Các tình huống kinh doanh để triển khai tường lửa ứng dụng web

Chủ đề trong danh mục 'Quảng cáo' được đăng bởi itmapasia, 8/1/21.

Chia sẻ trang này

Thêm chủ đề của itmapasia
  1. itmapasia

    itmapasia Thành viên mới

    Ngày tham gia:
    28/12/18
    Bài viết:
    11
    Đã được thích:
    0
    Điểm thành tích:
    1
    Các tình huống kinh doanh để triển khai tường lửa ứng dụng Web

    Media này không hiển thị với bạn. Vui lòng Đăng ký hoặc Đăng nhập.
    Tường lửa ứng dụng web (WAF) đã xuất hiện đủ lâu để ngành bảo mật Web hiện đã khá trưởng thành. Rốt cuộc, WAF đầu tiên xuất hiện vào cuối những năm 1990 để giải quyết các mối đe dọa ngày càng tăng tấn công các ứng dụng trực tiếp. Ngày nay, các dịch vụ WAF có giá từ miễn phí đến hàng trăm nghìn và rất khác nhau trong các mô hình triển khai của chúng.

    Mặc dù WAF đã phát triển trong quá trình trưởng thành và phổ biến trong những năm qua, thì cũng có các tác nhân đe dọa dựa trên Web mà chúng bảo vệ chống lại. Các tác nhân này có thể là bất kỳ ai, từ thanh thiếu niên đang thử nghiệm các kỹ năng tiêm SQL mới học được trên trang web của tổ chức, đến kẻ tấn công được nhà nước bảo trợ đang tìm cách đánh cắp thông tin độc quyền của tổ chức.

    Điều khiến bảo mật Web trở nên thách thức là thiết kế WAF phải vừa "mở" vừa an toàn. Nó phải duy trì tính khả dụng rộng rãi trong khi duy trì ủy quyền người dùng thích hợp và bảo mật dữ liệu. Ví dụ, các trang HTML cũ chưa bao giờ được thiết kế để bảo vệ toàn bộ cơ sở dữ liệu chứa đầy thông tin thẻ tín dụng hoặc hệ thống doanh nghiệp khỏi những tin tặc được xác định. Các cổng VPN dựa trên web đặc biệt khó khăn ở chỗ chúng được thiết kế để trở thành một kênh truy cập an toàn vào một công ty, nhưng chúng vẫn tồn tại trên Internet mở - nghĩa là bất kỳ ai cũng có thể thực hiện cuộc gọi đến trang web và truy cập nội dung không bị hạn chế của nó.

    Đây chỉ là một vài lý do tại sao nhiều công ty ngày nay đang chuyển sang WAF, dưới nhiều hình thức, để đáp ứng nhu cầu về một phương pháp tiếp cận "bảo mật" nhằm bảo vệ mạng và tài nguyên của công ty - cũng như dữ liệu đối tác và khách hàng - - từ sự bất lợi qua Internet. Mặc dù các ứng dụng Web rất tuyệt vời vì sự tiện lợi và khả năng tương thích, chúng cũng tạo ra các bề mặt tấn công bổ sung trên bất kỳ dữ liệu nào mà chúng có quyền truy cập.

    Các yếu tố này phải được xem xét để giúp các tổ chức hiểu rõ hơn khi nào hoặc tại sao (ngay cả khi) họ cần triển khai tường lửa ứng dụng Web.

    Tình huống WAF # 1: Cửa hàng online
    Lý do đầu tiên và thuyết phục nhất để triển khai WAF là để bảo vệ dữ liệu và dịch vụ kinh doanh. Hàng nghìn doanh nghiệp, từ ngân hàng ở thị trấn nhỏ đến doanh nghiệp lớn nhất, dựa vào sự hiện diện trên Web của họ để mang lại doanh thu và giữ cho công ty phát triển. Nếu dòng doanh thu này bị tổn hại, việc kinh doanh sẽ bị ảnh hưởng tiêu cực theo một số cách, bao gồm:

    • Mất doanh thu trực tiếp - Khi tài nguyên Web trở nên không khả dụng, một công ty có thể mất một số tiền đáng kể từ việc mua hàng không diễn ra hoặc khách hàng tiềm năng không được tạo ra.
    • Mất lòng tin của khách hàng - Nhiều người tiêu dùng và khách hàng chú ý đến các câu chuyện tin tức về các doanh nghiệp cụ thể đã bị tấn công và họ lưu ý không làm ăn với nhà cung cấp đó. Danh tiếng là quan trọng.
    • Mất dữ liệu nhạy cảm - Trong nhiều trường hợp, các trang web bị xâm nhập đã dẫn đến việc tin tặc truy cập vào thông tin nhạy cảm như chi tiết thẻ tín dụng, tên, địa chỉ, số chứng minh thư và thông tin y tế. Các dạng dữ liệu được bảo vệ khác có thể bao gồm thông tin độc quyền, bí mật thương mại và thậm chí cả dữ liệu được phân loại của chính phủ. Mặc dù bản thân điều này là xấu, nhưng tiền phạt và chi phí khắc phục hậu quả thiên tai/điều tra có thể vượt quá tài chính khác đối với doanh nghiệp.
    Mặc dù việc sử dụng WAF sẽ không đảm bảo những sự cố này sẽ không xảy ra, nhưng nó là một phần quan trọng của cách tiếp cận toàn diện, nhiều lớp đối với bảo mật CNTT có thể giúp giảm đáng kể tỷ lệ xảy ra. Và, nếu một sự cố xảy ra, WAF có thể giúp giảm tác động của nó đối với tổ chức, khách hàng và đối tác của tổ chức cũng như lợi nhuận cuối cùng.

    WAF và SSDLC
    Có một số lý do khiến tổ chức không thể chỉ dựa vào vòng đời phát triển phần mềm an toàn (SSDLC) - SSDLC là phiên bản hiệu quả của vòng đời phát triển phần mềm tiêu chuẩn, nơi bảo mật được áp dụng ở tất cả các giai đoạn. Vấn đề chính khi triển khai SSDLC là cần thời gian, tiền bạc và công nghệ để triển khai và hỗ trợ, đây không phải là một đề xuất dễ dàng. Vì mục tiêu cuối cùng là tạo ra một sản phẩm an toàn, một WAF có thể được giới thiệu trước các thành phần mạng (ngay cả khi chúng không dựa trên trình duyệt) để tăng tính bảo mật.

    Các tổ chức có thể "gắn chặt" WAF vào các dịch vụ và ứng dụng, và không cần nỗ lực nhiều, điều chỉnh nó để bảo vệ các ứng dụng Web khỏi các cuộc tấn công. Điều này có hiệu quả sẽ giúp các tổ chức có đủ thời gian để hoàn thành bất kỳ phân tích bảo mật nào được yêu cầu và đóng bất kỳ vấn đề nào được phát hiện. Trong một số trường hợp, các dịch vụ trực tuyến mới mua có thể được bảo vệ trong khi các doanh nghiệp tìm ra cách để đảm bảo kiểm tra bảo mật mà trước đây nó không tồn tại.

    Điều quan trọng là phải hiểu rằng WAF không phải là sự thay thế hoặc thay thế cho việc kiểm tra và bảo mật ứng dụng Web thích hợp. Nó là một công cụ bảo mật tồn tại ở một lớp trong một cách tiếp cận tổng thể.

    Tình huống WAF # 2: Người dùng dịch vụ Web
    Gần như mọi tổ chức đều kinh doanh với các nhà cung cấp trực tuyến ngày nay và trong nhiều trường hợp, thậm chí còn lưu trữ các dịch vụ Web do người khác sở hữu và cung cấp. Điều này gây ra một vấn đề duy nhất bởi vì các doanh nghiệp không thể trực tiếp kiểm soát an ninh của các dịch vụ Web thuộc các tổ chức bên ngoài. Do đó, các dịch vụ này vẫn có thể gây ra rủi ro cần giảm thiểu.

    Ví dụ, hầu hết các công ty lớn có thể mua phần mềm nhân sự (HR) để lưu trữ nội bộ hoặc có thể mua dưới dạng dịch vụ dựa trên đám mây. Ngay cả khi ứng dụng HR được lưu trữ nội bộ, thỏa thuận cấp phép người dùng có thể ngăn tổ chức thực hiện kiểm tra bảo mật chi tiết. Nếu sản phẩm dựa trên nền tảng đám mây, thì mọi thứ thậm chí còn trở nên phức tạp hơn, vì máy chủ web, chủ sở hữu phần mềm và nhà cung cấp dịch vụ đều phải cung cấp giấy phép bằng văn bản để kiểm tra bảo mật chi tiết.

    Một ví dụ khác về điều này là khi một công ty mua dịch vụ của bên thứ ba để khách hàng của họ sử dụng có thương hiệu. Trong ngành ngân hàng, nhiều tổ chức tài chính nhỏ sẽ mua một sản phẩm ngân hàng trực tuyến và đặt nhãn hiệu đó là sản phẩm của họ nhưng được lưu trữ ở nơi khác. Đó là một vị trí khó khăn để có được, bởi vì tổ chức tài chính không trực tiếp kiểm soát phần cứng / phần mềm của sản phẩm ngân hàng trực tuyến.

    May mắn thay, vì ngân hàng kiểm soát thông tin DNS, tất cả lưu lượng truy cập có thể được định tuyến thông qua WAF, do đó cung cấp một lớp bảo mật bổ sung với tác động hiệu suất tối thiểu trên chính trang web.

    Rất may, WAF không kén chọn người mà họ đang bảo vệ. Các tổ chức có thể đặt chúng giữa họ và dịch vụ hoặc giữa dịch vụ và những người khác. Ngay cả khi một công ty mua một ứng dụng để sử dụng trong nội bộ, họ có thể đặt WAF trước nó để giảm rủi ro cho trang web và dữ liệu của nó.

    Phần lớn các sự cố bảo mật máy tính trong tổ chức bắt đầu từ điểm cuối, PC hoặc thiết bị di động của người dùng. Từ đó, như đã thấy trong các vụ thỏa hiệp bán lẻ lớn gần đây, sự lây nhiễm có thể lây lan sang các tài nguyên Web. Và, từ đó, bầu trời là giới hạn về mức độ rắc rối mà vi phạm có thể gây ra. Với một WAF được triển khai đúng cách giữa các thiết bị đầu cuối và ứng dụng Web, các tổ chức có thể giúp ngăn chặn những sự cố này xảy ra ngay từ đầu.

    Media này không hiển thị với bạn. Vui lòng Đăng ký hoặc Đăng nhập.
    Vị trí WAF (xem hình ảnh) có thể là lý tưởng khi một tổ chức đang cung cấp dịch vụ Web. Nó cũng có thể cho họ thời gian để nâng vòng đời bảo mật của cơ sở mã lên ngang bằng.

    Điều tuyệt vời về triển khai WAF hiện đại là chúng hỗ trợ sự phân quyền của các tổ chức tài nguyên Web đang mong muốn bảo vệ ngày nay; vị trí của WAF chính nó là linh hoạt. Sự linh hoạt trong việc bố trí các WAF có nghĩa là các tổ chức có thể (có khả năng) tránh phải thiết kế lại các kiến trúc hiện có hoặc di dời các máy chủ để hỗ trợ triển khai bảo mật ứng dụng web toàn diện hơn.

    Media này không hiển thị với bạn. Vui lòng Đăng ký hoặc Đăng nhập.
    WAPPLES, với hiệu suất xử lý HTTPS nhanh nhất
    WAPPLES, sản phẩm tường lửa ứng dụng web của Penta Security, đang tăng thị phần của mình trong các tổ chức công và lĩnh vực tài chính với hiệu suất xử lý HTTPS nhanh chóng. Sản phẩm tường lửa ứng dụng web của Penta Security cung cấp hiệu suất nhanh hơn và bảo mật an toàn hơn so với môi trường giới thiệu thiết bị mà không có thiết bị lưu lượng SSL bổ sung trong môi trường HTTPS.

    Bảo mật ứng dụng web WAPPLES dựa trên 10 Phương pháp luận hàng đầu của OWASP. Tìm hiểu thêm về WAPPLES và bắt đầu bảo vệ trang web của bạn ngay hôm nay.

    Các quy tắc của WAPPLES được xác định một cách tinh vi bằng cách phân tích logic các kiểu tấn công của hàng triệu cuộc tấn công, làm cho nó hiệu quả ngay cả khi chống lại các cuộc tấn công zero-day. Cập nhật định kỳ và tự chẩn đoán giữ cho nó ở trạng thái tốt nhất, sẵn sàng cho các mối đe dọa mới nhất.

    Media này không hiển thị với bạn. Vui lòng Đăng ký hoặc Đăng nhập.
    Media này không hiển thị với bạn. Vui lòng Đăng ký hoặc Đăng nhập.

    ITMAP ASIA - Đối tác của hãng Penta Security tại Việt Nam

    555 Trần Hưng Đạo, P. Cầu Kho, quận 1, TP.HCM

    028 5404 0717 - 5404 0799

    Email này không được hiển thị. Vui lòng Đăng ký hoặc Đăng nhập.
     

Chia sẻ trang này