Таблетка не волшебная, но полезная: 5 мифов о WAF, которые пора развеять

Некоторые идеализируют Web Application Firewall, другие сомневаются в его эффективности. Разногласия во мнениях мешают заказчикам оценить важность внедрения WAF для обеспечения безопасности веб-приложения и сохранения репутации компании.

Мы собрали несколько распространенных мифов о технологии WAF и решили их разоблачить.

Миф №1
WAF поможет защититься от DDoS-атак

Считается, что WAF — это щит, который отражает все виды атак и уязвимостей, в том числе DDoS-атаки.

Но в реальности анализ входящего трафика на уровне WAF — слишком ресурсоемкая задача. При мощной DDoS-атаке, когда веб-ресурс находится под шквалом «мусорных» запросов, инфраструктура WAF может не справиться с большим объемом трафика — проверка даже самого простого запроса происходит с использованием всего набора инструментов и фильтров: сигнатуры, поведенческий анализ и другие.

Поэтому в случае серьезной атаки попытка защититься от DDoS с помощью WAF, скорее всего, наоборот — сделает сайт недоступным еще быстрее.

Миф №2
Если есть NGFW, то WAF уже не нужен

Несмотря на схожий функционал, NGFW и WAF применяются для решения разных задач:

• NGFW обеспечивает защиту от различных угроз на уровне сети (L3/L4): занимается решением задач доступа и защитой от атак на этих уровнях;
  
• WAF предназначен для защиты от уязвимостей и атак на уровне веб-приложений (L7).

Миф №3
Для эффективной защиты приложений от атак хватит бесплатного WAF

Бесплатный WAF защитит веб-ресурсы от самого распространенного набора угроз. Однако он не справится с более изощренными и сложными атаками. Бесплатный WAF сложнее настраивать корректным образом и поддерживать его работу — доступного функционала для этого мало.

Платные WAF обладают продвинутыми функциями и дополнительными возможностями, такими как расширенное обнаружение и блокировка атак, виртуальный патчинг, сканер уязвимостей, интеграция с другими системами безопасности, удобное управление и мониторинг.

Миф №4
WAF и так умный, его не нужно обучать

Если не обучать технологию новым сигнатурам поведения пользователей, признакам хакерских атак, она не сможет корректно отличить вредоносный трафик от легитимного. И тогда либо злоумышленники проникнут в систему, либо легитимные пользователи будут заблокированы.

Миф №5
WAF поставил и забыл

WAF — не волшебная таблетка, выпив которую можно забыть о всех проблемах. После установки WAF его нужно грамотно настраивать и обслуживать.

Владельцу сайта важно быть включенным в работу с WAF, так как провайдер сам по себе не сможет настраивать и оптимизировать правила для сайта заказчика. Только совместные усилия, регулярное взаимодействие ИБ-специалистов и команды со стороны заказчика помогут достичь хороших результатов в области обеспечения безопасности веб-ресурса.

🧑‍💻 Узнать о WAF больше можно в других наших статьях:

«Защита от взлома: как WAF помогает защитить сайт», где мы рассказали, откуда появляются уязвимости; чем опасны атаки на веб-приложения; что такое WAF и зачем он нужен; как устроен WAF и какие угрозы предотвращает.
 
«On-premise или Cloud WAF: какую модель выбрать и почему?», где поделились, какие есть модели использования WAF; кому подойдет on-premise и какие у него недостатки; почему WAF в облаке — это удобно и что такое NGENIX Cloud WAF.