Los Web Application Firewalls (WAF) son uno de los componentes principales de la seguridad moderna en la web. Según el reporte Data Breach Incident presentado por Verizon en 2020, más del 80 % de los ataques registrados el año pasado fueron dirigidos a aplicaciones web, una estadística nada sorprendente dado el tamaño cada vez mayor de la superficie de ataque de las aplicaciones modernas. Sin embargo, no todos los WAF son creados de la misma forma. A medida que los ataques cibernéticos y las aplicaciones web llegan a ser cada vez más complejos, los WAF deben usar técnicas cada vez más sofisticadas para proteger a las aplicaciones y garantizar que esta protección no afecte el desempeño.
Este post informará a los lectores sobre lo que deben buscar en un WAF, además de discutir su definición, la diferencia entre los WAF basados en firmas y los WAF basados en puntaje (Signature-based y Scoring-based WAF), la necesidad de inteligencia de amenazas en tiempo real y la protección contra ataques de día cero. Además, se comparará la forma en la que los WAF basados en firmas y los WAF basados en puntaje abordan estas amenazas.
¿Que es un WAF?
Un WAF provee protección para aplicaciones web por medio de la filtración de solicitudes HTTP, lo que permite bloquear a usuarios maliciosos y proteger contra amenazas listadas por OWASP (Open Web Application Security Project) y otras. Como señala Gartner en su Cuadrante Mágico de 2020 para Web Application Firewalls “los WAF son implementados para proteger aplicaciones web contra amenazas externas e internas, monitorear, verificar el acceso a las aplicaciones web, así como para recopilar registros de accesos para auditorías de conformidad y análisis”. [1] Además, las industrias que se ocupan de las credenciales de pago y otras informaciones confidenciales dependen de los WAF para cumplir con los diferentes requisitos de conformidad como los estándares de seguridad PCI.
¿Contra qué tipos de amenazas protegen los WAF?
Probablemente, el caso de uso más importante para un WAF es proteger aplicaciones contra el TOP 10 de vulnerabilidades presentadas por OWASP. En su sitio web, se describe esta lista como “un documento de concientización estándar para desarrolladores y para la seguridad de aplicaciones web que representa un amplio consenso sobre los riesgos de seguridad más críticos para las aplicaciones web”.
Estas amenazas incluyen vulnerabilidades que pueden conducir a tipos específicos de ataques, como inyección de código o secuencia de comandos en sitios cruzados (Injections y Cross-Site Scripting), así como también otras prácticas, tales como falla de control de accesos, registro y monitoreo insuficiente, que pueden ser explotados para acceder y manipular datos.
Otros riesgos del Top 10 presentado por OWASP son:
- falla de autenticación;
- exposición de datos confidenciales;
- entidades externas XML;
- configuración de seguridad incorrecta;
- deserialización insegura, y
- uso de componentes con vulnerabilidades conocidas.
Además, los WAF más avanzados deben extenderse más allá de la protección indicada por OWASP para proteger contra diferentes vectores de ataque, como los basados en API, y contra amenazas emergentes y de día cero.
Ataques de día cero
Una de las principales dificultades en la seguridad cibernética es tratar con amenazas que aún no son conocidas por los especialistas, a menudo llamadas ataques de día cero. Sin las protecciones para evitar estas amenazas, el tiempo está del lado de los atacantes, mientras que los equipos de seguridad deben correr para reparar las vulnerabilidades y proteger las aplicaciones. En este contexto, como indica la revista de seguridad digital CSO, “cuanto mayor sea el tiempo que un invasor está dentro de un ambiente, más acceso tendrá a los diferentes dispositivos, datos, cuentas y a todo aquello que necesitamos para eliminar su acceso y limitar su impacto en el futuro”.
Como resultado, la inteligencia de amenazas en tiempo real y la capacidad de protección contra ataques emergentes y de día cero son cruciales para la seguridad de una aplicación.
¿Cómo funcionan los WAF basados en firmas y en puntaje?
A pesar de que los WAF son diseñados para filtrar tráfico malicioso, usan métodos diferentes para proteger a las aplicaciones. Mientras los WAF basados en firmas dependen de listas de patrones de ataques conocidos o firmas para evitar amenazas conocidas, los WAF basados en puntaje usan conjuntos simples de reglas para identificar amenazas tanto conocidas como desconocidas y las bloquea de acuerdo con los diferentes niveles de sensibilidad deseados.
WAF basados en firmas
Los WAF basados en firmas aprovechan los datos de ataques previos para filtrar el tráfico que coincide con los patrones de ataques conocidos. Cada vez que un nuevo ataque es detectado, los proveedores de seguridad crean una firma que contiene los componentes del patrón de ataque. La firma es añadida al WAF y será comparada con cada nueva solicitud; esto permite bloquear o generar una alerta para cualquier solicitud que coincida con esa firma.
Como resultado, los WAF basados en firmas deben ser actualizados constantemente para mantener su relevancia. Estas actualizaciones generan millones de firmas, que deben ser comparadas con cada nueva solicitud, lo que da como resultado un uso intensivo de recursos y reducción del desempeño a medida que las solicitudes son procesadas.
Los WAF basados en firmas:
- usan un modelo de seguridad negativo que permite el acceso por defecto;
- bloquean solo patrones de ataques conocidos;
- deben ser actualizados constantemente a medida que surgen nuevos patrones;
- pueden incrementar significativamente la latencia y el uso de recursos.
Además, los WAF basados en firmas pueden tener una alta incidencia de falsos negativos debido al uso de modelos de seguridad negativos, que permiten el acceso de forma predeterminada, a menos que un intento se adhiera a las definiciones predefinidas por el WAF para un comportamiento malicioso. De esta manera, las aplicaciones son vulnerables a amenazas emergentes como ataques de día cero, así como también a hackers que pueden fácilmente manipular segmentos de código conocidos o patrones de expresión para entrar en las aplicaciones.
Una encuesta sobre inteligencia de amenazas, presentada en un artículo de la revista Computers & Security de Elsevier, hizo eco de esta preocupación y señaló que el WAF tradicional, así como otras medidas de seguridad que dependen “en exceso de la tecnología de coincidencia de patrones basado en firmas o listas de malware estático” deja a los activos digitales “extremadamente vulnerables contra amenazas en constante evolución que explotan vulnerabilidades desconocidas y de día cero”.
WAF basados en puntaje
Aunque las políticas de seguridad de los WAF basados en firmas han sido una práctica usual por parte de los firewalls y programas de antivirus por mucho tiempo, se han desarrollado WAF modernos que evitan los problemas de desempeño y uso inherentes a las listas de firmas, al reemplazarlas por un conjunto de reglas inteligentes. Estas reglas se basan en algoritmos para analizar la sintaxis de los numerosos patrones de ataque que son condensados en un conjunto de reglas simple y eficaz, como los operadores del diccionario SQL para ataques de inyección de código, y se les asigna un puntaje cuando se cumplen esas reglas. En este caso, el uso de palabras como UNION, INSERT o TABLE (UNIÓN, INSERCIÓN o TABLA), aumenta el puntaje de la solicitud. Si el puntaje de la solicitud sobrepasa el valor de referencia, que puede ser ajustado de acuerdo con la sensibilidad deseada, se bloqueará.
Como resultado, los WAF de puntaje reducen el uso de recursos y evitan los problemas de latencia que presentan los métodos basados en firma. Además, los WAF de puntaje se pueden utilizar para bloquear variaciones en los patrones de ataque antes de que sean aprovechados por los hackers informáticos. Con el modelo de seguridad negativa usado en los modelos WAF de firmas, las solicitudes son consideradas seguras hasta que se demuestre lo contrario; en cambio, los WAF de puntaje incorporan métodos de seguridad positiva, que bloquean por defecto cualquier solicitud que sobrepase un valor de referencia. Esto permite bloquear las amenazas emergentes y de día cero incluso antes de que se conozca y registre una firma de ataque.
Los WAF basados en puntaje:
- condensan patrones de ataque en reglas simples y eficaces;
- definen comportamientos negativos y positivos para mejorar la seguridad;
- necesitan menos recursos y tiempo de procesamiento que los WAF basados en firma;
- protegen contra ataques emergentes y de día cero, y
- requieren menos actualizaciones manuales de las políticas o reglas, lo que resulta en ahorro de presupuesto en SecOps.
¿Cómo elegir un proveedor de WAF?
Gartner ofrece pautas sobre las características que hacen a los WAF más efectivos para bloquear las complejas amenazas de ciberseguridad de la actualidad [1]. Para ello, los WAF deben:
- maximizar la detección y bloqueo de amenazas conocidas y emergentes;
- minimizar los falsos positivos y adaptar las aplicaciones web a medida que evolucionan;
- poder distinguir entre bots y usuarios reales, así como aplicar políticas apropiadas para ambos;
- ser fáciles de usar y minimizar el impacto en el desempeño de la aplicación;
- proteger a las API y a las aplicaciones web internas, orientadas al público y socios.
Web Application Firewall de Azion es una solución fácil de usar y diseñada para proporcionar seguridad en el edge que, al mismo tiempo, garantiza el alto desempeño requerido para aplicaciones edge-native. En vez de depender de estrategias de seguridad negativa que dejan a las empresas vulnerables de amenazas de día cero y emergentes, Web Application Firewall de Azion usa el sistema basado en puntaje y se integra con soluciones analíticas de Azion, así como también con soluciones de SIEM y Big Data de terceros para proveer información en tiempo real sobre las amenazas.
Web Application Firewall de Azion te ofrece:
- protección contra el TOP 10 de amenazas indicadas por OWASP;
- personalización para cumplir con los requisitos de conformidad;
- monitoreo de amenazas a la seguridad en tiempo real a través de Edge Analytics;
- seguridad zero trust a través de listas blancas y un modelo de seguridad positivo;
- parches virtuales para minimizar la necesidad de cambios de código personalizados.
Para evitar falsos positivos y falsos negativos, el WAF de Azion te permite personalizar las reglas y políticas con un control granular para la sensibilidad de cada categoría de protección contra amenazas. Además, es programático y permite la creación y la actualización automatizada de reglas por medio de API preconstruidas y Edge Firewall Rules Engine. Las actualizaciones de reglas y los parches virtuales pueden ser implementados sin esfuerzo en el edge por medio de Edge Functions de Azion, lo que disminuye la fricción entre los equipos de desarrollo y de seguridad, y facilita el CI/CD (Continuous Integration y Continuous Deployment).
Expande la seguridad de tus aplicaciones con los productos de Azion
Para obtener mayor seguridad, Web Application Firewall de Azion puede ser extendido por medio de otras soluciones de Azion, como:
- DDoS Protection: mitiga los complejos ataques DDoS en la capa de aplicación y en la capa de red;
- Network Layer Protection: crea un perímetro de seguridad programable alrededor del contenido, las aplicaciones y la infraestructura de origen;
- Edge Functions: crea y ejecuta funciones basadas en eventos en el edge de la red;
- Azion Marketplace: integra sin problemas soluciones de seguridad de terceros.
La suite de seguridad de Azion cubre desde la capa de red hasta la capa de aplicación, así como también el código serverless implementado en el edge. Con Edge Functions, nuestra solución serverless, los desarrolladores pueden crear funciones personalizadas o aprovechar las funciones preconstruidas como JWT de Azion, que protege el acceso a las API. Los clientes también pueden construir sus capacidades de seguridad a través del Marketplace de Azion, que permite una integración perfecta con soluciones de terceros, como Bot Manager de Radware.
Referencias
[1] D’Hoinne, J., Hils, A., Kaur, R., & Watts, J. (2020). Magic Quadrant for Web Application Firewalls (pp. 1-3, Rep.). N.p., N.p.: Gartner.
