Nuestra jornada sobre seguridad de aplicaciones web ya ha tenido capítulos importantes, como una guía completa para elegir un WAF y una lista de cómo el WAF de Azion ayuda a combatir cada una de las amenazas del Top 10 de OWASP.
En esta publicación, revisaremos brevemente los principales métodos de detección de amenazas adoptados por los WAF disponibles en el mercado y demostraremos las ventajas de adoptar el WAF de Azion para proteger tus aplicaciones y API de amenazas conocidas, emergentes y de día cero.
Principales métodos de detección de amenazas
Como puedes ver con más detalle en este artículo, un WAF (Web Application Firewall, firewall de aplicaciones web) es una solución que monitorea y controla el tráfico HTTP y HTTPS entre servidores y clientes en Internet. Puede bloquear o permitir solicitudes según reglas preestablecidas, que pueden basarse en firmas (también conocidas como “vacunas”) o en scoring (puntajes). A continuación sigue una una breve descripción de estos sistemas.
Método Signature-Based
Un WAF basado en firmas (signature-based) compara cada solicitud con una lista de patrones de ataque conocidos (las “firmas”). Por lo tanto, si una solicitud coincide con alguna de las firmas contenidas en el WAF, se la bloquea.
Este es un método simple que puede ser bastante efectivo contra ataques conocidos, pero tiene algunas limitaciones, entre ellas el hecho de que difícilmente puede contener un ataque que aún no haya sido registrado en un banco de firmas.
De esta manera, una aplicación o API protegida por un WAF basado en firmas aún puede estar completamente expuesta a ataques emergentes y amenazas de día cero, ya que los atacantes se esfuerzan por ocultar o evadir caracteres o comandos sospechosos para que sus solicitudes no coincidan con ciertas firmas. Además, para contrarrestar esta deficiencia, los WAF basados en firmas necesitan actualizaciones constantes para poder detectar los nuevos ataques que surgen a diario.
Pero eso no es todo: al comparar cada solicitud con las firmas de miles de ataques, este método de detección tiende a afectar la latencia de los sitios web y aplicaciones, causando daños en la experiencia del usuario, lo que puede ser especialmente dañino para los servicios time-sensitive (urgentes), como medios de pago y streamings.
Método Scoring-Based
Un WAF basado en scoring (puntajes), a su vez, analiza las solicitudes en función de criterios como los comandos y los datos contenidos en ellas. De esta forma, se asigna un puntaje a cada solicitud y si supera el límite definido en el WAF, es bloqueada.
Así, en lugar de comparar solicitudes con un banco de firmas conocidas, el WAF se basa en reglas establecidas por el administrador para monitorear la información de las solicitudes y bloquearlas si se encuentran elementos considerados sospechosos (como “INSERT” o ”\\”, por ejemplo).
Entre los beneficios de este enfoque está el hecho de que no afecta a la latencia como el basado en firmas, ya que realiza comparaciones de campos específicos en la solicitud con un pequeño conjunto de reglas, en lugar de comparar la solicitud completa con un banco de miles de firmas. Además, como las reglas se pueden establecer en función de las características de las solicitudes que normalmente son sospechosas, un WAF basado en scoring puede bloquear incluso amenazas que aún no se hayan descubierto, siendo mucho más confiable y efectivo contra los ataques emergentes y de día cero.
Conoce el WAF de Azion
Cómo funciona
Para brindar la mejor protección a nuestros clientes, el WAF de Azion utiliza el método de detección basado en puntaje. Esto significa que cada solicitud entrante se compara con un conjunto detallado de reglas y se le otorga una puntuación, que se puede asociar con riesgos de seguridad en aplicaciones.
Una ventaja significativa de asociar este enfoque a la arquitectura de protección multicapa de Azion está en que nuestra plataforma está altamente distribuida en puntos de presencia (edge locations) independientes, lo que permite que las solicitudes se reciban y gestionen directamente en nuestra infraestructura, sin necesidad de una nueva conexión con el origen o de usar un entorno aislado en la cloud. Cada solicitud entrante se trata utilizando un conjunto eficiente de reglas de seguridad que le asignan una puntuación determinada, de modo que la que sea sospechosa puede ser bloqueada directamente en las edge locations, sin necesidad de enviar una nueva solicitud o conexión al origen, y que resulta en la mitigación del origen del ataque.
Además, puedes personalizar la sensibilidad del WAF para bloquear cada familia de amenazas de acuerdo con las características específicas de tu aplicación y tu negocio, lo que reduce el riesgo de falsos positivos y mantiene tu aplicación y usuarios a salvo de amenazas de todo tipo. Esto también está garantizado en la etapa de aprendizaje de la herramienta, en la que la funcionalidad WAF Rule Set identifica los comportamientos legítimos de tu aplicación y los inserta en una lista blanca.
La funcionalidad WAF Tuning también permite adaptar el comportamiento de tu WAF mediante el análisis de direcciones IP normalmente bloqueadas, lo que hace que las reglas de puntaje sean más flexibles para el tráfico interno y para las pruebas legítimas realizadas en tu aplicación.
Para obtener más detalles sobre las configuraciones de sensibilidad de Rule Set y WAF Tuning, así como sobre todo el proceso de implementación y uso del WAF de Azion, puedes consultar nuestra documentación.
Ventajas
El WAF de Azion se basa en scoring
Como destacamos anteriormente, el método de detección de amenazas más seguro y con el menor impacto en el desempeño de tus aplicaciones se basa en puntajes, y este es el método adoptado por el WAF de Azion. Este te permite maximizar la detección y mitigación de amenazas conocidas y desconocidas, reducir la cantidad de falsos positivos y aplicar políticas específicas para bots y usuarios humanos, sin perjudicar el desempeño y sin requerir actualizaciones frecuentes.
El WAF de Azion tiene una configuración e implementación ultrarrápidas
Además de garantizar una protección eficiente después de la implementación, el WAF de Azion también se beneficia de una configuración e implementación fácil y ultrarrápida. Con paneles e interfaces intuitivas, creas tu WAF, defines reglas específicas para tu negocio, estableces grados de sensibilidad e implementas seguridad en toda la red global de edge locations de Azion en minutos.
El WAF de Azion cuenta con reglas preestablecidas y personalizables
Para obtener todos estos beneficios, puedes utilizar las reglas preestablecidas del WAF de Azion (que adopta como estándar el mayor grado de sensibilidad) o personalizar reglas y condiciones de acuerdo a las necesidades y especificidades de tu campo de actividad, reforzando la protección frente a las amenazas más frecuentes y disminuyendo la sensibilidad con relación a otras para evitar falsos positivos. En la siguiente imagen tienes un ejemplo de cómo se hace todo esto de forma sencilla en nuestro Real-Time Manager.
WAF de Azion cumple con las normativas de compliance más reconocidas del mercado
En la economía de la información globalizada, cumplir con estrictas reglas de compliance de datos es esencial para cualquier empresa que quiera cuidar la seguridad de los datos de sus usuarios. Para garantizar esto, WAF de Azion cumple con requisitos de compliance reconocidos a nivel mundial, como SOC 3 y PCI DSS v4.0.
Además, debido a que cuenta con edge locations distribuidas en los cinco continentes, Azion simplifica la forma en que cumple con las reglas de compliance locales, evitando que los datos confidenciales circulen a través de servidores que no están en sintonía con las reglas de países y regiones específicos.
WAF de Azion forma parte de la Plataforma de Edge Computing más confiable del mundo
WAF de Azion es un módulo de Edge Firewall, el stack de seguridad completo de Azion. Con él, además de protegerte de los ataques OWASP Top 10, emergentes y de día cero, también obtienes protección DDoS ilimitada y gratuita con DDoS Protection, así como una protección perimetral programable para tu capa de red con Network Layer Protection.
Tanto el WAF como todas nuestras soluciones de seguridad se integran fácilmente con Real-Time Metrics, Data Stream y nuestras otras herramientas de observabilidad, lo que permite una integración simple con tu herramienta de SIEM y análisis de datos en tiempo real para mejorar tus reglas de seguridad, evitando falsos positivos y detectando posibles fallos que puedan abrir paso a amenazas emergentes.
Además dispones de Azion Marketplace, un catálogo digital con soluciones listas para implementarse que mejoran tus aplicaciones y tu seguridad en tan solo unos clics, sin tener que escribir código desde cero.
Por último, la Plataforma de Edge Computing de Azion cuenta con las herramientas necesarias para desarrollar y ofrecer las mejores aplicaciones modernas que se ejecutan en nuestras más de 100 edge locations distribuidas globalmente. Herramientas como Image Processor y Edge Cache ayudan a garantizar que, incluso con la protección más completa y moderna, tus aplicaciones también ofrezcan el mejor desempeño y experiencia de usuario.
Casos de éxito
La amplia efectividad de nuestro WAF basado en scoring ha sido bien puesta a prueba por nuestros clientes e incluso por ciberataques de gran alcance global.
A fines de 2022, un exitoso ataque de inyección SQL (SQLi), que se conoció popularmente como “WAF Bypass”, afectó a una gran cantidad de aplicaciones protegidas por WAF de algunos de los players globales más importantes. El WAF de Azion, a su vez, pudo bloquear este ataque sin requerir reglas adicionales ni ningún tipo de actualización: la protección estándar de nuestro WAF contra SQLi demostró ser efectiva en el 100 % de las pruebas realizadas.
En la primera mitad de 2023, otro ataque, ahora conocido como CRLF Injection Bypass, también sorprendió a los grandes proveedores de servicios que usan WAF basados en firmas y se encontraron vulnerables ante esta amenaza emergente. Una vez más, el WAF de Azion demostró su eficacia sin necesidad de actualizaciones.
Nuestros clientes también dan fe de la eficacia de WAF de Azion a diario. Empresas como B2W (que incluye plataformas como Americanas.com y Submarino.com), Magalu y Netshoes son algunas de las que utilizan nuestra solución para bloquear millones de ataques al año y reducir drásticamente el número de falsos positivos, frecuentes en WAF de firmas y que pueden ser dañinos al evitar que el tráfico legítimo llegue a las aplicaciones.
Conclusión
El WAF de Azion es la solución ideal para las empresas que desean proteger sus aplicaciones y APIS contra las amenazas OWASP Top 10, los ataques emergentes y las vulnerabilidades de día cero sin perder desempeño ni bloquear el tráfico legítimo. Crea una cuenta gratuita ahora mismo para experimentar todos los beneficios de nuestro WAF y edge computing en la práctica.
¿Deseas descubrir cómo Azion puede impulsar la revolución digital en tu empresa? Habla con uno de nuestros experts.
