BLOG | NGINX

Protegendo seus aplicativos contra ataques DoS de camada 7 com NGINX App Protect Denial of Service

NGINX-Parte-de-F5-horiz-preto-tipo-RGB
Miniatura F5 NGINX
F5 NGINX
Publicado em 09 de setembro de 2021

A experiência do usuário é tudo. Não há razão para ter aplicativos e sites se os consumidores e clientes não os utilizam. Portanto, é importante garantir uma experiência de usuário positiva e consistente, especialmente quando os usuários estão se tornando menos tolerantes à latência, ao tempo de inatividade e aos erros.

Quando os usuários têm uma experiência negativa com seu aplicativo ou site, você pode perdê-los como clientes para sempre. Em uma pesquisa da Salesforce , 61% dos consumidores relataram que, após uma única experiência ruim, mudaram para um concorrente. Repita a experiência ruim e a deserção será inevitável. A fidelidade à marca só importa até certo ponto quando há tantas opções online.

Uma das principais causas da insatisfação do consumidor é o tempo de inatividade, e os ataques de negação de serviço (DoS) são os principais culpados pelo tempo de inatividade prolongado. Devido a mudanças no design de aplicativos, novos vetores de ameaça surgiram, e os invasores adaptaram ataques DoS – em uso há mais de duas décadas – para explorar arquiteturas modernas. Entre janeiro de 2020 e março de 2021, os ataques DoS na camada de aplicação (Camada 7) aumentaram drasticamente , representando 16% de todos os incidentes DDoS. Na verdade, metade das solicitações à Equipe de Resposta a Incidentes de Segurança da F5 são para obter ajuda com ataques DoS na camada de aplicativo.

A mitigação de segurança centralizada pode ser eficaz para ataques DoS volumétricos na camada de rede (camada 4), mas os ataques DoS na camada de aplicativo são mais direcionados e, portanto, exigem defesas especializadas para proteger aplicativos modernos que são cada vez mais distribuídos, compostos de APIs e microsserviços e vivem em infraestruturas mais flexíveis, como a nuvem.

Indo além da proteção tradicional

Mesmo que a origem de um ataque DoS seja distribuída (tornando-o um ataque DDoS ), ataques volumétricos básicos na camada de rede geralmente são direcionados a um único dispositivo ou serviço, e as ferramentas de proteção tradicionais são igualmente monolíticas e centralizadas. E embora essas ferramentas ainda tenham seu lugar no cenário de segurança de aplicativos, elas não são suficientes. Hoje, os serviços de proteção DDoS baseados em nuvem são padrão do setor. No entanto, eles ainda não abordam o fato de que os aplicativos não são mais serviços únicos e monolíticos, mas têm muitos pontos de integração que precisam de proteção.

Antes da transformação digital e da mudança de arquitetura em larga escala para APIs, microsserviços e integrações baseadas em nuvem que a acompanhavam, um firewall de aplicativo da Web (WAF) básico poderia mitigar amplamente explorações de vulnerabilidades e ataques DoS. Em um ataque volumétrico, que se manifesta como uma inundação no lado do cliente, por exemplo, um WAF básico e ferramentas DoS tradicionais são eficazes porque o tráfego é centralizado – um serviço de limpeza de nuvem pode mitigar ataques antes que o tráfego entre nos canais de entrada, ou a proteção pode ser colocada na frente da pilha de aplicativos. E os WAFs básicos ainda protegem contra ataques tradicionais, em grande parte por meio de limitação de taxa, lista de negação e assinaturas de bot, mas o cenário de ameaças foi além disso.

Resumindo, o jogo mudou e os WAFs básicos e a proteção DoS tradicional não são eficazes com arquiteturas de aplicativos modernas.

Os ataques DoS modernos acontecem na Camada 7 e, como estão ocultos em canais criptografados e na lógica do aplicativo alvo, são muito mais difíceis de detectar. Portanto, você precisa de uma camada adicional de proteção para medir o comportamento do cliente e o estresse do servidor – os dois maiores indicadores de um ataque DoS.

Para ajudar a resolver esse problema, lançamos recentemente o módulo NGINX App Protect Denial of Service . Você pode estar se perguntando se precisa de um módulo DoS se já tem um WAF e proteção DoS tradicional. Você realmente sabe – continue lendo para saber o porquê.

Arquiteturas modernas precisam de proteção moderna

A criptografia está em todo lugar, e a proteção DoS tradicional não foi projetada para descriptografia em escala. Na era dos aplicativos monolíticos, a mitigação centralizada de DoS fazia sentido porque a criptografia não era tão difundida e os ataques podiam ser detectados em grande parte observando apenas o lado do cliente. Hoje em dia, quase todo o tráfego é criptografado, então a mitigação de DoS sem estado que se concentra apenas no tráfego de entrada é amplamente ineficaz, especialmente quando um ataque usa uma única solicitação direcionada para causar estresse no aplicativo.

Os aplicativos agora são projetados e otimizados para arquiteturas distribuídas, como microsserviços, e a criptografia de ponta a ponta está se tornando comum graças à ênfase crescente (e legislação subsequente) na privacidade do usuário e aos avanços na criptografia. Arquiteturas modernas dependem muito de APIs, e a comunicação de API para API (também chamada de tráfego leste-oeste ) pode nem passar pelos controles de segurança centralizados.

A proteção eficaz contra DoS em nível de aplicativo requer visibilidade e contexto de ponta a ponta , incluindo a capacidade de detectar anomalias no lado do cliente e estresse no lado do servidor. Ataques DoS avançados de Camada 7 geralmente são disfarçados como tráfego legítimo, então mitigações básicas como limitação de taxa, lista de bloqueios, assinaturas e conformidade de protocolo não são mais suficientes.

Ataques sofisticados da Camada 7 parecem tráfego legítimo na superfície, e os WAFs básicos não têm a análise comportamental necessária para detectá-los. O NGINX App Protect DoS foi projetado especificamente para analisar anomalias do cliente e o estresse do servidor, e pode identificar e mitigar ataques dinamicamente, além de medir a eficácia da mitigação, sem exigir atenção de equipes de segurança já sobrecarregadas.

Se você depender apenas de defesas básicas de WAF e mitigação tradicional de DDoS, não terá visibilidade e contexto adequados para um ataque de Camada 7, e as consequências potenciais serão enormes: latência, tempo de inatividade, receita abandonada e marca danificada. Com a análise comportamental, as anomalias do cliente e a integridade do serviço podem ser analisadas constantemente para detectar um ataque DoS de dia zero. Observar atentamente o comportamento do site nos permite responder a perguntas como: Há algo anormal em comparação aos padrões de tráfego básicos? A solicitação não contém informações que esperamos que um navegador inclua, mesmo que pareçam vir de um navegador? A solicitação inclui uma consulta complexa ao banco de dados que está causando alta utilização da CPU?

Ao criar uma imagem do desempenho e comportamento normais, o NGINX App Protect DoS pode se concentrar em ataques da Camada 7 que escapam das defesas tradicionais e causam estresse no aplicativo.

Diagrama representando oito tipos de ataques bloqueados pelo NGINX App Protect WAF e DoS

Mitigar com vários módulos

Os resultados dos ataques DoS não mudaram: desempenho lento, usuários frustrados e receita abandonada. Mas a maneira como os ataques DoS ocorrem pode ser muito diferente, com hackers usando ferramentas de criptografia e segurança para disfarçar sua ameaça como tráfego legítimo.

Embora seus usuários possam não conseguir distinguir a diferença entre arquiteturas, eles conseguem diferenciar entre um bom e um mau desempenho do site. Barragens de tráfego de ataque causam latência que faz com que a experiência do usuário pareça lenta. Lento o suficiente, e até mesmo os usuários mais pacientes (que não são muitos!) abandonam a transação e mudam para um site diferente. Uma única solicitação direcionada pode causar latência e estresse no servidor, portanto, a proteção DoS especializada do aplicativo é essencial.

As soluções de segurança para aplicativos da Web continuam a evoluir para acompanhar os novos ataques, como aqueles descritos em Ameaças automatizadas da OWASP para aplicativos da Web . Mas você precisa de proteção que se integre nativamente ao tempo de execução do seu aplicativo. Algo dinâmico. Algo adaptável. Enquanto outras soluções DoS podem ser projetadas para ataques DDoS de rede, como inundações de SYN , a solução NGINX App Protect DoS é especializada para ataques de Camada 7 que sobrecarregam os recursos do aplicativo. A combinação de soluções WAF e Layer 7 DoS garante que os aplicativos sejam protegidos contra explorações de vulnerabilidades e abuso de lógica de negócios, evitando comprometimento, bem como latência, degradação e tempo de inatividade.

O comércio agora é em grande parte online. As pessoas estão, em sua maioria, online agora. Você precisa fazer com que seja um lugar seguro e protegido. Ao combinar os módulos NGINX App Protect WAF e NGINX App Protect DoS , você pode ter uma proteção robusta que faz sentido para seu ambiente, aplicativos e negócios.

Experimente o NGINX App Protect você mesmo – comece seu teste gratuito de 30 dias hoje mesmo ou entre em contato conosco para discutir seus casos de uso .

Leia mais postagens de blog sobre F5 NGINX›

"Esta postagem do blog pode fazer referência a produtos que não estão mais disponíveis e/ou não têm mais suporte. Para obter as informações mais atualizadas sobre os produtos e soluções F5 NGINX disponíveis, explore nossa família de produtos NGINX . O NGINX agora faz parte do F5. Todos os links anteriores do NGINX.com redirecionarão para conteúdo semelhante do NGINX no F5.com."