Proteggere le applicazioni web nell’era degli attacchi avanzati: dal virtual patching alla compliance, il WAF gestito di Seeweb è la prima linea di difesa per l’infrastruttura digitale
Il concetto non è nuovo: i presidi di protezione come i WAF sono noti da tempo, ma i requisiti di conformità introdotti dalla Direttiva NIS2 rendono ormai sanzionabile qualunque strategia di gestione del rischio che li escluda. Gli attacchi a endpoint e applicazioni web rappresentano il principale vettore di violazione sistemica, con un trend in costante aumento sul mercato europeo. La minaccia si estende in misura proporzionale alla superficie esposta da microservizi, API pubbliche e infrastrutture ibride distribuite tra cloud e on-premise. Nel nuovo perimetro regolatorio, ogni interconnessione non protetta configura una violazione dei livelli minimi di resilienza informatica richiesti.
In questo scenario, parlare di Web Application Firewall significa considerare qualcosa di molto più articolato rispetto al firewall tradizionale. Un WAF opera al livello 7 del modello OSI, quello applicativo, dove il traffico ha già superato i controlli di rete e si presenta nella forma di richieste HTTP. È lì, dentro quella comunicazione apparentemente legittima, che si nascondono le minacce più insidiose: le SQL injection che tentano di interrogare o alterare un database, le Cross-Site Scripting che vogliono iniettare codice malevolo nelle pagine servite agli utenti, le richieste artefatte che puntano a traversal di directory o all’esecuzione remota di comandi. Un WAF moderno analizza tutto questo in tempo reale, applicando regole predefinite, logiche comportamentali e, sempre più spesso, algoritmi di machine learning in grado di rilevare pattern anomali anche in assenza di firme specifiche.
Uno degli aspetti più rilevanti, e spesso sottovalutati, è il concetto di virtual patching. In un mondo ideale, ogni vulnerabilità scoperta in un’applicazione o in un CMS verrebbe corretta nel giro di ore con una patch ufficiale. Nella realtà, i cicli di aggiornamento sono lenti, i test di regressione richiedono tempo, e certe applicazioni critiche non possono essere fermate per manutenzione con la frequenza che la sicurezza richiederebbe. Il virtual patching colma esattamente questo divario: permette di schermare una vulnerabilità nota a livello di WAF, bloccando i vettori di attacco che la sfruttano, senza toccare il codice applicativo sottostante. È una misura che non sostituisce la patch vera, ma che garantisce continuità operativa e protezione nell’intervallo tra la scoperta della vulnerabilità e la sua risoluzione definitiva.
A questo si aggiunge la protezione delle API, che rappresenta una delle sfide emergenti più complesse nella sicurezza applicativa. Le API non sono interfacce pensate per essere navigate da esseri umani, ma endpoint machine-to-machine che spesso gestiscono dati sensibili, transazioni finanziarie, autenticazioni. Sono progettate per essere veloci ed efficienti, non necessariamente per essere sicure per default. Un WAF che integra la protezione API è in grado di validare le richieste rispetto agli schemi attesi, rilevare abusi, limitare le chiamate eccessive e proteggere i backend anche da attacchi che sfruttano logiche applicative piuttosto che vulnerabilità tecniche classiche.
Non è tutto sicuro
Il tema della mitigazione dei bot merita un discorso a parte. Oggi una frazione significativa del traffico web è generata da software automatizzati: crawler, scraper, bot di prenotazione, strumenti di credential stuffing. Non tutto è malevolo, i bot dei motori di ricerca sono ovviamente legittimi, ma distinguere il traffico buono da quello cattivo, senza introdurre attriti per gli utenti reali, è un problema genuinamente difficile. Le soluzioni WAF più avanzate affrontano questa sfida con tecniche di analisi comportamentale che vanno ben oltre il semplice riconoscimento di user-agent sospetti, analizzando la coerenza delle sessioni, la velocità delle richieste, i pattern di navigazione, e intervenendo in modo selettivo senza compromettere l’esperienza degli utenti legittimi.
Tutto questo acquisisce un significato ulteriore nel contesto della direttiva NIS2, entrata in vigore in Europa e in fase di recepimento da parte degli Stati membri. La norma amplia significativamente la platea dei soggetti tenuti ad adottare misure di sicurezza informatica adeguate, includendo non solo gli operatori di infrastrutture critiche in senso stretto, ma anche medie imprese in settori considerati essenziali o importanti. Le misure richieste dalla direttiva comprendono esplicitamente la sicurezza delle reti e dei sistemi informativi, la gestione delle vulnerabilità e la continuità operativa. Un WAF gestito e aggiornato risponde direttamente a questi requisiti, e per molte organizzazioni che si trovano oggi a dover strutturare il proprio percorso di adeguamento alla NIS2, è uno degli strumenti più concreti e immediatamente attivabili.
La strada di Seeweb
È in questo quadro che Seeweb ha scelto di strutturare la propria offerta WAF in modo duale, partendo da una considerazione elementare ma spesso trascurata: non esiste una soluzione di sicurezza universalmente ottimale, perché non esiste un profilo di rischio, una dimensione d’azienda, una complessità infrastrutturale che siano universali. Quello che serve a una PMI con un portale e-commerce è diverso da quello che serve a una media impresa con decine di applicazioni interne, API pubbliche e obblighi di compliance stringenti.
Il Linux WAF, sviluppato internamente dagli ingegneri di Seeweb, rappresenta la soluzione gestita e sostenibile, progettata per offrire protezione robusta e personalizzabile senza richiedere al cliente né configurazione tecnica né gestione dell’infrastruttura. Copre le principali categorie di attacchi applicativi, supporta regole personalizzate, gestione di whitelist e blacklist, virtual patching, protezione di siti web e API, personalizzazione delle pagine di errore. È una soluzione che entra in produzione immediatamente, senza pannelli web da imparare o configurazioni da gestire: l’appliance viene attivata, i tecnici Seeweb la gestiscono, il cliente è protetto. Per molte realtà, questo è esattamente ciò di cui hanno bisogno: sicurezza affidabile a un costo sostenibile, senza overhead operativo.
Fortinet FortiAppSec si colloca su un livello diverso, pensato per ambienti più complessi e per organizzazioni che richiedono, o che già adottano, una visione enterprise della sicurezza. L’integrazione del machine learning nel rilevamento delle minacce riduce i falsi positivi mantenendo alta la sensibilità del sistema, il modulo di Advanced Bot Mitigation gestisce il traffico automatizzato con granularità fine, e la protezione API si estende anche alle applicazioni mobile. FortiAppSec si integra nel Fortinet Security Fabric, l’ecosistema di sicurezza coordinato di Fortinet, e offre strumenti di analisi degli attacchi, Threat Analytics, che danno visibilità completa su ciò che accade a livello applicativo. Il pannello di monitoraggio avanzato permette non solo di bloccare le minacce, ma di comprenderle, tracciarle e usarle come base per affinare ulteriormente la postura di sicurezza.
I servizi gestiti
Entrambe le soluzioni sono erogate come servizi completamente gestiti: installazione, configurazione, aggiornamenti, gestione delle regole e risposta alle nuove minacce sono in carico ai tecnici Seeweb. Il cliente non deve occuparsi di nulla di tutto questo, e può concentrarsi sul proprio business sapendo che la protezione applicativa è operativa, aggiornata e monitorata.
La coesistenza di questi due approcci nello stesso catalogo non è una scelta commerciale di posizionamento, ma una risposta tecnica a un mercato che è strutturalmente eterogeneo. Ci sono organizzazioni che hanno bisogno di protezione immediata, affidabile e a basso costo di gestione. E altre che necessitano di automazione avanzata, integrazione con ecosistemi di sicurezza più ampi e strumenti di analisi sofisticati. Che si arrivi ad un Linux WAF o al FortiAppSec, il punto di partenza è lo stesso: smettere di trattare la sicurezza applicativa come un’opzione.
