Firewalls, IDS e IPS conseguem proteger ambientes de TI de diversos ataques, mas e quanto ao ataques como SQL Injection, XSS, Application Denial of Service e Brutal Foce Login, essas ferramentas são eficazes ?

Na grande maioria das vezes a resposta é não. Por este motivo o mercado criou um novo tipo de ferramenta dedicada a monitorar todo tráfego HTTP e HTTPS entre clientes e servidores, tendo como objetivo analisar qualquer tipo de atividades tidas como suspeitas baseadas em assinaturas pré-cadastradas ou configuradas em uma base dados. Esse tipo de ferramenta chama-se Web Application Firewall(WAF) e várias empresas que trabalham com o mundo WEB vêm implementando em larga escala.

Várias empresas de segurança da informação que são pagas para analisarem sites, portais ou outras companhias na busca de vulnerabilidades sugerem em seus relatórios finais a implementação de WAFs nas redes dos clientes, isso porque são encontrados na grande maioria dos casos, vulnerabilidades criadas por má codificação do que por má implementação da infraestrutura. Caso haja uma vulnerabilidade devido a codificação, o WAF conseguirá prevenir a uma possível invasão, pois ele te a função de monitorar tudo o que acontece entre um cliente e os servidores WEB ou Aplicacionais.

Cisco, F5 e Barracuda Networks são empresas que criaram apppliances e ferramentas WAF para atender essa demanda, mas existem versões opensource sendo mundialmente empregadas, como é o caso do módulo mod_security para o Apache, o qual já comentei no blog.

O vídeo abaixo explica com mais detalhes o funcionamento do WAF / Web Application Firewall.

Percebo cada vez mais que o mercado de segurança da informação criará áreas de especialização devido a grande variedade de conhecimentos técnicos e vulnerabilidades que encontramos em nosso dia a dia. Logo teremos o analista de segurança especializado em Web, outro especializado em redes e assim vai.