Cómo combatir los 10 principales riesgos de OWASP con WAF de Azion

¿Cómo ayuda el Web Application Firewall de Azion a combatir las 10 principales amenazas de OWASP? ¡Descúbrelo aquí!

Paulo Moura - Technical Researcher
Cómo combatir los 10 principales riesgos de OWASP con WAF de Azion

En esta publicación sobre WAF (Web Application Firewal, firewall de aplicaciones web), hablamos sobre sus capacidades para combatir los riesgos de seguridad de OWASP Top 10  y cómo este es uno de los principales beneficios (y requisitos) de este tipo de solución.

OWASP Top 10 es un proyecto realizado por la Fundación OWASP® con la colaboración de expertos en seguridad y desarrolladores de aplicaciones web utilizado como referencia por profesionales del ramo y empresas de todo el mundo.

Actualmente, el documento OWASP Top 10 Risks está compuesto por las siguientes amenazas:

  1. A1:2021 - Violación del control de acceso.
  2. A2:2021 - Fallas criptográficas.
  3. A3:2021 - Injección.
  4. A4:2021 - Diseño de baja seguridad.
  5. A5:2021 - Configuración de seguridad incorrecta.
  6. A6:2021 - Componentes vulnerables y obsoletos.
  7. A7:2021: Fallas de autorización y autenticación.
  8. A8:2021: Fallas en la integridad del software y datos.
  9. A9:2021 - Registro y monitoreo de fallas de seguridad.
  10. A10:2021 - SSRF (Server Side Request Forgery, falsificación de una petición del lado del servidor).

A continuación, veremos más detalles sobre cada uno de estos riesgos y cómo WAF de Azion puede ser un gran aliado para prevenirlos.

A1:2021 | Violación de control de acceso

El control de acceso es un mecanismo de seguridad que se utiliza para restringir el acceso a los recursos y determinar los permisos de los usuarios. Cuando se infringe el control de acceso, significa que usuarios no autorizados han accedido a información confidencial, por ejemplo.

Esta falla generalmente ocurre cuando la aplicación no restringe el acceso a los datos o la funcionalidad del sistema, lo que resulta en la divulgación no autorizada de información, modificación o destrucción de datos, o la ejecución de tareas que solo corresponden al administrador del sistema.

Optimización del control de acceso con WAF de Azion

Cuando se usa WAF como una capa de seguridad adicional, es posible anticipar amenazas al sistema de control de acceso y definir un conjunto de análisis de tráfico instantáneo para cada componente, potencialmente objetivo de la aplicación, como API y páginas de autenticación de usuarios.

Otro medio importante de prevención es la aplicación de un modelo de seguridad zero trust, para que cada usuario tenga solo los permisos necesarios dentro de un sistema.

A2:2021 | Fallas criptográficas

Las fallas criptográficas se deben a la ausencia (o ineficiencia) del cifrado y pueden resultar en la exposición de datos como números de tarjetas de crédito e información personal del usuario.

Según OWASP, existen varias situaciones clasificadas en CEW (Notable Common Weakness Enumerations, enumeraciones de debilidades comunes)[1] que someten datos a exposición, tales como:

  • CWE-259 - Uso de contraseña codificado: esto es cuando la información asociada con la autenticación se expone en el cuerpo del script y cualquier usuario de la aplicación puede extraerla fácilmente;
  • CWE-327 - Uso de algoritmo o protocolo de cifrado roto/peligroso: esta falla es un desafío, ya que producir un algoritmo seguro es difícil y, cuando no se actualiza debido a los rápidos avances tecnológicos y al aumento en el poder de cómputo, el nivel de protección brindado ya no es el mismo.
  • CWE-331 - Entropía insuficiente: en seguridad de la información, la entropía es información aleatoria recopilada por el sistema operativo para generar aleatoriamente claves criptográficas. En este caso, la entropía insuficiente no es más que el agotamiento de nueva información para la generación de claves criptográficas únicas, siendo la duplicación de claves una de las consecuencias de ello.

La cantidad y variedad de factores que provocan fallas en el cifrado explican por qué este riesgo ocupa el segundo lugar en la lista.

Protección de datos con WAF

Hay muchas formas de evitar que las fallas criptográficas pongan en jaque la seguridad de los datos y la principal es proteger los datos con cifrado de extremo a extremo (end-to-end encryption o E2EE).

Otro paso importante es extender el cifrado del tráfico web utilizando el protocolo TLS (Transport Layer Security, seguridad de la capa de transporte). En la edge application, es posible hacer esto en solo cinco etapas.

A su vez, el WAF tiene la función de analizar las solicitudes en busca de ciertos caracteres, cadenas y patrones que caracterizan el tráfico potencialmente malicioso.

Con un método de bloqueo basado en la puntaje en lugar de las firmas, WAF de Azion garantiza que ni siquiera las amenazas de día cero puedan afectar su aplicación y obtener acceso a los datos.

A3: 2021 | Inyección

Inyección (injection) es un tipo de ataque que consiste en inyectar código malicioso en una aplicación con el fin de controlar o robar los datos almacenados en ella.

Hay dos tipos comunes de inyección, el primero basado en lenguajes de consulta, como SQL injection (SQLi) y el segundo en secuencias de comandos, como Cross-site Scripting (XSS), cuyos impactos varían entre:

  • Bypass de autenticación
  • Envenenamiento de caché
  • Pérdida, robo o violación de datos
  • Negación de servicio
  • Fuga de información

Este tipo de ataque es capaz de comprometer todo un sistema haciendo que la aplicación se comporte de forma inesperada. Incluso las consecuencias pueden ocurrir tanto en el servidor como en el lado del cliente.

Bloqueo de inyección automatizado

Al crear un conjunto de reglas WAF (WAF Rules Set) en la plataforma Azion, el usuario tiene varios ajustes específicos aplicables a algunos tipos de amenazas.

Azion-WAF-Rules-SET

En la imagen arriba, puedes ver que es posible configurar el WAF para detectar y bloquear automáticamente las SQL injections y Cross-Site Scripting y ajustar los niveles de sensibilidad que definirán la gravedad del WAF al analizar si la solicitud es una amenaza.

A4:2021 | Diseño inseguro

El diseño inseguro se refiere a aplicaciones que no fueron creadas con estrictos estándares de seguridad. Esto provoca que las fallas estén presentes durante todo el ciclo de desarrollo de una aplicación.

Una de las mejores analogías para ilustrar un diseño inseguro es la construcción de una casa. Cuando la construcción no sigue las mejores prácticas en todos los aspectos, es seguro que, tarde o temprano, surgirán problemas.

Las consecuencias del diseño inseguro en las aplicaciones web pueden aflorar rápidamente, ya que todos los componentes pueden tener algún tipo de vulnerabilidad, incluso en el capas transporte y red.

Integración de WAF de Azion con pipelines de CI/CD

WAF de Azion fue diseñado para satisfacer las demandas de seguridad más complejas y también para simplificar los procesos de prueba y validación de software seguro.

A través de reglas predefinidas, el WAF puede integrarse con los pipelines de CI/CD existentes y, a partir de ahí, automatizar validaciones y pruebas de código, lo que favorece el desarrollo ágil y la optimización de la conformidad.

Vale la pena señalar que la automatización es solo una de las posibilidades para evitar el diseño inseguro. En nuestra plataforma de edge full stack, los clientes crean entornos para probar varios escenarios de seguridad y así garantizar la efectividad de las reglas de firewall sin la necesidad de poner la aplicación en producción.

A5:2021 | Configuración de seguridad incorrecta

Según OWASP, el 90 % de las aplicaciones fueron probadas por algún error de configuración de seguridad, con una tasa de incidencia del 4 % y más de 208 000 ocurrencias de CWE que engloban este riesgo. ¿Qué explica esto?

Las aplicaciones modernas son complejas y altamente personalizables. Por lo tanto, a medida que se implementan cambios a gran escala sin el debido cuidado de la seguridad, la tendencia es que las vulnerabilidades afloren constantemente.

Otro detalle son los errores que ocurren en cualquier nivel o componente de la aplicación, como contenedores, bases de datos y API. No por casualidad, el 41 % de las organizaciones sufrieron algún tipo de incidente de seguridad con API en 2021[2].

Construcción de reglas restrictivas para una configuración de seguridad mejorada

Además de la integración con las canalizaciones de CI/CD existentes, WAF de Azion trabaja con conjuntos de reglas restrictivas ideales para una configuración de seguridad robusta.

En función de los parámetros del patrón de coincidencia (condición de comparación, cadena o expresión regular que se buscará en la solicitud), que pueden aplicarse o asignarse ampliamente a una ruta, el WAF permite validar:

  • Headings de HTTP
  • Cuerpo de un POST (POST arguments)
  • Cadena de consulta (GET arguments)
  • Nombre del archivo

Simplemente, el usuario puede establecer reglas de firewall avanzadas para proteger partes críticas de las aplicaciones, incluso en respuesta a eventos y descubrimientos.

Por ejemplo, si se identificó un ataque XSS sospechoso en un servicio de aplicación, el equipo de expertos puede mejorar el algoritmo WAF con reglas más precisas para protegerlo.

El caso de éxito de FourBank es un ejemplo de esta capacidad del WAF de Azion. En él, se mitigó un ataque DDoS que explotaba las API mediante una regla WAF.

A6:2021 | Componentes vulnerables y obsoletos

Este riesgo se refiere a las aplicaciones compuestas por bibliotecas, marcos y otros componentes de terceros que están desactualizados o tienen vulnerabilidades conocidas.

El impacto de esto es su exposición a diferentes vectores de ataque, como inyecciones y ejecución remota de código malicioso. Esto sucede a menudo porque los desarrolladores no conocen la actualización del software o las vulnerabilidades que contiene.

También existe un problema vinculado a las aplicaciones monolíticas, ya que, dado que cualquier parte de la aplicación puede verse afectada por la implementación de un componente, la actualización se considera un riesgo y, por lo tanto, se descuida.

Actualizaciones y parches de seguridad con WAF de Azion

Dado que el WAF de Azion brinda seguridad desde el perímetro, la solución simplifica la actualización de reglas y parches virtuales, que se pueden implementar mediante edge functions.

Uno de los beneficios de los parches es que minimizan la necesidad de cambios de código personalizados y también minimizan la fricción entre los equipos de desarrollo y seguridad.

Más que las vulnerabilidades conocidas, el WAF de Azion bloquea los ataques de día cero con un grado de eficiencia que varias soluciones de proveedores globales no han logrado. ¿Quiere saber más? Descubre cómo WAF de Azion no se vio afectado por WAF Bypass.

A7:2021 | Fallas de autorización y autenticación

Las fallas de identificación y autenticación ocurren debido a la ausencia de mecanismos de protección para validar la identidad del usuario, como MFA (Multi-Factor Authentication, autenticación multifactor, y ataques de bloqueo como robo de credenciales (credential stuffing) y fuerza bruta (brute force).

Otras causas comunes son las aplicaciones que permiten el uso de contraseñas débiles o que se almacenan de forma insegura, como en archivos de texto sin el formato o cifrado adecuados.

Mecanismo de autenticación mejorado con reglas WAF y edge functions

Además de los recursos WAF para mejorar el control de acceso, perfectamente aplicables a este contexto, Azion ofrece acceso a un marketplace con soluciones específicas para:

  • Reconocimiento facial
  • Validación de URL
  • Reputación de PI
  • Token de seguridad

Son excelentes complementos para los mecanismos de autenticación y se pueden implementar en unos pocos pasos a través de edge functions.

Para garantizar que las contraseñas y las credenciales de acceso se almacenen de forma segura, el WAF se puede usar para crear conjuntos de reglas extremadamente restrictivos, como se explicó anteriormente y con alta granularidad.

Además, las reglas WAF se pueden mejorar con la limitación de velocidad y, por lo tanto, evitar ataques como rATO (Account Takeover, fraude de apropiación de cuenta) y fraude, como el uso de tarjetas de crédito, así como credenciales de inicio de sesión adquiridas en la web oscura.

A8:2021 | Fallas de integridad de software y datos

Las fallas en la integridad del software y de los datos se caracterizan por el uso de datos o aplicaciones sin un proceso de control o verificación adecuado. Ejemplos comunes son aplicaciones compuestas de bibliotecas, repositorios y complementos de fuentes no confiables.

Según OWASP, otro problema que contribuye a la aparición de estas fallas es la función de actualización automática activada en la mayoría de las aplicaciones, ya que las actualizaciones se descargan sin que se verifique la integridad completa.

Filtrado y validación de solicitudes con WAF

La configuración por tipo de amenaza que se encuentra en el WAF de Azion ayuda a prevenir ataques como las inclusiones de archivos remotos (RFI) y el cruce de directorios, lo que garantiza que solo se atiendan las solicitudes verificadas.

La implementación de mejores prácticas de desarrollo de software seguro también es un paso importante para prevenir fallas de integridad. Por lo tanto, la propia integración con los procesos de CI/CD contribuye significativamente a la creación de códigos completos.

La conformidad es también un punto relevante en este sentido. Después de todo, al cumplir con requisitos tales como PCI DSS y SOC 3, es natural que la aplicación esté mejor protegida en términos de diseño y configuración.

A9:2021 | Registro de fallas y monitoreo de seguridad

El registro y la supervisión de seguridad son requisitos básicos para detectar y responder a las vulnerabilidades existentes en una aplicación. Además, tales actividades son esenciales para:

  • Auditar eventos críticos como inicios de sesión y transacciones financieras.
  • Detección y mapeo de actividades sospechosas.
  • Pruebas de penetración y controles de seguridad.
  • Desarrollo del plan de respuesta a eventos.

Cuando fallan el registro y la supervisión de seguridad, la organización no solo no logra desarrollar su línea de defensa, sino que termina exponiendo los datos de los usuarios y poniendo en riesgo la disponibilidad del servicio.

Monitoreo y observabilidad

El WAF de Azion contribuye al monitoreo de la seguridad al actuar como un IDS (Intrusion Detection System, sistema de detección de intrusos), analizando y monitoreando el tráfico en busca de amenazas, y como un IPS (Intrusion Prevention System, sistema de prevención de intrusos), bloqueando el tráfico de manera proactiva mediante un método de detección basado en puntaje.

En términos de observabilidad, el WAF proporciona registros de eventos a los que se puede acceder en Real-Time Metrics.

“Cuando todo empezó a viajar por Azion, empezamos a tener una mejor idea de todo lo que sucede en las aplicaciones, por lo que establecimos nuevos frentes para utilizarlos en la construcción de planes de acción para enfrentar determinadas situaciones en caso de que se presenten”.

Jefferson Bornhausen, director de TI de FourBank

Para una experiencia de datos más completa, tu equipo de seguridad puede usar el Data Streaming de Azion o el nuestro API de Events GraphQL para alimentar sus plataformas SIEM con datos de eventos brutos de WAF.

A10:2021 | Server-Side Request Forgery (SSRF)

La falsificación de solicitud del lado del servidor (SSRF) es una vulnerabilidad que ocurre cuando la aplicación web envía solicitudes HTTP a una ubicación inesperada, por lo que el atacante explota ese punto de contacto para obtener acceso a datos y servicios.

Por lo general, la solicitud maliciosa induce al servidor a conectarse a los servicios de aplicaciones internas, como las API y brinda acceso directo a la interfaz administrativa a través de la cual se otorgan privilegios al usuario.

Un ataque SSRF exitoso da como resultado la exposición de datos internos de la organización y abre espacio para que se practiquen varios otros ataques como DDoS y ejecución remota de código.

WAF como una capa adicional de seguridad

Dado que un ataque SSRF se caracteriza por la conexión con el servidor de origen, la arquitectura de edge computing a través de la cual funciona el WAF de Azion, por sí misma, puede considerarse un perímetro de seguridad.

Sin embargo, como vimos a lo largo de este contenido, el WAF permite la creación de reglas personalizadas que se pueden implementar en partes específicas de su aplicación, de acuerdo con las necesidades comerciales y evitar que las solicitudes maliciosas obtengan acceso a ellas.

Ahora que sabe cómo el WAF de Azion ayuda a combatir las amenazas del Top 10 de OWASP, ¿qué tal probarlo en su aplicación? Crea una cuenta grátis y recibe 300 USD en créditos de servicio para usar nuestra plataforma de edge computing.

Suscríbete a nuestro boletín informativo