Ciemność, widzę ciemność, ciemność widzę.

Oślepianie samego siebie to nie science-fiction ani wyuzdane skłonności do samookaleczenia lub zadawania sobie bólu, to często spotykane sytuacje o bardzo przykrych konsekwencjach. A przecież nie chcemy paść kolejną ofiarą udanego ataku na nas?

Kilka dni temu na LinkedIn'ie napisałem krótki wpis:

"Modyfikując architekturę, implementację i konfigurację wpływającą na bezpieczeństwo, sprawdź implikacje zmiany. Inaczej możesz "oślepić" odpowiedzialnych za wykrywanie ataków lub znacznie utrudnić ich pracę, która bez tego łatwa nie jest. Niektóre zmiany są nieuniknione. Wtedy jest potrzeba ciągłej ewaluacji i szybkiego reagowania na nie. Przykład: TLS 1.3 - https://mailarchive.ietf.org/TLS_1.3"

Sytuacja z TLS w wersji 1.3 przypomniała mi o tym jak ważne jest pamiętanie o wszystkich elementach->zespołach, tworzących całościowe podejście do bezpieczeństwa w organizacji. Jeśli o tym zapomnisz, jest duże prawdopodobieństwo, że oślepisz tych, którzy mają bronić Twoją organizację i klientów.

Poniżej kilka elementów, na które proponuję zwrócić uwagę kiedy wchodzisz w inne technologie niż dotychczas lub kiedy zaczynasz myśleć o zabezpieczeniu/monitoringu aplikacji webowej, na przykładzie użycia/wyboru Web Application Firewall'a:

1. Czy używany format przekazywania danych pomiędzy przeglądarką/aplikacją mobilną a serwerem jest zrozumiały dla WAF'a? (przykłady: Base64, JSON, GWT, AMF, itp.)
1. Jeśli tak to do jakiego stopnia i które z elementów detekcji oraz prewencji działają? - czy to oczekiwany poziom inspekcji, analogiczny do wcześniej osiągniętego?
2. Czy i z jaką łatwością możesz skonfigurować model negatywny (oparty o sygnatury)?
3. Czy i z jaką łatwością możesz skonfigurować model pozytywny?
1. Jeśli tak to z jaką szczegółowością? - do poziomu wartości konkretnego parametru w całym żądaniu HTTP? - a może do formatu danych?
4. Czy w sytuacji prewencji WAF potrafi odpowiedzieć komunikatem w formacie zrozumiałym przez przeglądarkę/aplikację mobilną oraz kod strony, który ją tworzy?
2. Czy po stronie przeglądarki/aplikacji mobilnej (po stronie użytkownika) dochodzi do transformacji danych wprowadzanych przez użytkownika lub innych? - np. ich kodowanie, szyfrowanie?
1. Jeśli tak to czy WAF potrafi te dane odkodować/odszyfrować oraz poddać inspekcji?

To garść wybranych elementów, na które moim zdaniem należy zwrócić uwagę upewniając się, że jesteśmy gotowi na obronę/monitoring aplikacji webowej przy użyciu Web Application Firewall'a.

Podejście defensywne do bezpieczeństwa to nie tylko analiza alarmów i reakcja na nie, to także świadome zarządzanie architekturą, implementacją i konfiguracją elementów wpływających na pasywne bezpieczeństwo (kiedy infrastruktura działa wg. konfiguracji) oraz zdolność do obrony (co widzimy, co możemy zrobić w przypadku ataku). Oto filozofia White Cat Security.

W przypadku zainteresowania współpracą z White Cat Security - zapraszam do kontaktu.