DataSunrise Logra el Estado de Competencia en AWS DevOps en AWS DevSecOps y Monitoreo, Registro, Rendimiento

WAF. Un Caballero en Brillante Armadura

WAF. Un Caballero en Brillante Armadura

Hoy continuamos la serie de blogs dedicada a varios tipos de cortafuegos. En el primer post describimos las categorías básicas de cortafuegos, proporcionamos una visión general de los modos de cortafuegos y mencionamos ventajas y posibles desventajas de los tipos mencionados. En este post hablaremos en detalle sobre Cortafuegos de Aplicaciones Web – WAF.

Resumen

Cada año más y más organizaciones trasladan sus operaciones a sitios web y aplicaciones web y mantienen su información en la nube, inevitablemente exponiendo datos sensibles a ataques cibernéticos sofisticados. Para proteger las aplicaciones y cumplir con los requisitos regulatorios, muchas empresas implementan cortafuegos de aplicaciones web.

Los WAF abordan amenazas que atacan las aplicaciones web personalizadas de la empresa y los datos. Incluyen técnicas de protección diseñadas específicamente para la seguridad web. Tradicionalmente, el WAF es la herramienta más efectiva para proteger las aplicaciones internas y públicas de la organización. Las aplicaciones web pueden ser desplegadas localmente (in situ) o de forma remota (alojado, en la nube o como servicio). Los WAF están destinados a bloquear intentos de hacking, monitorear el acceso a las aplicaciones web y recopilar logs para cumplimiento, auditoría y análisis.

 

¿Qué es un WAF?

WAF es diferente del cortafuegos de red tradicional, NGFW (Cortafuegos de Próxima Generación) y el IPS (Sistema de Prevención de Intrusiones). Proporciona protección a un nivel más granular. Protege los servidores web y las aplicaciones web específicas de la empresa contra ataques en la capa de aplicación y ataques no volumétricos en la capa de red. También identifica y corrige vulnerabilidades “autoinfligidas” en aplicaciones desarrolladas a medida. La personalización de las reglas para una aplicación dada permite identificar y bloquear muchos ataques. Los WAF son capaces de prevenir XSS (Cross-site Scripting), inyección SQL, secuestro de sesión, desbordamiento de búfer, RFI (inclusión de archivos remotos) y envenenamiento de cookies.

También pueden incluir técnicas de protección contra ataques DDoS (Denegación de Servicio Distribuido). Además, algunos WAF protegen contra la transversal de directorios, navegación forzada de URL, etc.

Vectores de Amenaza

Las aplicaciones web son vulnerables a muchas amenazas, que no siempre son reconocidas por los cortafuegos de red regulares, NGFWs y IPSs. Los ataques más comunes son los siguientes:

Inyección

Los ataques de Inyección SQL son utilizados por usuarios malintencionados como una forma de obtener acceso a datos restringidos o para incrustar código malicioso en un servidor web. Esta técnica desencadena la ejecución de los comandos inyectados en la base de datos de respaldo y permite a usuarios no autorizados acceder a información sensible contenida en la base de datos. En caso de incrustar código malicioso, el servidor web infectado propagará malware a los clientes desprevenidos.

Cross-site Scripting (XSS)

Los ataques Cross-site Scripting permiten a un malhechor obtener información sensible o comprometer un servidor web. El atacante inserta scripts de JavaScript en las páginas de un sitio confiable y altera su contenido. Luego, el sitio web vulnerable se utiliza como un vehículo para entregar un script malicioso al navegador de la víctima. El atacante explota la confianza que el usuario tiene en un sitio web.

Falsificación de Solicitudes en Sitios Cruzados (CSRF)

Los ataques de falsificación de solicitudes en sitios cruzados (CSRF) obligan a los usuarios finales a realizar alteraciones de información que no pretendían. Puede ser la actualización de datos personales, la publicación de contenido o la iniciación de transacciones falsas. Un atacante provoca que un usuario transmita una solicitud HTTP maliciosa, incluyendo la cookie de sesión de la víctima, a una aplicación o sitio web objetivo. El sitio web vulnerable lo acepta sin el consentimiento del usuario. En este caso, el atacante explota la confianza que un sitio web tiene en el navegador del usuario.

Exposición de Datos Sensibles

En caso de que una aplicación web no proteja adecuadamente los datos sensibles en tránsito y en reposo, los atacantes pueden robar o manipular los datos para realizar robo de identidad, fraude con tarjetas de crédito u otros delitos. Este tipo de vulnerabilidad se relaciona con la falta de cifrado de datos sensibles, como números de tarjetas de crédito, credenciales de autenticación, números de Seguro Social (SSN), identificaciones fiscales, etc.

Transversal de Directorios

Los ataques de Transversal de Directorios permiten acceder a archivos y directorios restringidos y ejecutar comandos fuera del directorio raíz del servidor web. Un atacante manipula una URL de tal manera que el sitio web revela los archivos confinados en el servidor web.

Despliegue de WAF

WAF se puede ejecutar como un dispositivo físico, virtual o de software, complemento de servidor o servicio basado en la nube. En el momento actual, los servicios en la nube son principalmente adecuados para pequeñas y medianas empresas (SMBs), mientras que las grandes empresas son más propensas a invertir en dispositivos físicos o virtuales construidos a propósito.

WAF puede ser desplegado frente a un servidor web o integrado directamente en un servidor web. Con mayor frecuencia, un WAF se despliega en línea, como un proxy inverso, pero también se puede desplegar en modo puente, modo espejo (posicionado fuera de banda) o actuar como un proxy transparente. En el caso de un despliegue en modo espejo, un WAF funciona con una copia del tráfico de red.

Cada despliegue de WAF es diferente según el caso de uso. Depende del objetivo principal de la implementación de la tecnología, ya sea para parcheo virtual, registro de auditorías HTTP, seguimiento de datos sensibles o identificación de vulnerabilidades de la aplicación. Para algunos WAFs está disponible el modo de despliegue híbrido, ofreciendo despliegue en línea combinado con sensores desplegados fuera de línea para recopilar datos de auditoría y luego comunicarse con una aplicación de agente instalada en un servidor web específico. Muchos productos WAF admiten no solo el despliegue de un solo servidor web, sino también de múltiples servidores web.

¿Cómo funciona un WAF?

Operando a nivel de aplicación, WAF funciona como una barrera flexible entre los usuarios finales y las aplicaciones. Monitorea y filtra tanto el tráfico HTTP entrante como saliente, y bloquea la actividad que contradice el conjunto configurado de reglas de seguridad. Un WAF intercepta y analiza cada paquete de datos HTML, HTTPS, SOAP y XML-RPC. Inspeccionar el tráfico de datos en busca de patrones desconocidos permite detectar y bloquear nuevos ataques desconocidos. De esta manera, el WAF proporciona capacidades más allá de las ofrecidas por NGFW e IPS, que cubren solo vulnerabilidades conocidas.

Integración con Otras Tecnologías de Seguridad

WAF se integra con otras tecnologías de seguridad de la información, como escáneres de vulnerabilidades de aplicaciones, dispositivos de protección DDoS, soluciones de seguridad de bases de datos, detección de fraudes web, SIEM (Gestión de Información y Eventos). La consolidación de WAFs con otras tecnologías de seguridad permite maximizar la tasa de detección y bloqueo de amenazas conocidas y nuevas en evolución. La personalización precisa minimiza los falsos positivos y asegura una detección de anomalías precisa. Esto en última instancia ayuda a mitigar los riesgos y minimizar significativamente la superficie de ataque de la empresa.

Limitaciones de WAF

Con todos los beneficios que WAF puede ofrecer vienen dificultades en el despliegue y la gestión continua del software. Para proporcionar el nivel esperado de seguridad de aplicaciones y datos, WAF debe ser desplegado y gestionado de manera efectiva. Esto implica un mantenimiento adecuado de las políticas de cortafuegos y la personalización de las reglas de seguridad, lo que a su vez requiere un nivel avanzado de habilidades de los administradores de WAF.

Hay problemas que llaman la atención en el proceso de despliegue e implementación de WAF:

Políticas Inefectivas. Las políticas y capacidades del cortafuegos obviamente deben mantenerse al día con nuevas amenazas emergentes, lo que no siempre es el caso. Otro problema es la falta de información y documentación sobre qué políticas son efectivas, por lo que los usuarios tienen que hacer un esfuerzo y tiempo adicionales para averiguar qué funciona y cómo mejorar.

Personalización de Reglas de Seguridad. Lleva tiempo determinar todas las reglas necesarias para bloquear o permitir el tráfico que pasa por las aplicaciones. Las reglas también deben mantenerse constantemente actualizadas a medida que el código cambia y surge nueva funcionalidad. Bloquear solicitudes legítimas crea falsos positivos que llevan a que se ignore un ataque malicioso en este grupo de alertas irrelevantes.

Brecha de Habilidades. Los clientes a menudo luchan por mantener los dispositivos existentes en funcionamiento ya que no todas las organizaciones tienen habilidades internas para usar un WAF correcta y eficazmente. La subcontratación de la gestión del WAF no siempre es la mejor decisión tampoco. Al elegir un despliegue de WAF, especialmente para necesidades de cumplimiento, los administradores deben priorizar las características críticas que son más adecuadas para las necesidades actuales de la organización. Después del proceso de despliegue y configuración, el WAF requiere una alta competencia técnica del equipo para funcionar eficientemente y agregar valor sostenible al sistema de seguridad de la empresa.

Moviendo Operaciones a la Nube. A medida que más y más empresas están trasladando sus aplicaciones y datos a la infraestructura de nube pública, inevitablemente tienen que migrar el Cortafuegos de Aplicaciones Web y las políticas asociadas a esta nueva y fundamentalmente diferente arquitectura. El problema es que no todos los proveedores proporcionan una sustitución sostenible para el dispositivo in situ, o pueden ser incapaces de ofrecer las APIs que una organización necesita para realizar un escenario de despliegue en el entorno dinámico de la nube.

Conclusión

Los cortafuegos de aplicaciones web son una herramienta de seguridad común utilizada por las empresas para proteger las aplicaciones web contra explotaciones maliciosas, suplantación, vulnerabilidades conocidas y nuevas amenazas en evolución, así como para identificar vulnerabilidades autoinfligidas de aplicaciones desarrolladas a medida. También ayuda a cumplir con los requisitos de cumplimiento. Y aunque esta tecnología es definitivamente imprescindible para las empresas que buscan asegurar sus recursos web, no es suficiente cuando se trata de la seguridad de la base de datos.

En nuestros próximos posts discutiremos el Cortafuegos de Acceso a Base de Datos y por qué el Cortafuegos de Aplicaciones Web por sí solo no es capaz de asegurar completamente las bases de datos.

Lea toda la serie de cortafuegos:

  1. Cincuenta Sombras de un Cortafuegos
  2. WAF. Un Caballero en Brillante Armadura
  3. DAF. Salva la Base de Datos del Dragón
  4. WAF + DAF = Felices para Siempre
 

Siguiente

Cómo las Bases de Datos Populares Manejan los Comandos DDL en Transacciones

Cómo las Bases de Datos Populares Manejan los Comandos DDL en Transacciones

Más información

¿Necesita la ayuda de nuestro equipo de soporte?

Nuestros expertos estarán encantados de responder a sus preguntas.

Información general:
[email protected]
Servicio al Cliente y Soporte Técnico:
support.datasunrise.com
Consultas sobre Asociaciones y Alianzas:
[email protected]