Um estudo realizado pelo Grupo SMB em 2017 mostrou que mais de 85% das empresas de pequeno e médio porte (SMB) estão adotando a transformação digital. Isso está mudando o papel do site tradicional de um “conjunto estático de páginas HTML” para uma plataforma de experiência on-line altamente dinâmica. O site agora é o guardião da marca digital da organização.
Mas, como disse uma vez Ben Parker (sim, tio falecido do Homem-Aranha), “com grande poder, vem uma grande responsabilidade”.
Os executivos de TI agora precisam proteger os usuários - e seus dados usados pelo site - de um espectro maior de ameaças de aplicativos da Web. O recente Relatório de Segurança do Aplicativo 2018 da Whitehat Securitydestacou essas preocupações:
Cerca de 50% das vulnerabilidades descobertas em um site são Sérias ; taxas de remediação são inferiores a 50 por centoO tempo médio para corrigir uma vulnerabilidade varia de 139 a 216 diasMais de 30 por cento dos sites ainda estão mostrando habilidades precárias de segurança cibernética para desenvolvedores (por exemplo, vazamento de informações, scripts entre sites e injeção de SQL)O SSL / TLS não é adotado bem o suficiente; 23 por cento deles são fracos e crivados de vulnerabilidades
O SonicWall WAF 2.0 foi lançado em abril de 2018 como um dispositivo virtual independente, implementável em ambientes de nuvem pública e privada. O SonicWall WAF oferece uma tecnologia premiada de firewall de aplicativos da Web que funciona junto com os firewalls de última geração da SonicWall (NGFW) para proteger empresas e suas marcas digitais.
O SonicWall WAF é apoiado por uma pesquisa de ameaças do SonicWall Capture Labs para correção virtual de exploits, reduzindo significativamente a janela de exposição.
Na verdade, quando os ataques associados à British Airways e à Drupalgeddon foram lançados , o SonicWall WAF conseguiu proteger os clientes sem atualizações. Com o SonicWall WAF, os administradores podem proteger seus sites contra o amplo espectro de ameaças da Web, incluindo aqueles que visam as vulnerabilidades mencionadas no OWASP Top 10.
Cinco novos aprimoramentos para o SonicWall WAF 2.2
A próxima evolução do produto, o SonicWall WAF 2.2 ganha cinco novos recursos e aprimoramentos significativos, incluindo um novo modelo de licenciamento.
Prevenção contra malware em sites em tempo real com integração ATP de captura
Com a crescente ameaça de malware, muitos sites também correm o risco de ataques de malware avançados, como o cryptojacking, e o famoso malware CTB-locker, que direciona os sites do WordPress.
O malware é injetado em sites por meio do uso de plug-ins vulneráveis ou do uso de recursos de upload de arquivos disponíveis em muitos sites. O SonicWall WAF agora se integra ao serviço de sandbox Capture Advanced Threat Protection (ATP ). Ele detecta malwares embutidos nos fluxos de tráfego, aproveitando a plataforma de análise de malware multimídia, líder do setor, incluindo o RTDMI (Real-Time Deep Memory Inspection) . Qualquer tentativa de injetar ou carregar arquivos maliciosos em um site seria inspecionada em linha (em vez de depois do fato), mantendo uma ótima experiência do usuário.
Simplificando a Segurança da Camada de Transporte, Gerenciamento de Certificados SSL com 'Vamos Criptografar'
O maior desafio para proteger a comunicação do site é a necessidade de certificados SSL / TLS legítimos para criptografia e descriptografia. Certificados legítimos são caros para comprar, gerenciar, monitorar e renovar.
Mas, com o SonicWall WAF 2.2, as organizações podem aproveitar o serviço Let's Encrypt por meio de uma integração integrada que não apenas oferece certificados gratuitos, mas também monitora e renova automaticamente os certificados digitais.
Isso elimina o esforço administrativo para permitir que o SSL / TLS exigido no site ative o suporte para SSL / TLS.
Combinando a integração Vamos Criptografar, Perfect Forward Secrecy (PFS) e HTTP Strict Transport Security (HSTS) , o SonicWall WAF garante que os sites só sejam acessíveis através de um canal seguro e criptografado, o que também melhora a visibilidade e classificação do mecanismo de busca.
Autenticação Multifatorial Transparente Controla o Acesso a Conteúdo Sensível, Fluxos de Trabalho
A causa mais comum de vazamento de informações de sites é o controle de acesso inadequado em sites, às vezes por meio de páginas não autenticadas e outras devido à falta de controles de autenticação fortes (lembre-se do ataque Equifax ?).
Com o SonicWall WAF 2.2, os administradores podem redirecionar os usuários para uma página de autenticação para qualquer parte do aplicativo da web, aproveitando uma página de autenticação existente ou com uma página de login fornecida pelo WAF.
Os administradores também podem impor a autenticação de segundo fator usando certificados de cliente ou senhas de uso único (OTPs) para validar os usuários que tentam efetuar login no aplicativo da Web, na verdade, usuários genuínos.
Suporte API para provedores de serviços de nuvem gerenciada
Provedores de serviços em nuvem geralmente gerenciam e hospedam sites para seus clientes. Em muitos casos, eles aproveitam o DevOps e a infraestrutura programável usando APIs para iniciar ambientes de hospedagem, plataformas de aplicativos da Web e infraestrutura pronta para uso. Mas, se a segurança não estiver incorporada nesses fluxos de trabalho de DevOps, eles deixarão grandes lacunas e se tornarão responsáveis pela segurança do site.
Com o SonicWall WAF 2.2, os administradores podem iniciar automaticamente dispositivos virtuais WAF e provisionar de forma programática a segurança para sites usando scripts em fluxos de trabalho do DevOps. Isso inclui a criação de um aplicativo da Web a ser protegido, permitindo a prevenção de exploração, permitindo a integração do Let's Encrypt Integration para SSL / TLS gratuito e a integração do Capture ATP para prevenção de malware.
Novo modelo de licenciamento baseado em utilitário, uma inovação para dispositivos virtuais WAF
Com o SonicWall WAF 2.2, as organizações podem adquirir proteção por site. Isso ajuda a reduzir o custo total de propriedade (TCO), adquirindo apenas o que eles precisam. Quatro tipos de sites são atualmente suportados com base na quantidade de dados transferidos de / para o site por mês.
TamanhoVolume de dadosWebsite Pro10 GB por mêsPequeno site50 GB por mêsSite Médio200 GB por mêsGrande site500 GB por mês
Uma calculadora de dimensionamento recomendará os requisitos de computação para o dispositivo virtual WAF e fornecerá orientação aos administradores do site sobre que tipo de licença eles precisam comprar com base em várias métricas, como taxa de transferência sustentada / máxima, média de visitas por dia etc.
O SonicWall WAF ajuda os administradores a proteger seus sites e seu ambiente digital, estabelecendo confiança em sua marca digital.
Texto Suroop Chandran
FONTE: blog.sonicwall.com