Firewall de Aplicações (WAF), relações com DAST e DevSecOps

A segurança de aplicações web deixou de ser uma preocupação técnica isolada e passou a representar um pilar estratégico de continuidade de negócios. Nesse cenário, a integração entre WAF (Web Application Firewall) e DAST (Dynamic Application Security Testing) é essencial para mitigar vulnerabilidades e assegurar o cumprimento de normas como ISO/IEC 27001, NIST SP 800-53, e Lei Geral de Proteção de Dados (LGPD).

A aplicação de regras de firewall para aplicações normalmente é confundida com os modelos tradicionais de regras de firewall, isto é, o bloqueio de fluxos entre entrada e saída com portas UDP e TCP ou assinaturas de IDS/IPS. O problema desta comparação para a aplicação de regras voltadas a aplicações, em especial nos WAF (Web Application Firewall ou Firewall para Aplicações Web) é o entendimento de cada aplicação WEB no Front end a ser protegido, e que este seja bem entendido para que as regras no nível de Aplicação sejam realmente efetivas.

O WAF é configurado sem analisar a aplicação, com isto temos uma relação similar a instalações de câmeras/alarmes/bloqueadores de segurança, ao qual deve-se identificar o perímetro externo e internou por meio de uma planta baixa, justamente para entender os pontos vulneráveis e que estes sejam protegidos. Quando se aplica uma regra de WAF sem entender a extensão de um “muro”, posiciona-se uma câmera em um local de “sombra”, por conseguinte o monitoramento e o alarme ou bloqueio não funcionará, por exemplo.

Um dos instrumentos para entendimento das vulnerabilidades de aplicações WEB é o método Teste de Segurança de Aplicações em inglês AST Application Security Test, com duas variantes: a estática e a dinâmica. Um engenheiro de segurança da informação com o auxílio de ferramentas realiza testes de vulnerabilidade e/ou invasão de aplicações Web para identificar problemas nos métodos de chamadas, frameworks, senhas e funcionamento entre outros; que podem ser explorados por cyber criminosos.

O modelo estático de teste de vulnerabilidade de aplicações SAST (Static Application Security Testing) verifica pontualmente a aplicação e fornece informações detalhadas / resultados no intuito de correção dos problemas encontrados. Já o modelo dinâmico DAST (Dynamic Application Security Testing) utiliza a tecnologia de maneira continuada, fazendo parte do ciclo de desenvolvimento, pois pode-se realizar uma avaliação e teste de invasão antes da produção, ou mesmo, em produção alterando parâmetros ou aprimorando os modelos de ataques, servindo quase como uma simulação continuada de invasão, respectivamente.

O DAST pode ser utilizado no ciclo de DevSecOps, com ações e melhores práticas desde o nascimento dos projetos de software, durante o seu desenvolvimento, até as suas entregas (SPRINTs), tendo sempre o elemento de segurança por default. As ferramentas DAST, somadas com avaliação de um especialista em segurança, possibilitam a retificação dos códigos ou a ratificação da segurança (baixo risco), em um ciclo continuado de aprimoramento.

Finalmente, a relação de aplicações de regras de firewalls para aplicações – WAF – pode ser realizada de maneira que se entenda os softwares WEB e que estes sejam testados, justamente para o firewall seja uma barreira/proteção para uma possível vulnerabilidade. Desta maneira diversas ferramentas de DAST possuem plug- in para a aplicação de regras (WAF), facilitando a construção dos parâmetros e configurações nos firewalls de nova geração NGFW – Next Genetarion Firewalls. Logo a boa prática para o uso do WAF é justamente a realização de testes estáticos ou dinâmicos SAST ou DAST.

O ideal para o cenário atual e futuro é a utilização do DAST como item fundamental na segurança do negócio das empresas. O DAST contribui com ações abaixo relacionadas:

•  Ataque Replay – avaliação da aplicação em ambiente de avaliação de
  qualidade – Q.A (Quality Assurance) – antes da Produção;
•  Ataque simulado – construção das regras de WAF;
•  Ataque e avaliação periódicos – revisão das regras;
• Avaliação de vulnerabilidades via ferramenta profissionais –
  entendimento das novas ameaças ou problemas/vulnerabilidades
  encontrados nos frameworks ou nas tecnologias – inclusão regras de
  WAF para mitigar estas falhas encontradas;
•  Relatórios para auditorias internas e externas;
•  Entendimento executivo;
•  Compliance com leis (LGPD) e regras de segurança;
•  Aplicações de políticas de segurança e privacidade de dados.

O Web Application Firewall (WAF) é projetado para proteger aplicações web contra ataques como SQL Injection, Cross-Site Scripting (XSS), Path Traversal eCommand Injection. Os WAFs modernos (chamados Next-Generation WAFs) incorporam mecanismos de machine learning, análise comportamental e bloqueio baseado em contexto, além de integrações nativas com pipelines de CI/CD e ferramentas de teste dinâmico.

Configurar um WAF sem compreender a arquitetura e lógica da aplicação é como instalar câmeras de segurança sem planta do prédio. Muitos incidentes ocorrem porque o WAF é aplicado de forma genérica, sem personalização para o comportamento real da aplicação. Um estudo da Gartner (2023) identificou que 60% dos WAFs corporativos operam em modo “alerta apenas”, sem bloqueio efetivo — um risco grave.

A aplicação de regras de WAF deve ser alinhada às fases do Secure SDLC, atuando junto a testes de segurança como SAST, DAST e IAST. Quando o time de desenvolvimento integra o WAF desde a fase de design, é possível criar políticas de segurança dinâmicas, revisadas a cada entrega (Sprint), mantendo o princípio de “Security by Design”.

Benefícios Práticos do DAST na Gestão de Segurança

O modelo DevSecOps enfatiza a segurança como parte contínua do ciclo de desenvolvimento. O DAST é integrado em pipelines de CI/CD para executar varreduras automáticas a cada novo deploy. Segundo o NIST SP 800-218 (Secure Software Development Framework, 2022), práticas contínuas de verificação reduzem em até 70% o custo de remediação de vulnerabilidades.

O DAST atua como um “sensor vivo”, detectando falhas reais e validando regras de WAF. Entre os principais benefícios:

•  Simulação de ataques e replay em ambiente de QA;
•  Testes de intrusão controlados em pré-produção;
•  Geração automática de regras para WAF;
•  Evidências para auditorias (ISO 27001, SOC 2, PCI-DSS);
•  Redução de riscos de exposição e impacto reputacional.

As ferramentas DAST modernas exportam regras automatizadas para WAFs, criando uma resposta integrada. Por exemplo, o OWASP ZAP pode identificar uma vulnerabilidade de injeção e sugerir uma rule set no WAF da Cloudflare ou Fortinet. Essa integração fecha o ciclo de defesa entre detecção (DAST) e mitigação (WAF). A Seguir alguns casos:

Caso 1 – Equifax (2017):

A falta de atualização no WAF e ausência de testes DAST contínuos permitiram a exploração de uma vulnerabilidade no Apache Struts, resultando no vazamento de 147 milhões de registros (GAO, 2018).

Caso 2 – Shopify (2021):

A empresa utilizou DAST integrado a pipelines DevSecOps e mitigou vulnerabilidades críticas em menos de 24 horas, conforme relatório de bug bounty (HackerOne, 2021).

Caso 3 – Banco Itaú (Brasil, 2023):

O uso de DAST aliado ao WAF permitiu reduzir o tempo médio de detecção(MTTD) de 8h para 2h e o tempo médio de resposta (MTTR) em 65%, demonstrando o impacto prático dessa integração.

Por fim, os desafios incluem a crescente adoção de microserviços, APIs e IA generativa, que expandem a superfície de ataque. O futuro aponta para DASTs com IA preditiva, integrados a Security Orchestration (SOAR) e XDR, para tomada de decisão autônoma e resposta em tempo real.

A integração entre WAF e DAST é uma das abordagens mais eficazes para elevar a resiliência digital das organizações. Empresas que adotam testes contínuos e WAFs inteligentes não apenas reduzem o risco de incidentes, mas constroem uma cultura de segurança adaptativa, essencial para a era do DevSecOps.

Andrey Guedes Oliveira

Diretor da Esyner Cyber Segurança (especialista em segurança da informação), Professor de Tecnologia da UNIP, Mestre em Telecomunicações pela PUC, MBAs em Gestão Empresarial e Projetos.