FirewallSicurezza

Comprendere l’accuratezza del WAF

evidenza
Google + Linkedin
Blog a cura di Akamai

I punteggi di accuratezza dovrebbero essere facilmente comprensibili. Un WAF (Web Application Firewall) con una percentuale di falsi positivi inferiore allo 0,1% dovrebbe andare bene, giusto?

Ogni falso positivo rappresenta una richiesta legittima erroneamente bloccata da un sistema di sicurezza e nessuno vuole bloccare il traffico legittimo.

Il problema è rappresentato dal fatto che i falsi positivi sono solo una delle metriche che consentono di valutare l’accuratezza e l’efficacia di un WAF. Focalizzando l’attenzione solo sui falsi positivi si corre il rischio di ritrovarsi con qualche spiacevole sorpresa. Ecco perché.

Falsi positivi e falsi negativi

Qualsiasi soluzione per la sicurezza è in grado di prevenire completamente i falsi positivi. Non è difficile, basta impostare i controlli in modo che identifichino tutto il traffico come legittimo. Ovviamente una soluzione di questo tipo non garantisce una protezione reale, ma consente di mettere in luce il problema che deriva dall’attribuire un’importanza eccessiva a una bassa percentuale di falsi positivi, ossia il fatto che quel traffico potrebbe contenere un attacco che non è stato intercettato. Ciò renderebbe vana l’utilità di una soluzione WAF. Allo stesso modo è possibile ottenere una bassa percentuale di falsi negativi. Basta bloccare gli utenti legittimi
e i falsi negativi si riducono drasticamente. Ma in questo caso non avrebbe senso portare la propria attività online.

L’unico modo per far sì che questi numeri di falsi positivi e falsi negativi si rivelino davvero utili per comprendere il livello generale di accuratezza di un WAF è considerarli insieme. Presi da soli, sono completamente inutili.

Ottimizzare le regole

Un paio di percentuali non sono certo sufficienti per misurare l’accuratezza del WAF. I numeri dei falsi positivi e dei falsi negativi offrono un’interessante istantanea in un dato momento, ma ciò che più conta è che cosa facciamo con il nostro WAF nel corso del tempo. Nel nostro nuovo e-book, Perché il cloud? Guida per gli acquirenti alla sicurezza sul cloud, trovate una descrizione dettagliata di Kona Site Defender, la metodologia fondante del WAF di Akamai, ma ecco alcuni punti salienti che illustrano in che modo Akamai continua a migliorare l’accuratezza del proprio WAF:

  • Testiamo quotidianamente il nostro WAF mediante un framework di test automatizzato.
  • Lo sottoponiamo a oltre 12.000 singole richieste HTTP legittime selezionate dal traffico dei clienti.
  • Lo testiamo a fronte di oltre 700 diversi vettori di attacco.
  • Per testarlo utilizziamo il traffico verso le applicazioni cliente che sappiamo essere più soggette alla presenza di un numero elevato di falsi positivi.

In pratica, facciamo tutto il possibile per rendere difficile ottenere un punteggio di accuratezza elevato e questo perché quel punteggio non è il nostro obiettivo. Il nostro obiettivo è il miglioramento continuo reso possibile dalla nostra visibilità dettagliata sul traffico web su larga scala.

3_why-cloud-it-promo Blog WAF Accuracy

Un ultimo sguardo all’accuratezza

Talvolta l’accuratezza viene espressa in termini positivi. Un vendor WAF (Web Application Firewall) potrebbe infatti dichiarare che i propri test del WAF presentano un punteggio di accuratezza del 100%. Non si potrebbe chiedere di più, giusto? Ma una misurazione isolata, come può essere un punteggio di accuratezza del 100%, non tiene conto di alcuni dettagli importanti.

  • Quanti test sono stati svolti? C’è una grande differenza tra eseguire 10, 100 o 1.000 test. Eseguire un numero ridotto di test potrebbe consentire di ottenere un punteggio di accuratezza superiore, non tanto perché il WAF è effettivamente più efficace, ma perché non è stato testato in maniera accurata.
  • Quanti vettori sono stati testati? Nel mondo reale un’azienda deve difendersi da centinaia di vettori di attacco. Che senso ha un WAF con un punteggio di accuratezza del 100% misurato a fronte di appena 10 o 20 vettori?
  • Quali altri vendor si sono sottoposti al test? Se un vendor ottiene un punteggio di accuratezza elevato in un test che ha fornito punteggi analoghi anche a molti altri vendor, significa che quel test non offre informazioni particolarmente utili.

La buona notizia è che tutte queste informazioni dovrebbero essere disponibili su richiesta. Fatevi spiegare dai vendor in che modo eseguono i test, in che modo ottimizzano le proprie regole e in che modo misurano l’accuratezza. Il nostro e-book Perché il cloud? offre una guida dettagliata ai vari tipi di domande che consentono di ottenere le informazioni più importanti in merito all’accuratezza del WAF e ad altre metriche della sicurezza. Scaricabile gratuitamente, questo e-book rappresenta una risorsa informativa preziosa per confrontare in maniera significativa i vari vendor di soluzioni per la sicurezza.