WAF – Web Application Firewall funciona com uma mistura de IPS e Firewall. Existem alguns fornecedores dessa solução, mas o único free que merece atenção é o W3AF. Dentro de um WAF podemos escrever algumas regras que elevam o nível de proteção de uma aplicação web sem precisar reescreve-la, isso porque geralmente um WAF detecta um ataque como sql-injection, xss e outros e derruba a conexão com o sistema.
Muitas empresas consideram essa solução, WAF, para melhorar a segurança de sistemas, pois além de ser mais rápido de implementar possui menor custo em relação a reescrever uma aplicação, que muitas vezes consideramos impossível. Dentro das soluções de mercado que não são gratuitas podemos citar o IMPERVA e o DenyAll que são excelentes ferramentas.
Algumas delas, além de impedir ataques, permitem também monitorar o ambiente interno da empresa para evitar fraudes através dos sistemas protegidos. As fraudes são brechas de segurança, mas nem sempre são brechas tecnológicas e sim da inteligência ou da forma como uma aplicação é construída.
Código Seguro na minha opinião é a melhor opção para quem não quer gastar muito na hora de considerar a segurança dos seus sistemas. Existem hoje no mercado diversos padrões para se construir um sistema com segurança, o melhor é avaliar e ver qual se adapta aos procedimentos da sua empresa. Eu particularmente gosto muito dos padrões OWASP, BSMM e CMMI misturados com um pouco de PDCA, ISO27001 e ISO15408/1/2/3.
A questão do código seguro é que os gerentes se confundem com o ciclo de desenvolvimento de uma aplicação. A prática de código seguro está atrelado tanto ao ciclo de desenvolvimento do sistema como o próprio ciclo de vida do produto. Isso quer dizer que o trabalho não acaba quando o sistema fica pronto , pois periodicamente, após a entrega do sistema, o mesmo deve ser avaliado e testado para aferir os níveis de segurança e detectar novas vulnerabilidades.
Para concluir, bom mesmo seria se pudéssemos implementar bons processos de codificação segura e também colocar um WAF na frente de nossas aplicações web. Assim estaríamos reduzindo verdadeiramente o risco de ataques, fraudes e prejuízos de diversos tipos.
Abraços!
