False Positive, False Negative Nedir?
Bir web uygulama güvenlik duvarının(WAF’ın) etkinliğini değerlendirmek söz konusu olduğunda en önemli faktörlerden biri doğruluk(accuracy)tur. Objektif bir şekilde ölçüldüğünde, bir WAF çözümünün kalitesine ve doğruluğuna dair hatasız bir görüş sağlayan bir metrik bulunur: (false positive, false negative.)
False positive ve false negative kavramlarını daha iyi anlamak için, bir web uygulama güvenlik duvarı(WAF) operasyonunun mekaniğine biraz derinlemesine dalmamız gerekiyor. WAF temek olarak, bir web sitesine veya uygulama altyapısına gönderilen trafiği inceler. Bu işlev, ideal olarak bir grup uzman insan tarafından desteklenip yönetilse de, trafiği ‘iyi’ veya ‘kötü’ olarak sınıflandırmaya ve etiketlemeye izin veren önceden tanımlanmış bir dizi modele ve bazı tekniklere göre otomatik olarak yapılır.
Bu otomasyon kapasitesi anahtardır. Web sunucusuna ulaşmadan önce her HTTP isteği WAF tarafından taranır ve bu trafiğin meşru bir işleme ait olma olasılığını veya bir saldırının parçası olup olmadığını belirlemek için bazı modellerle karşılaştırılır. Bu modeller kurallara dayanmaktadır ve kuralları tanımlamak ve oluşturmak için seçilen stratejiye bağlı olarak, aşağı yukarı doğru bir sonuç sağlayacaktır.
Tanım gereği, her bir isteği tam anlamıyla engellemekten başka, %100 yanılmaz bir koruma olmadığını anlamak çok önemlidir. Böyle bir güvenlik duvarı yapılandırması, her saldırıya karşı tam koruma sağlarken hiçbir trafiği almamanıza neden olur.
Saldırganların temel stratejilerinden biri kendilerini meşru kullanıcılar arasında gizlemek, davranışlarını taklit etmektir, bu nedenle onları tespit etmek zordur. Bu nedenle, her WAF küçük bir hata yüzdesi ortaya çıkaracaktır:
• False Positives: WAF tarafından kötü amaçlı olarak etiketlenmiş, ancak gerçekte meşru olan istekler.
• False Negatives: WAF tarafından tespit edilmeyen ve dolayısıyla filtrelenmeyen kötü niyetli istekler.
Temel faktör, false positiveler ve false negativeler arasında yeterli bir denge bulmaktır, çünkü pratikte her ikisini de %0'a düşürmenin imkansız hale geldiği düşünülmektedir. Bir web uygulama güvenlik duvarının(WAF’ın) tolerans açısından yapılandırılabilir olması gerektiğinden, şirket (veya WAF’ı yöneten hizmet sağlayıcı) false positiveler ve negativeler arasında değiş tokuş yapmalıdır.
WAF kuralları ne kadar kısıtlayıcı ve şiddetli olursa, yasadışı talepler incelemeden o kadar az kaçar ve saldırı riski o kadar düşük olur, ancak aynı zamanda daha fazla meşru kullanıcılar yanlışlıkla engellenir.
Aksine, daha hoşgörülü kurallar uygulanabilir. İşletmeyi ve imajı olumsuz etkileyeceğinden, meşru kullanıcıların engellenmesini ve hizmete erişiminin olmamasını önleyecektir. Fakat, bu daha az katı kurallar, isteklerin daha izin verici bir şekilde değerlendirilmesinin bir sonucuna sahip olacaktır, bu nedenle algılanmayan saldırganların riski artacak ve bazı saldırılar web altyapısına ulaşacaktır.
