיר – הגנה על אתרים קטנים וכאלו שבהם השבתה איננה קריטית ושמורכבות התעבורה אליהם פחותה וקטנה, ניתן להגן עליהם עם פתרונות WAF זולים מבוססי ענן אשר עובדים ב Scale רחב אך מוגבלים ביכולת הניטור והקסטומיזציה. ככל שהארגון גדול יותר, זמינות השירות היא קריטית בעבורו, השירות הוא דינמי והאתרים משתנים כך המעבר לפתרון בוטיק כדוגמת Reblaze יתאים לו יותר. בארגונים כאלו בדרך כלל הציפיה היא לשירות של היצרן תוך 15 דקות מרגע פניה. יצרנים אשר מספקים קשת רחבה של מוצרים קשה להם לעמוד ב SLA כזה.