WAF Nedir?

Web uygulaması güvenlik duvarı (WAF), veri ihlallerini önlemek için web uygulamalarını, API’ leri ve sunucuları kötü amaçlı internet trafiğinden korur. Web uygulamalarını kötü niyetli ziyaretçilerden korumak için web sitesi sunucularına saldıran gelen ve giden trafiği filtreler ve izler.

Kuruluşlar, iş ortaklarıyla bağlantı kurmak ve çalışanların olabildiğince verimli çalışmasını sağlamak için web uygulamalarının üst düzeyde güvenli bir hale gelmesini istiyor. Bununla birlikte, potansiyel güvenlik açıklarını hedeflemek için giderek daha karmaşık teknikler geliştiren ve kullanan siber suçlular, web uygulamalarının en büyük tehditlerinin başında geliyor. Genel anlamda WAF, saldırıları engellemek ve önlemek amacıyla iş ağına girip çıkarken trafiği inceleyen bir güvenlik duvarı türüdür.

Web uygulamalarına yönelik saldırılar ile oluşan ver ihlalleri en önemli konulardan biridir. İşletmeler, uygulamalarının pazara sunma süresini giderek kısaltmaya yönelmekte ve bu da genellikle insan hatasına ve güvenlikte boşluklara yol açan geliştirme sorunlarına neden olmaktadır. Bu nedenle WAF, işletmelerin gizli ve hassas bilgilerini güvende tutulmasına yardımcı olan hayati bir araçtır.

Günümüzde WAF kullanmak, kod güvenlik açıklarını keşfeden ve kullanan karmaşık siber saldırılar karşısında giderek daha önemli hale geliyor. Ayrıca, web uygulamaları daha karmaşık hale geldikçe, HTTP ve HTTPS trafiğindeki sorunları analiz edebilen, keşfedebilen ve azaltabilen bir sisteme daha bağımlı hale gelmektedir.

WAF Nasıl Çalışır?

WAF, web uygulaması ile internet arasındaki kötü amaçlı trafiği engelleyerek, filtreleyerek ve izleyerek web uygulamalarını korur. Ayrıca, yetkisiz verilerin web uygulamasından çıkmasını da engeller.

WAF güvenliği, performansını artırmak ve kötü trafikten korumak için bir uygulamanın üstüne oturan bir ters proxy olarak çalışır. Çeşitli WAF türleri vardır. Kuruluşun ağının topolojisine bağlı olarak bulut hizmeti, donanım aracı içinde veya yazılım biçimi olarak çeşitlendirebiliriz.

WAF, belirli trafik ve saldırı türlerini hedefler. Bunu trafik ve davranış türlerini, olası boşlukları, yük dengeleyici sorunlarını ve dikkat edilmesi gereken bilinen güvenlik açıklarını öneren politikalarla çalışarak yapar. Kötü amaçlı etkinlik veya davranış tespit edildiğinde, WAF, bir saldırıya karşı koyacak veya onu önleyecek, önceden belirlenmiş bir dizi sonraki eylemi izler.

WAF ayrıca sıra dışı görünen HTTP istekleri için ağları tarar.  Potansiyel olarak zararlı botların veya kötü amaçlı yazılımları veya hileli olduğunu düşündüğü trafiği derhal engelleyecektir. WAF, işletmelerin aşağıdakiler gibi çok çeşitli gelişmiş güvenlik tehditlerinden korunmasına yardımcı olur:

  1. Siteler arası komut dosyası çalıştırma (XSS) saldırıları: Bir XSS saldırısı, kötü niyetli saldırganın bir web uygulamasının güvenliğindeki boşluklardan yararlandığını görür. Bir kullanıcı etkilenen web sitesini yüklediğinde veri ihlali ve/veya birçok kötü amaçlı eylem ile karşılaşabilir.
  2. Kötü amaçlı yazılım saldırıları: En yaygın saldırı türlerinden biri kötü amaçlı yazılımdır (Malware attacks). Saldırganlar, bir web uygulamasındaki güvenlik açıklarından yararlanır veya web sitelerine fidye yazılımı ve casus yazılım bulaştırmak için kimlik avı gibi yöntemlerle saldırılar başlatır.
  3. SQL enjeksiyon saldırıları: Bu saldırılar, iletişim ve gönderim formları gibi web sitesi formlarına karşı yapılır. Saldırgan, kullanıcının doldurduğu alanlara kötü amaçlı SQL kodları ekler, bu da web sitesinin back-end kısmına erişmesine ve verileri çalmasına olanak tanır.
  4. Sıfır gün saldırıları: Bu saldırılar bir uygulamadaki savunmasız kodları da hedef alır. Ancak, o kadar hızlı gerçekleşir ki, bir kuruluş sorunun varlığından haberdar değildir. Kötü niyetli kişiler, potansiyel güvenlik açıklarını arar, ardından bu boşluktan yararlanmak ve şirketin verilerine ve kaynaklarına erişim sağlamak için saldırılar düzenler. Sıfırıncı gün saldırıları, kurumsal sistemlerde genellikle aylarca ve hatta yıllarca tespit edilemeyebilir.

WAF ayrıca bir bilgisayar korsanının yararlanabileceği web uygulamalarındaki zafiyetleri de tarayacaktır. Birini keşfettiğinde, potansiyel bilgisayar korsanlarının onları bulmasını otomatik olarak engeller ve sorunu hemen düzeltmeye odaklanır.

Sonuç olarak, güvenlik açıklarını tespit edebilmeleri ve ortaya çıkan, önceden bilinmeyen tehditleri önleyebilmeleri için WAF araçları her zaman güncel tutulması gerekir.

WAF yasal trafiği tanıyabildiğinden, bir kuruluşun güvenlik savunmalarındaki zayıf noktaları keşfetmek için de kullanılabilir. Mevcut güvenlik açıklarını keşfedip düzeltebilir ve kuruluşların web uygulamaları üzerinde güvenlik testleri gerçekleştirebilir.

Uygulama Profili Oluşturma

Uygulamalar yapıları ve çalışma biçimleri açısından önemli ölçüde farklılık gösterir. Bu, kuruluşların bir uygulamanın verimli çalışıp çalışmadığını ve tam olarak neyin tehdit oluşturduğunu anlamalarını zorlaştırabilir. WAF, bir uygulamanın benzersiz özelliklerini anlayarak ve bir tehdidin açıklayıcı işaretlerini belirleyerek buna yardımcı olur.

Korelasyon Motoru

Bir korelasyon motoru, bir kuruluşun potansiyel olarak kötü niyetli veya zararlı tehditleri tespit etmesine olanak tanır. Bunu, bir uygulamanın normal davranışını öğrenerek yapar. Daha sonra, olağan dışı herhangi bir şey olursa, hızlı bir şekilde işaretleyebilir.

DDoS Koruması

DDoS saldırısı, bir bilgisayar korsanı bir ağ veya botnet oluşturmak için birkaç web uygulamasının kontrolünü ele geçirdiğinde gerçekleşir. Saldırgan, büyük miktarlarda trafik ve hedeflerine birden çok istek göndermek için botnet’i kullanır, bu da bir kuruluşun tüm kaynaklarını tüketir ve güvenlik savunmalarını savunmasız hale getirir. WAF, botnet belirtilerini tanımlayarak ve isteklerini engelleyerek, web uygulamasının normal şekilde çalışmasını sağlayarak DDoS saldırılarını önlemeye yardımcı olur.

Kara Liste WAF, Beyaz Liste WAF ve Hibrit WAF Karşılaştırması

WAF’ lar, iki yaygın güvenlik yöntemi kullanılarak birkaç şekilde yapılandırılabilir. Bunlar, negatif güvenlik modeli olarak da bilinen kara liste WAF ve genellikle pozitif güvenlik modeli olarak adlandırılan beyaz listeye alınmış WAF yaklaşımıdır. Kuruluşlar ayrıca karma bir WAF yaklaşımında ikisinin bir kombinasyonunu kullanabilir.

Kara liste WAF modeli:  WAF’ a, potansiyel kötü niyetli kişilerden gelen saldırı sinyallerine göre trafiği engellemesini ve belirli zayıf noktalara veya kod güvenlik açıklarına karşı koruma sağlamasını söyleyen bir dizi politika verilmiştir. Bu, DDoS saldırılarını engellemek için özellikle yararlıdır çünkü WAF, aniden olağandışı yüksek düzeyde trafik gönderen IP adreslerine erişimi reddedecek şekilde yapılandırılabilir.

Beyaz liste WAF modeli: Yalnızca onaylanmış trafiğin bir web uygulamasına erişmesine izin verecek şekilde yapılandırılmıştır. Bu, yalnızca belirli bir son kullanıcı grubunun ağa erişebileceği ve diğer tüm ziyaretçilerin güvenlik duvarı tarafından engellendiği anlamına gelir. Bu yaklaşım, halka açık bir uygulamanın aksine, yeni bir web sitesini test eden kuruluşlar için idealdir.

Karma WAF modeli: hem kara liste hem de beyaz liste WAF’ larının yaklaşımını birleştirir ve her iki yaklaşımın da uygulanmasını sağlar. Bu, WAF modellerinin ve politikalarının nasıl yapılandırıldığına ve web uygulamasının belirli gereksinimlerine ve risk profiline bağlı olacaktır.

Web Uygulaması Güvenlik Duvarı ve Ağ Güvenlik Duvarı

Bir web uygulaması güvenlik duvarı, web uygulamalarına erişmeye çalışan web trafiğini algılar ve izler.

Ağ güvenlik duvarı, bir ağa bağlanan tüm cihazları korumak için kuruluşlar tarafından ve evlerde kullanılan geleneksel güvenlik aracıdır. Güvenlik duvarının arkasındaki her şey güvenilir olarak kabul edilir ve erişim verilirken, diğer her şey engellenir.

Büyük kuruluşlar, sistemlerinin izole edilmiş güvenilen bölgelerindeki gizli bilgileri korumak için ağ güvenlik duvarlarını kullanır. Ağ güvenlik duvarı, ağ içindeki ve dışındaki veri paketlerinin akışını kontrol etmek için tasarlanmıştır.

Ağ güvenlik duvarı, OSI modelinin Seviye 3 ila 4’ünde çalışırken, WAF Seviye 7’de çalışır. Bu, bir ağ güvenlik duvarının yalnızca ağa yapılan bağlantı isteklerine odaklandığı ve ağa web trafiğine izin vermesi gerektiği anlamına gelir. Ancak WAF, aktarılan web trafiğini araştıran ve uygulama tabanlı güvenlik açıklarından üstün tehdit algılaması sunan daha gelişmiş bir sistemdir.