Show
Tấn công DDoS là gìDistributed Denial of Service (DDoS) là hình thức tấn công vào hệ thống của bạn. Hacker dùng DDoS sẽ gửi rất nhiều request đến server của bạn cùng một lúc (ví dụ hàng triệu request). Khi request gửi lên quá nhiều, server của bạn trở nên quá tải và không thể tiếp nhận những request khác, và hệ thống của bạn không thể hoạt động bình thường như mong muốn. AWS Shield là gìAWS Shield là dịch vụ chống lại các cuộc tấn công bằng DDoS.
AWS WAF là gì
Tường lửa ứng dụng web (WAF) đang ngày càng phổ biến khi ngày càng có nhiều ngành kết nối các chức năng kinh doanh quan trọng với Internet - và những kẻ tấn công chắc chắn sẽ theo sau. Vậy, chính xác thì WAF là gì, những lợi ích và hạn chế của công cụ này? WAF là gì"WAF có hai cách sử dụng chính: khả năng hiển thị lưu lượng tấn công HTTP (S) độc hại đến [và] khả năng chống lại các cuộc tấn công, đặc biệt là khi một ứng dụng Web được biết là dễ bị tấn công, cho đến khi mã cơ bản có thể được sửa đúng cách," Jeremiah Grossman, Giám đốc điều hành của Bit Discovery và là người sáng lập WhiteHat Security. Theo Gartner, theo truyền thống, WAF đã tồn tại dưới dạng các thiết bị vật lý hoặc ảo và "ngày càng được phân phối từ đám mây, như một dịch vụ (dịch vụ WAF trên đám mây)". WAF không phải là gìGrossman nói: “WAFs không thể 'sửa chữa' các lỗ hổng của ứng dụng Web. "Nó chỉ có thể che chắn cho họ." Hơn nữa, sản phẩm WAF có thể thực hiện nhiều tác vụ hơn so với mô tả ở trên - nhưng có thể không. Như Eric Parizo, nhà phân tích cấp cao tại Ovum, giải thích, các nhà cung cấp WAF đã bắt đầu tích hợp các khả năng thường được cung cấp bởi các công cụ khác, như bảo mật ứng dụng thời gian chạy, bảo vệ chống bot, dịch vụ chống DDoS và ngăn chặn lạm dụng API. Tuy nhiên, nếu bạn đang tìm kiếm một WAF, bạn không nên cho rằng tất cả các sản phẩm sẽ có những khả năng này. Cách hoạt động của WAF“Tương tự như tường lửa mạng kiểm tra và phân biệt lưu lượng truy cập dựa trên địa chỉ IP và cổng, tường lửa ứng dụng web kiểm tra và phân biệt dựa trên lưu lượng HTTP (S),” Grossman giải thích. "Cụ thể, dữ liệu và định dạng tham số đầu vào, dữ liệu cookie và định dạng, v.v...... Lưu lượng HTTP (S) đến được phân tích và phân tích cú pháp nơi lưu lượng truy cập có thể bị từ chối tùy ý." Ông cho biết thêm: “WAFs có thể được triển khai theo chức năng cùng với một trang web, dưới dạng triển khai ngoài băng tần hoặc như một thành phần phần mềm trên chính máy chủ Web. Tại sao bạn có thể muốn có WAFMặc dù WAF sẽ không "sửa chữa" các lỗ hổng của ứng dụng Web, nhưng nó có thể xác định các lỗ hổng đó và triển khai các biện pháp kiểm soát bảo mật đối với lưu lượng HTTP (S) đến có thể gây ra mối đe dọa cho các ứng dụng dễ bị tấn công đó. Mặc dù các lớp lỗ hổng bảo mật mới đang xuất hiện nhưng các lỗ hổng bảo mật cũ vẫn đang phát triển mạnh mẽ. Ví dụ: phong trào DevOps của doanh nghiệp đang truyền cảm hứng cho những kẻ tấn công tạo ra nhiều cuộc tấn công dựa trên API hơn, nhưng các cuộc tấn công chèn SQL và viết kịch bản chéo trang web vẫn đang gây khó khăn cho các nhóm bảo mật. WAF cũng có thể giúp đáp ứng các nhu cầu tuân thủ.Parizo của Ovum nói: “WAF được tạo ra bởi ngành công nghiệp thẻ thanh toán. Như ông giải thích, WAF đã không thực sự bắt đầu phổ biến cho đến khi phát hành PCI DSS 6.6, thiết lập các yêu cầu mới đối với các giải pháp kỹ thuật tự động để bảo vệ các ứng dụng Web và đưa ra WAF như một cách để đáp ứng quy tắc mới. Theo cách nói của Parizo, PCI DSS 6.6 đã "đẩy công nghệ xuống dốc như một tảng đá". Tại sao bạn nên cẩn thận với WAF của mìnhGiống như bất kỳ giải pháp bảo mật nào, WAF sẽ không giải quyết được tất cả các vấn đề của bạn. Mặc dù 75% người trả lời cho một nghiên cứu gần đây của Radware, công ty cung cấp WAF và các giải pháp Web appsec khác, đã triển khai WAF (trong số các công cụ bảo mật ứng dụng Web khác), 90% người được hỏi vẫn gặp phải các vi phạm liên quan đến appsec. Hơn nữa, vụ vi phạm Capital One gần đây làm lộ dữ liệu cá nhân rộng rãi của hơn 106 triệu người đã được kích hoạt bởi WAF bị định cấu hình sai. Vi phạm được cho là do một cựu nhân viên của Amazon Web Services (AWS) gây ra, người đã có thể khai thác điểm yếu trong WAF được định cấu hình sai (bởi Capital One) để giành quyền truy cập vào các tệp được lưu trữ trong cơ sở dữ liệu AWS. WAF rõ ràng đã được cấp quá nhiều quyền, điều này cho phép kẻ tấn công bị cáo buộc sử dụng một cuộc tấn công giả mạo yêu cầu phía máy chủ để khai thác ứng dụng Web dễ bị tấn công. Những sai lầm phổ biến nhất mà mọi người mắc phải khi sử dụng / cấu hình WAFGrossman nói: “Thách thức số 1 cho đến nay là đánh giá thấp thời gian triển khai và cấu hình khó cũng như việc quản lý thiết bị liên tục.” WAF của Capital One rõ ràng đã được cấp quá nhiều quyền khi được cấp quyền truy cập vào cơ sở dữ liệu AWS. Để tránh những sự cố như thế này và những sự cố khác, Tiến sĩ Richard Gold, trưởng bộ phận kỹ thuật bảo mật tại Digital Shadows, đã đưa ra lời khuyên này trong một chuyên mục cho Dark Reading: "Việc liên tục đánh giá môi trường đám mây đối với các vấn đề bảo mật, đặc biệt là những vấn đề có nguy cơ bị truy cập bên ngoài từ Internet công cộng. Việc xem xét cấu hình nhóm bảo mật thường xuyên có thể giúp đảm bảo rằng các dịch vụ không vô tình bị lộ và các biện pháp kiểm soát truy cập được áp dụng đúng cách." WAPPLES, để có Hiệu suất xử lý HTTPS nhanh nhấtWAPPLES, sản phẩm tường lửa ứng dụng web của Penta Security, đang tăng thị phần của mình trong các tổ chức công và lĩnh vực tài chính với hiệu suất xử lý HTTPS nhanh chóng. Sản phẩm tường lửa ứng dụng web của Penta Security cung cấp hiệu suất nhanh hơn và bảo mật an toàn hơn so với môi trường giới thiệu thiết bị mà không có thiết bị lưu lượng SSL bổ sung trong môi trường HTTPS. Bảo mật ứng dụng web WAPPLES dựa trên 10 Phương pháp luận hàng đầu của OWASP. Tìm hiểu thêm về WAPPLES và bắt đầu bảo vệ trang web của bạn ngay hôm nay. Các quy tắc của WAPPLES được xác định một cách tinh vi bằng cách phân tích một cách logic các kiểu tấn công của hàng triệu cuộc tấn công, làm cho nó có hiệu quả ngay cả khi chống lại các cuộc tấn công zero-day. Cập nhật định kỳ và tự chẩn đoán giữ cho nó ở trạng thái tốt nhất, sẵn sàng cho các mối đe dọa mới nhất. ITMAP ASIA - Đối tác của hãng Penta Security tại Việt Nam 555 Trần Hưng Đạo, P. Cầu Kho, quận 1, TP.HCM 028 5404 0717 - 5404 0799 itmapasia.com | Spring chickens they're not, but Web application firewalls (WAFs) are surging in popularity as more industries connect critical business functions to the Internet — and attackers inevitably follow. So, what exactly is a WAF, and what are the tool's benefits and drawbacks? What a WAF Is"A WAF has two primary uses: visibility into incoming malicious HTTP(S) attack traffic [and] the ability to fend off attacks, especially where a Web application is known to be vulnerable, until the underlying code can be properly fixed," says Jeremiah Grossman, CEO of Bit Discovery and founder of WhiteHat Security. Traditionally, WAFs have existed in the form of physical or virtual appliances, and "increasingly are delivered from the cloud, as a service (cloud WAF service)," according to Gartner. What a WAF Isn’t"WAFs cannot 'fix' Web application vulnerabilities," Grossman says. "It can only shield them." Further, a WAF product might perform a wider variety of tasks than described above — but it might not. As Eric Parizo, senior analyst at Ovum, explains, WAF vendors have begun to wrap in capabilities often provided by other tools, like runtime application security, anti-bot protections, anti-DDoS services, and API abuse prevention. However, if you're in the market for a WAF, you shouldn't assume all products will come with these capabilities. How a WAF Works"Similar to a network firewall that inspects and discriminates traffic based upon IP address and port, a web application firewall inspects and discriminates based on HTTP(S) traffic," Grossman explains. "Specifically, input parameter data and format, cookie data and format, and so on. … Incoming HTTP(S) traffic is analyzed and parsed where traffic can be optionally denied." "WAFs can be functionally deployed in-line with a website, as an out-of-band deployment, or as a software component on the Web server itself," he adds. Why You Might Want a WAFAlthough WAFs won't "fix" Web app vulnerabilities, it can identify those vulnerabilities and implement security controls over incoming HTTP(S) traffic that might cause a threat to those vulnerable apps. Although new vulnerability classes are emerging, the old standby vulns are still going strong. For example, the enterprise DevOps movement is inspiring attackers to create more API-based attacks, but good-ol' SQL injection and cross-site scripting attacks are still plaguing security teams. A WAF also might help satisfy compliance needs."The WAF was given life by the payment card industry," Ovum's Parizo says. As he explains, WAFs didn't really begin to catch on until the release of PCI DSS 6.6, which established new requirements for automated technical solutions to protect Web apps and put forth WAFs as a way to satisfy the new rule. PCI DSS 6.6, in Parizo's words, "shoved the technology like a boulder downhill." Why You Should Be Careful With Your WAFLike any security solution, a WAF will not solve all your problems. Although 75% of respondents to a recent study by Radware, which provides WAFs and other Web appsec solutions, had WAFs deployed (among other Web app security tools), 90% of respondents nevertheless experienced appsec-related breaches. Further, the recent Capital One breach that exposed extensive personal data of over 106 million people was enabled by a misconfigured WAF. The breach was allegedly perpetrated by a former Amazon Web Services (AWS) employee who was able to exploit a weakness in a misconfigured (by Capital One) WAF to gain access to the files stored in an AWS database. The WAF was apparently granted too many permissions, which allowed the attacker to allegedly use a server-side request forgery attack to exploit the vulnerable Web app. The Most Common Mistakes People Make When Using/Configuring a WAF"The No. 1 challenge by far," says Grossman, "is underestimating the deployment time and difficult configuration, and ongoing management of the device." Capital One's WAF was apparently given too many permissions when granted access to the AWS database. To avoid incidents like this and others, Dr. Richard Gold, head of security engineering at Digital Shadows, provided this advice in a column for Dark Reading: "It's critical to continuously assess cloud environments for security issues, especially those at risk of external access from the public Internet. Reviewing security group configurations regularly can help ensure that services are not accidentally exposed and access controls are correctly applied." WAPPLES, for the Fastest HTTPS Processing PerformanceWAPPLES, Penta Security’s web application firewall product, is increasing its market share in public institutions and financial sectors with its fast HTTPS processing performance. Penta Security’s web application firewall product provides faster performance and safer security than equipment introduction environments without additional SSL traffic equipment in HTTPS environments. WAPPLES web application security is based on the OWASP Top 10 Methodology. Get to know more about WAPPLES and start protecting your website today. WAPPLES’ rules are sophisticatedly defined by logically analyzing the attack patterns of millions of attacks, making it effective even against zero-day attacks. Periodic updates and self-diagnostics keep it at its best state ready for the newest threats. Watch this exciting video to learn more about WAPPLES’ amazing features and benefits. |
