Se você ou sua empresa tem um site já deve ter pensado seriamente sobre segurança ou muito, provavelmente, já sofreu algum incidente relacionado. Porque não se trata mais de uma questão de “se” mas de “quando” ocorrerá algum evento dessa natureza.
Com a proliferação dos Content Management Systems (CMS), como WordPress, Joomla, Drupal, etc., que possuem código fonte aberto ao público (Open Source), diversos portais na Internet hoje são montados em bases comuns entre si.
Não é raro que um site seja desenvolvido a primeira vez sobre um CMS e nunca mais atualizado, ou seja, quando há uma vulnerabilidade conhecida, aqueles que não fizeram a atualização do sistema simplesmente são atacados, tendo seu conteúdo explorado.
Os prejuízos financeiro e de imagem para essas empresas são incalculáveis, sem falar quando a coisa não fica mais séria e impacta diretamente os clientes ou os provedores onde os sites estão hospedados, já que determinados tipos de injeções proliferam conteúdos maliciosos ou ataques.
Como resolver e cobrir 100% desse problema? A má notícia é que não existe resolução total e completa, mas sim, camadas adicionais de mitigação, aliada a ações de melhores práticas por parte do mantenedor ou desenvolvedor dos sites.
O WAF (Web Application Firewall) é uma proteção a mais localizada entre o visitante (ou atacante) e o servidor de hospedagem. O acesso passa primeiro pelo WAF e é analisado por ele e, caso não seja “compreendido” como um possível ataque, é entregue ao web server que exibirá aquele conteúdo.
Fonte: Sucuri.net
Além da prevenção em termos de código e aplicação, um serviço ou appliance de WAF deve preferencialmente prever suporte a ataques Distribuídos de Negação de Serviço (do inglês DDoS).
Existem diversos serviços de WAF na nuvem, alguns deles bem conhecidos e eficientes, como: Sucuri, CloudFlare, Incapsula, entre outros. Todos com valores bastante acessíveis e implantação praticamente indolor para seu site e servidor de hospedagem.
Lembre-se, o WAF não faz milagres – e não é sua intenção fazê-lo – desta forma não se esqueça de que ele funciona como uma camada de mitigação e, portanto, não resolverá todos os seus problemas. Sempre trabalhe no sentido de ter um código defensivo contra injeções de conteúdo (POSTs/GETs, SQL Injections, Cross Site Scripting, etc.) e mantenha seu CMS/Framework atualizado.
Avalie os riscos técnicos e estratégicos de seu negócio e caso haja viabilidade para implantação de um Web Application Firewall em seu budget, recomendo fortemente, afinal segurança e prevenção nunca são demais.
É especialista nos mais diversos ecossistemas de nuvem e tem como missão ser evangelizador de Cloud Computing nas pequenas e médias empresas, motivando a adoção da nuvem como forma de aumento de eficiência, redução de custos e vantagem competitiva. Bacharel em Sistemas de Informação com MBA em Gestão Estratégica da Informação pela COPPE/UFRJ. Líderança em verticais de Hosting, Cloud Computing, Software Defined Datacenter (SDDC), E-mail Corporativo e Cloud Managed Services. Principais Certificações: - Linux Professional Institute Certification (LPIC-1) - LPI 101 e 102 - Linux Professional Institute Certification (LPIC-2) - LPI 201 - SUSE Enterprise Linux Certified System Administrator 11 - Novell Certified Linux Administrator - CLA 11 Certified - Novell Datacenter Tech Specialist - DCTS Certified - VMWare Technical Sales Professional 5 (VTSP 5) - Sophos UTM/Network Protection Certified Engineer - TO30a | EL30a - Cloud Open Exam (COE)
You must be logged in to post a comment.
