Faz sentido aumentar o WAF (Web Application Firewall) com um IPS (Intrusion Prevention System)?

Question 1

Pergunta: Existe algum valor agregado neste cenário para também ter uma solução IPS/Deep Package Inspection em vigor? Pelo que entendi: Não. Mas não encontrei nenhuma resposta clara por aí.

Para responder à pergunta, primeiro vamos descompactar o termo-chave “valor”. O que estamos fazendo aqui é perguntar “qual o valor de um controle de segurança?”.

Controles de segurança (WAFs, IPSs, firewalls SPI sendo exemplos de controles técnicos de segurança) são implementados para gerenciar riscos. Os controles de segurança que custam mais do que a perda esperada ao longo do tempo por não ter o controle normalmente não seriam implementados, e aqueles que custam menos do que a perda esperada ao longo do tempo seriam implementados.

Se há algum valor em colocar um IPS quando um firewall limitado a uma porta e um WAF estão instalados é realmente fazer esta pergunta: a perda esperada é baseada em como tudo está configurado no momento menos a perda esperada após o IPS ter sido instalado? implementados é superior ao custo do IPS. Se a resposta for yesentão não hávalorna implementação de um IPS, uma vez que o custo da sua implementação é maior do que o benefício que proporciona. Este é um exemplo do processo de gerenciamento de risco em ação.

Quando se trata desta situação específica, não há informações suficientes para responder definitivamente à pergunta. Qualquer resposta técnica dada não servirá. Mesmo se tivéssemos todas as informações, que seriam extensas, existem variações suficientes na forma como as pessoas calculam o risco, de modo que definitivamente não seríamos capazes de fazer nada além de fornecer "uma maneira de fazer isso" e, possivelmente, a resposta mais longa de Serverfault de todos os tempos. :-)

Em termos gerais, porém, estas são áreas onde um IPS (vamos fundir HIPS e NIPS aqui para simplificar) oferece oportunidade de valor quando implementado juntamente com as soluções existentes:

Para casos em que há cruzamento de funcionalidades, como controle secundário se o firewall ou WAF foi mal configurado ou comprometido, não detecta a ameaça ou detecta a ameaça por um método diferente, aumentando assim a probabilidade de detectar técnicas de evasão de detecção.
Para casos em que o IPS fornece proteção adicional ainda não fornecida. Isso depende do produto e da implementação, mas pode incluir coisas como...
- Bloqueio de endereços IP sabidamente maliciosos
- Bloqueio baseado na correlação de eventos - por exemplo. IPs que foram verificados em varredura de portas antes do envio das solicitações HTTP
- Prevenir/detectar modificações de arquivos por processos não autorizados
- Muitos outros
Para maior visibilidade. O IPS geralmente será capaz de oferecer mais visibilidade ao cenário de ameaças, já que analisa muito mais o que está acontecendo no ambiente, não apenas o tráfego da web.

Em resumo, o valor de um IPS dependerá do risco. Certamente há cenários em que alguém escolheria instalar um IPS neste cenário, mesmo que ele fornecesse apenas redundância e nenhuma funcionalidade adicional – a abordagem “cinto e suspensórios”. Se proteger um site pessoal, provavelmente não valerá a pena, se proteger bilhões de dólares em propriedade intelectual, é mais provável que tenha valor.

Answer

Pergunta: Existe algum valor agregado neste cenário para também ter uma solução IPS/Deep Package Inspection em vigor? Pelo que entendi: Não. Mas não encontrei nenhuma resposta clara por aí.

Para responder à pergunta, primeiro vamos descompactar o termo-chave “valor”. O que estamos fazendo aqui é perguntar “qual o valor de um controle de segurança?”.

Controles de segurança (WAFs, IPSs, firewalls SPI sendo exemplos de controles técnicos de segurança) são implementados para gerenciar riscos. Os controles de segurança que custam mais do que a perda esperada ao longo do tempo por não ter o controle normalmente não seriam implementados, e aqueles que custam menos do que a perda esperada ao longo do tempo seriam implementados.

Se há algum valor em colocar um IPS quando um firewall limitado a uma porta e um WAF estão instalados é realmente fazer esta pergunta: a perda esperada é baseada em como tudo está configurado no momento menos a perda esperada após o IPS ter sido instalado? implementados é superior ao custo do IPS. Se a resposta for yesentão não hávalorna implementação de um IPS, uma vez que o custo da sua implementação é maior do que o benefício que proporciona. Este é um exemplo do processo de gerenciamento de risco em ação.

Quando se trata desta situação específica, não há informações suficientes para responder definitivamente à pergunta. Qualquer resposta técnica dada não servirá. Mesmo se tivéssemos todas as informações, que seriam extensas, existem variações suficientes na forma como as pessoas calculam o risco, de modo que definitivamente não seríamos capazes de fazer nada além de fornecer "uma maneira de fazer isso" e, possivelmente, a resposta mais longa de Serverfault de todos os tempos. :-)

Em termos gerais, porém, estas são áreas onde um IPS (vamos fundir HIPS e NIPS aqui para simplificar) oferece oportunidade de valor quando implementado juntamente com as soluções existentes:

Para casos em que há cruzamento de funcionalidades, como controle secundário se o firewall ou WAF foi mal configurado ou comprometido, não detecta a ameaça ou detecta a ameaça por um método diferente, aumentando assim a probabilidade de detectar técnicas de evasão de detecção.
Para casos em que o IPS fornece proteção adicional ainda não fornecida. Isso depende do produto e da implementação, mas pode incluir coisas como...
- Bloqueio de endereços IP sabidamente maliciosos
- Bloqueio baseado na correlação de eventos - por exemplo. IPs que foram verificados em varredura de portas antes do envio das solicitações HTTP
- Prevenir/detectar modificações de arquivos por processos não autorizados
- Muitos outros
Para maior visibilidade. O IPS geralmente será capaz de oferecer mais visibilidade ao cenário de ameaças, já que analisa muito mais o que está acontecendo no ambiente, não apenas o tráfego da web.

Em resumo, o valor de um IPS dependerá do risco. Certamente há cenários em que alguém escolheria instalar um IPS neste cenário, mesmo que ele fornecesse apenas redundância e nenhuma funcionalidade adicional – a abordagem “cinto e suspensórios”. Se proteger um site pessoal, provavelmente não valerá a pena, se proteger bilhões de dólares em propriedade intelectual, é mais provável que tenha valor.

Question 2

Você não precisa usar a inspeção de pacotes se configurar seu firewall corretamente. mas você ainda precisa de IPS/IDS e verificação de integridade, mesmo que tenha apenas um servidor simples com serviços mínimos.
considere estas situações:

se houver um método/assinatura de ataque desconhecido ao seu WAF, praticamente seu WAF será inútil contra esse tipo de ameaça (especialmente vulnerabilidades de dia zero). nesta situação, monitorar a atividade dos usuários e verificar a integridade do sistema é uma jogada inteligente. o uso de ferramentas de auditoria pode ajudar e alertar sobre ameaças suspeitas (mas não conhecidas). no entanto, necessita de mais recursos, regras de auditoria personalizadas e verificações constantes.
ignorar o WAF não é imaginário. neste, IPS/IDS ou qualquer outro mecanismo de varredura aumenta seu nível de segurança como segunda camada de defesa. Mesmo se o seu WAF falhar.

se você estiver preocupado com sua configuração, mas não quiser usar uma solução complicada ou cara, você podecombinarferramentas muito básicas como"iptables"regras personalizadas com"SElinux"e"ASSISTENTE"para um plano de segurança mais forte.

Answer

Você não precisa usar a inspeção de pacotes se configurar seu firewall corretamente. mas você ainda precisa de IPS/IDS e verificação de integridade, mesmo que tenha apenas um servidor simples com serviços mínimos.
considere estas situações:

se houver um método/assinatura de ataque desconhecido ao seu WAF, praticamente seu WAF será inútil contra esse tipo de ameaça (especialmente vulnerabilidades de dia zero). nesta situação, monitorar a atividade dos usuários e verificar a integridade do sistema é uma jogada inteligente. o uso de ferramentas de auditoria pode ajudar e alertar sobre ameaças suspeitas (mas não conhecidas). no entanto, necessita de mais recursos, regras de auditoria personalizadas e verificações constantes.
ignorar o WAF não é imaginário. neste, IPS/IDS ou qualquer outro mecanismo de varredura aumenta seu nível de segurança como segunda camada de defesa. Mesmo se o seu WAF falhar.

se você estiver preocupado com sua configuração, mas não quiser usar uma solução complicada ou cara, você podecombinarferramentas muito básicas como"iptables"regras personalizadas com"SElinux"e"ASSISTENTE"para um plano de segurança mais forte.

Question 3

Você pode configurar o WAF na DMZ para proteger o tráfego da Internet. Além disso, IDS/IPS mais DPI podem ser usados na rede interna, ativa ou passiva (inline ou não).

Answer

Você pode configurar o WAF na DMZ para proteger o tráfego da Internet. Além disso, IDS/IPS mais DPI podem ser usados na rede interna, ativa ou passiva (inline ou não).

Faz sentido aumentar o WAF (Web Application Firewall) com um IPS (Intrusion Prevention System)?

Responder1

Responder2

Responder3

informação relacionada