Birçok kuruluşta Web Uygulama Güvenlik Duvarı (WAF) etkinleştirilmiş gibi görünse de, aslında uygulamalarını siber saldırılara karşı savunmasız bırakabiliyor. Bunun temel nedeni, Azure WAF politikalarının varsayılan olarak "Tespit Modu"nda (Detection Mode) gelmesi ve bu modun, adının aksine, gerçek bir koruma sağlamamasıdır. Tespit Modu, saldırıları engellemek yerine yalnızca kaydeder ve kötü niyetli isteklerin doğrudan arka uca ulaşmasına izin verir. Bu durum, güvenlik panellerinde WAF'ın etkin olarak görünmesiyle birleşince, yanlış bir güvenlik algısı yaratır.
WAF motoru, Tespit Modu'nda bile gelen istekleri OWASP anomali puanlama sistemine göre inceler ve eşleşen kurallara göre bir puan biriktirir. Örneğin, kritik bir SQL enjeksiyonu kuralı 5 puan katkıda bulunur. Ancak, "Koruma Modu"nda (Prevention Mode) bu puan eşiğine ulaşıldığında WAF isteği engeller ve 403 hatası döndürürken, Tespit Modu'nda aynı puan yalnızca bir günlük girdisi oluşturur. Motor olayı kaydeder, eşleşen kuralları not eder ve ardından isteği uygulamanıza değişmeden iletir. Bu, saldırganın amacına ulaştığı anlamına gelir. Yalnızca gövde ayrıştırma hataları veya boyut sınırı ihlalleri gibi çok dar istisnalar Tespit Modu'nda bile engellenir, ancak bunlar gerçek güvenlik kontrolleri değildir.
Microsoft, WAF'ı ilk dağıtırken Tespit Modu'nda başlatmayı, gerçek trafiği gözlemlemeyi ve yanlış pozitifleri ayarladıktan sonra Koruma Modu'na geçmeyi önerir. Bu başlangıç için mantıklı bir tavsiyedir. Ancak sorun, bu ayarlama sürecinin haftalar sürebileceği ve bu süreci takip edecek bir zamanlayıcı, uyarı veya Azure Policy kuralı olmamasıdır. Ayarlama döngüsünün resmi bir çıkış kriteri bulunmadığından, birçok ekip WAF'ı kalıcı olarak Tespit Modu'nda bırakma eğilimine girer ve bu da uygulamaları sürekli risk altında tutar.
Azure WAF'ın Tespit Modu'nda bırakılması, güvenlik panellerinde aktif görünse bile uygulamaları siber saldırılara karşı savunmasız bırakarak yanlış bir güvenlik algısı yaratır.