Em uma abordagem WAAP tradicional, uma assinatura correspondida imediatamente bloqueia a requisição. Isso parece rápido, mas em implantações reais aumenta o risco de falsos positivos. O mesmo padrão pode representar um ataque em um contexto e um formato de dados legítimo em outro. É por isso que tratar cada regra com severidade idêntica raramente é a abordagem correta.
Um segundo desafio é a complexidade de gerenciamento de grandes conjuntos de regras. Quando não está claro qual regra roda em qual escopo, a qual categoria de ataque pertence, qual pontuação produz e em quais serviços está ativa, as equipes de operações acabam rodando o WAAP de forma muito permissiva ou muito agressiva.
A superfície de ataque moderna não está mais limitada a SQL injection e XSS clássicos. Endpoints de API, campos de corpo JSON, consultas GraphQL, manipulação de JWT, consultas NoSQL, vulnerabilidades de mecanismo de template, desserialização e novas variantes de CVE aparecem todos no mesmo fluxo de tráfego. Se o motor WAAP não consegue separar essa variedade por escopo e categoria, a visibilidade sofre.
A abordagem correta é rodar assinaturas por meio de um modelo de decisão baseado em pontuação. Cada regra deve produzir seu próprio peso, os limiares de serviço devem avaliar as pontuações acumuladas, o estado da regra deve ser gerenciável como monitor ou bloqueio, e as necessidades personalizadas devem ser substituíveis no escopo global ou de pool.
O TR7 WAAP Signature & Scoring fornece esse modelo: ele torna mais de 3.000 regras de produção, 32 categorias de ataque e 7 escopos de inspeção gerenciáveis por meio de lógica de pontuação, limiar e substituição.
O TR7 aplica a decisão WAAP por meio de correspondência de múltiplos padrões, limiares baseados em pontuação, um modelo de substituição de dois níveis e um conjunto de regras de ataque enriquecido.
O TR7 roda grandes conjuntos de regras de forma eficiente por meio de uma abordagem de correspondência multi-regex. As regras podem ser compiladas em shards para que apenas as partes alteradas sejam reconstruídas quando as regras são atualizadas.
Cada regra pode produzir uma pontuação — 2, 4, 6 ou 8. Essas pontuações são combinadas com um valor de limiar por serviço, de modo que o quadro geral de risco é avaliado em vez de um único sinal fraco.
Regras personalizadas globais e regras personalizadas de pool são mantidas em namespaces de ID separados. Isso permite que a política organizacional compartilhada e exceções específicas de cliente ou serviço coexistam sem conflitos.
O TR7 adiciona regras enriquecidas para API, JWT, GraphQL, NoSQL, injeção de prompt, injeção de template e variantes de ataque específicas de CVE além das assinaturas web clássicas. Essa camada amplia a cobertura em toda a superfície de aplicação moderna.
O WAAP Signature & Scoring torna um amplo conjunto de regras de produção gerenciável por meio de controles de pontuação, escopo e estado por serviço.
O TR7 vem com mais de 3.000 regras WAAP preparadas para uso em produção. Famílias de ataque principais — SQL injection, XSS, path traversal, SSRF, XXE, desserialização, injeção de template, leitura de arquivo, gravação de arquivo, execução de comando e divulgação de informações — são cobertas. As regras são gerenciadas não apenas como uma lista plana de padrões, mas junto com metadados de categoria, pontuação, escopo e alvo. Essa estrutura combina proteção ampla com controle operacional.
As regras são organizadas em 32 categorias de ataque: bypass de controle de acesso, bypass de autenticação, abuso de lógica de negócios, envenenamento de cache, injeção CRLF, injeção de consulta de dados, evasão de codificação, inclusão de arquivo, HTTP smuggling, redirecionamento aberto, poluição de parâmetros, injeção de prompt, poluição de protótipo, manipulação de sessão e mais. Essa classificação permite que as equipes de segurança entendam quais famílias de ataque se acionam com mais frequência. O gerenciamento de regras funciona por meio de títulos de risco significativos em vez de milhares de entradas brutas.
As regras TR7 podem operar em campos de path, query, header, form, JSON, XML e raw. Cada regra declara exatamente em qual escopo ela corresponde. Uma assinatura escrita para corpo JSON não roda desnecessariamente no header, e uma regra focada em path não é aplicada incorretamente ao tráfego de corpo. A separação de escopo importa tanto para precisão quanto para desempenho.
Cada regra produz uma pontuação específica que é avaliada em relação ao limiar do serviço. Correspondências de baixo risco podem produzir apenas uma entrada de log, enquanto uma pontuação total mais alta resulta em uma decisão de bloqueio. Essa abordagem considera o comportamento geral de risco em vez de tratar uma única correspondência de assinatura como um veredicto absoluto. O ajuste de limiar por serviço permite que diferentes aplicações sejam protegidas com diferentes sensibilidades.
Cada regra pode rodar no modo enabled, disabled ou monitor. No modo enabled, a regra contribui para decisões de pontuação e bloqueio; no modo disabled, está inativa; no modo monitor, produz saída somente de log. Regras novas ou incertas podem ser observadas primeiro no modo monitor. Isso torna as transições de política em serviços de produção significativamente mais seguras.
A substituição global define a política WAAP em toda a organização, enquanto a substituição de pool define comportamento diferente para um serviço ou cliente específico. Uma regra pode permanecer enabled globalmente enquanto é colocada no modo monitor para um pool específico, ou ter sua pontuação ajustada lá. Essa estrutura equilibra gerenciamento centralizado com requisitos reais por serviço. Namespaces de ID separados reduzem conflitos de regras personalizadas.
A camada enriquecida TR7 adiciona famílias de ataque modernas sobre as assinaturas web clássicas. Manipulação de JWT, DoS aninhado do GraphQL, injeção de consulta NoSQL, injeção de prompt, padrões de cadeia de suprimentos e ataques à superfície de container e serverless são abordados como grupos de regras dedicados. Essa camada visa arquiteturas de API e plataforma modernas — não apenas formulários web legados. A proteção WAAP se alinha mais estreitamente com a forma como as aplicações atuais são construídas.
O TR7 pode incluir assinaturas de variante dedicadas para ataques focados em CVE como Log4Shell, Spring4Shell e Shellshock. Formas codificadas, ofuscadas ou com variação de sintaxe são capturadas por padrões separados. Quando um CVE é publicado, a adição de regra personalizada e hot reload reduzem o tempo de resposta. Essa velocidade operacional é crítica como primeira linha de defesa após uma divulgação de zero-day.
Para cada requisição, o TR7 pode carregar os IDs de regras acionadas, pontuação e informações de parte relevante dentro do payload WAAP. Esses dados ajudam os revisores de incidentes a entender qual regra foi acionada e por quê. O operador vê não apenas um resultado "bloqueado", mas toda a cadeia de pontuação que levou ao bloqueio. Essa visibilidade é importante para análise de falsos positivos.
Eventos WAAP podem ser registrados nos formatos CEF e JSON. ID de regra, categoria de ataque, pontuação, escopo e campos de metadados estão disponíveis para o lado SIEM. As equipes de segurança podem conectar eventos WAAP a sistemas centrais de alertas, correlação e relatórios. O formato de log suporta processos de conformidade e resposta a incidentes.
As regras podem ser referenciadas com padrões de segurança e taxonomias de ataque. Links de CWE, CAPEC, MITRE ATT&CK e OWASP Web/API Top 10 conectam um evento WAAP técnico à linguagem de auditoria e risco. Isso permite que equipes de SOC, segurança de aplicações e conformidade discutam o mesmo evento dentro de um framework comum. Os relatórios não se limitam a um ID bruto de assinatura.
O TR7 pode recarregar apenas as partes alteradas do motor WAAP em vez de reiniciar toda a pilha em uma atualização de regra. Isso torna a adição de novas assinaturas ou a atualização de regras personalizadas mais rápida e menos disruptiva. Conjuntos de regras atualizados podem ser colocados em vigor sem reinicialização de container. Essa velocidade operacional é decisiva durante a resposta de emergência a CVE.
O motor de assinaturas WAAP é operado juntamente com modos de compilação, distribuição de pontuação, densidade de escopo, namespaces de ID de regras personalizadas, estatísticas RRD e comportamento de hot reload.
A compilação de regras pode rodar nos modos de shard all, poly ou mono. Na abordagem mono com shards, as regras são divididas em partições que podem ser compiladas em paralelo. Esse modelo ajuda a reduzir o tempo de compilação e o impacto de atualização para grandes conjuntos de regras.
A fábrica de regras WAAP do TR7 opera com um modelo visando capacidade máxima de 10.000 regras. Esse limite fornece espaço de expansão para regras de produção, a camada enriquecida e regras personalizadas de clientes. Os operadores devem monitorar o equilíbrio de desempenho e cobertura à medida que o conjunto de regras cresce.
As regras produzem pontuações diferentes de acordo com seus pesos. Pontuações de 2 e 4 representam descobertas de sinal mais baixo; 6 e 8 carregam sinais de risco mais fortes. Regras críticas selecionadas podem ser tratadas com maior urgência. A decisão de limiar é moldada pelo efeito combinado dessas pontuações acumuladas.
As regras operam em densidades variadas nos campos de path, query, header, form, JSON, XML e raw. Campos de query e form carregam concentrações mais altas para superfícies de ataque clássicas, enquanto campos JSON e raw ganham importância para tráfego de API moderno. A distribuição de escopo ajuda as equipes a entender quais superfícies de tráfego geram o sinal de proteção mais forte.
Regras personalizadas globais e regras personalizadas de pool são geradas em intervalos de ID separados. O namespace global carrega regras compartilhadas de toda a organização; o namespace de pool carrega regras específicas de serviço ou cliente. Essa separação reduz conflitos de regras e torna o comportamento de substituição mais fácil de auditar.
As contagens de hits de regras podem ser agregadas por categoria e apresentadas em gráficos. Isso torna possível ver quais famílias de ataque aparecem com mais frequência, quais serviços produzem o sinal de risco mais forte e como as mudanças de política afetam a distribuição ao longo do tempo. As estatísticas transformam o WAAP de um bloqueador puro em um sensor de segurança aprendível.
Equipes de API financeira podem estender a cobertura alinhada ao OWASP clássico com regras de ataque JWT, GraphQL, NoSQL e API moderna. A camada enriquecida TR7 fornece um escopo de assinatura mais adequado à superfície de API atual.
Equipes bancárias podem observar regras específicas no modo monitor primeiro e, em seguida, ajustar os valores de limiar de serviço por pool. Isso permite estabelecer um equilíbrio mais controlado entre aplicação agressiva de segurança e tráfego de usuários legítimos.
Portais governamentais podem adicionar regras regex personalizadas com escopo para campos de form e JSON. Quando padrões de dados sensíveis ou entradas inesperadas aparecem, uma pontuação e entrada de log acionam um fluxo de trabalho de investigação.
Equipes de SaaS podem aplicar regras de base global a todos os tenants enquanto definem substituições personalizadas para clientes ou pools específicos. Namespaces de ID separados garantem que regras específicas de cliente nunca entrem em conflito com o conjunto de regras compartilhado.
3.000+ regras de produção, 32 categorias de ataque e um modelo de decisão baseado em pontuação. Vamos percorrer como funciona no seu próprio ambiente.