DataSunrise Logra el Estado de Competencia en AWS DevOps en AWS DevSecOps y Monitoreo, Registro, Rendimiento

WAF. Un Caballero en Brillante Armadura

WAF. Un Caballero en Brillante Armadura

Hoy continuamos la serie de blogs dedicada a varios tipos de cortafuegos. En el primer post describimos las categorías básicas de cortafuegos, proporcionamos una visión general de los modos de cortafuegos y mencionamos ventajas y posibles desventajas de los tipos mencionados. En este post hablaremos en detalle sobre Cortafuegos de Aplicaciones Web – WAF.

Resumen

Cada año más y más organizaciones trasladan sus operaciones a sitios web y aplicaciones web y mantienen su información en la nube, inevitablemente exponiendo datos sensibles a ataques cibernéticos sofisticados. Para proteger las aplicaciones y cumplir con los requisitos regulatorios, muchas empresas implementan cortafuegos de aplicaciones web.

Los WAF abordan amenazas que atacan las aplicaciones web personalizadas de la empresa y los datos. Incluyen técnicas de protección diseñadas específicamente para la seguridad web. Tradicionalmente, el WAF es la herramienta más efectiva para proteger las aplicaciones internas y públicas de la organización. Las aplicaciones web pueden ser desplegadas localmente (in situ) o de forma remota (alojado, en la nube o como servicio). Los WAF están destinados a bloquear intentos de hacking, monitorear el acceso a las aplicaciones web y recopilar logs para cumplimiento, auditoría y análisis.

 

¿Qué es un WAF?

WAF es diferente del cortafuegos de red tradicional, NGFW (Cortafuegos de Próxima Generación) y el IPS (Sistema de Prevención de Intrusiones). Proporciona protección a un nivel más granular. Protege los servidores web y las aplicaciones web específicas de la empresa contra ataques en la capa de aplicación y ataques no volumétricos en la capa de red. También identifica y corrige vulnerabilidades “autoinfligidas” en aplicaciones desarrolladas a medida. La personalización de las reglas para una aplicación dada permite identificar y bloquear muchos ataques. Los WAF son capaces de prevenir XSS (Cross-site Scripting), inyección SQL, secuestro de sesión, desbordamiento de búfer, RFI (inclusión de archivos remotos) y envenenamiento de cookies.

También pueden incluir técnicas de protección contra ataques DDoS (Denegación de Servicio Distribuido). Además, algunos WAF protegen contra la transversal de directorios, navegación forzada de URL, etc.

Vectores de Amenaza

Las aplicaciones web son vulnerables a muchas amenazas, que no siempre son reconocidas por los cortafuegos de red regulares, NGFWs y IPSs. Los ataques más comunes son los siguientes:

Inyección

Los ataques de Inyección SQL son utilizados por usuarios malintencionados como una forma de obtener acceso a datos restringidos o para incrustar código malicioso en un servidor web. Esta técnica desencadena la ejecución de los comandos inyectados en la base de datos de respaldo y permite a usuarios no autorizados acceder a información sensible contenida en la base de datos. En caso de incrustar código malicioso, el servidor web infectado propagará malware a los clientes desprevenidos.

Cross-site Scripting (XSS)

Los ataques Cross-site Scripting permiten a un malhechor obtener información sensible o comprometer un servidor web. El atacante inserta scripts de JavaScript en las páginas de un sitio confiable y altera su contenido. Luego, el sitio web vulnerable se utiliza como un vehículo para entregar un script malicioso al navegador de la víctima. El atacante explota la confianza que el usuario tiene en un sitio web.

Falsificación de Solicitudes en Sitios Cruzados (CSRF)

Los ataques de falsificación de solicitudes en sitios cruzados (CSRF) obligan a los usuarios finales a realizar alteraciones de información que no pretendían. Puede ser la actualización de datos personales, la publicación de contenido o la iniciación de transacciones falsas. Un atacante provoca que un usuario transmita una solicitud HTTP maliciosa, incluyendo la cookie de sesión de la víctima, a una aplicación o sitio web objetivo. El sitio web vulnerable lo acepta sin el consentimiento del usuario. En este caso, el atacante explota la confianza que un sitio web tiene en el navegador del usuario.

Exposición de Datos Sensibles

En caso de que una aplicación web no proteja adecuadamente los datos sensibles en tránsito y en reposo, los atacantes pueden robar o manipular los datos para realizar robo de identidad, fraude con tarjetas de crédito u otros delitos. Este tipo de vulnerabilidad se relaciona con la falta de cifrado de datos sensibles, como números de tarjetas de crédito, credenciales de autenticación, números de Seguro Social (SSN), identificaciones fiscales, etc.

Transversal de Directorios

Los ataques de Transversal de Directorios permiten acceder a archivos y directorios restringidos y ejecutar comandos fuera del directorio raíz del servidor web. Un atacante manipula una URL de tal manera que el sitio web revela los archivos confinados en el servidor web.

Despliegue de WAF

WAF se puede ejecutar como un dispositivo físico, virtual o de software, complemento de servidor o servicio basado en la nube. En el momento actual, los servicios en la nube son principalmente adecuados para pequeñas y medianas empresas (SMBs), mientras que las grandes empresas son más propensas a invertir en dispositivos físicos o virtuales construidos a propósito.

WAF puede ser desplegado frente a un servidor web o integrado directamente en un servidor web. Con mayor frecuencia, un WAF se despliega en línea, como un proxy inverso, pero también se puede desplegar en modo puente, modo espejo (posicionado fuera de banda) o actuar como un proxy transparente. En el caso de un despliegue en modo espejo, un WAF funciona con una copia del tráfico de red.

Cada despliegue de WAF es diferente según el caso de uso. Depende del objetivo principal de la implementación de la tecnología, ya sea para parcheo virtual, registro de auditorías HTTP, seguimiento de datos sensibles o identificación de vulnerabilidades de la aplicación. Para algunos WAFs está disponible el modo de despliegue híbrido, ofreciendo despliegue en línea combinado con sensores desplegados fuera de línea para recopilar datos de auditoría y luego comunicarse con una aplicación de agente instalada en un servidor web específico. Muchos productos WAF admiten no solo el despliegue de un solo servidor web, sino también de múltiples servidores web.

¿Cómo funciona un WAF?

Operando a nivel de aplicación, WAF funciona como una barrera flexible entre los usuarios finales y las aplicaciones. Monitorea y filtra tanto el tráfico HTTP entrante como saliente, y bloquea la actividad que contradice el conjunto configurado de reglas de seguridad. Un WAF intercepta y analiza cada paquete de datos HTML, HTTPS, SOAP y XML-RPC. Inspeccionar el tráfico de datos en busca de patrones desconocidos permite detectar y bloquear nuevos ataques desconocidos. De esta manera, el WAF proporciona capacidades más allá de las ofrecidas por NGFW e IPS, que cubren solo vulnerabilidades conocidas.

Integración con Otras Tecnologías de Seguridad

WAF se integra con otras tecnologías de seguridad de la información, como escáneres de vulnerabilidades de aplicaciones, dispositivos de protección DDoS, soluciones de seguridad de bases de datos, detección de fraudes web, SIEM (Gestión de Información y Eventos). La consolidación de WAFs con otras tecnologías de seguridad permite maximizar la tasa de detección y bloqueo de amenazas conocidas y nuevas en evolución. La personalización precisa minimiza los falsos positivos y asegura una detección de anomalías precisa. Esto en última instancia ayuda a mitigar los riesgos y minimizar significativamente la superficie de ataque de la empresa.

Limitaciones de WAF

Con todos los beneficios que WAF puede ofrecer vienen dificultades en el despliegue y la gestión continua del software. Para proporcionar el nivel esperado de seguridad de aplicaciones y datos, WAF debe ser desplegado y gestionado de manera efectiva. Esto implica un mantenimiento adecuado de las políticas de cortafuegos y la personalización de las reglas de seguridad, lo que a su vez requiere un nivel avanzado de habilidades de los administradores de WAF.

Hay problemas que llaman la atención en el proceso de despliegue e implementación de WAF:

Políticas Inefectivas. Las políticas y capacidades del cortafuegos obviamente deben mantenerse al día con nuevas amenazas emergentes, lo que no siempre es el caso. Otro problema es la falta de información y documentación sobre qué políticas son efectivas, por lo que los usuarios tienen que hacer un esfuerzo y tiempo adicionales para averiguar qué funciona y cómo mejorar.

Personalización de Reglas de Seguridad. Lleva tiempo determinar todas las reglas necesarias para bloquear o permitir el tráfico que pasa por las aplicaciones. Las reglas también deben mantenerse constantemente actualizadas a medida que el código cambia y surge nueva funcionalidad. Bloquear solicitudes legítimas crea falsos positivos que llevan a que se ignore un ataque malicioso en este grupo de alertas irrelevantes.

Brecha de Habilidades. Los clientes a menudo luchan por mantener los dispositivos existentes en funcionamiento ya que no todas las organizaciones tienen habilidades internas para usar un WAF correcta y eficazmente. La subcontratación de la gestión del WAF no siempre es la mejor decisión tampoco. Al elegir un despliegue de WAF, especialmente para necesidades de cumplimiento, los administradores deben priorizar las características críticas que son más adecuadas para las necesidades actuales de la organización. Después del proceso de despliegue y configuración, el WAF requiere una alta competencia técnica del equipo para funcionar eficientemente y agregar valor sostenible al sistema de seguridad de la empresa.

Moviendo Operaciones a la Nube. A medida que más y más empresas están trasladando sus aplicaciones y datos a la infraestructura de nube pública, inevitablemente tienen que migrar el Cortafuegos de Aplicaciones Web y las políticas asociadas a esta nueva y fundamentalmente diferente arquitectura. El problema es que no todos los proveedores proporcionan una sustitución sostenible para el dispositivo in situ, o pueden ser incapaces de ofrecer las APIs que una organización necesita para realizar un escenario de despliegue en el entorno dinámico de la nube.

Conclusión

Los cortafuegos de aplicaciones web son una herramienta de seguridad común utilizada por las empresas para proteger las aplicaciones web contra explotaciones maliciosas, suplantación, vulnerabilidades conocidas y nuevas amenazas en evolución, así como para identificar vulnerabilidades autoinfligidas de aplicaciones desarrolladas a medida. También ayuda a cumplir con los requisitos de cumplimiento. Y aunque esta tecnología es definitivamente imprescindible para las empresas que buscan asegurar sus recursos web, no es suficiente cuando se trata de la seguridad de la base de datos.

En nuestros próximos posts discutiremos el Cortafuegos de Acceso a Base de Datos y por qué el Cortafuegos de Aplicaciones Web por sí solo no es capaz de asegurar completamente las bases de datos.

Lea toda la serie de cortafuegos:

  1. Cincuenta Sombras de un Cortafuegos
  2. WAF. Un Caballero en Brillante Armadura
  3. DAF. Salva la Base de Datos del Dragón
  4. WAF + DAF = Felices para Siempre
 

Siguiente

Cómo las Bases de Datos Populares Manejan los Comandos DDL en Transacciones

Cómo las Bases de Datos Populares Manejan los Comandos DDL en Transacciones

Más información

¿Necesita la ayuda de nuestro equipo de soporte?

Nuestros expertos estarán encantados de responder a sus preguntas.

Countryx
United States
United Kingdom
France
Germany
Australia
Afghanistan
Islands
Albania
Algeria
American Samoa
Andorra
Angola
Anguilla
Antarctica
Antigua and Barbuda
Argentina
Armenia
Aruba
Austria
Azerbaijan
Bahamas
Bahrain
Bangladesh
Barbados
Belarus
Belgium
Belize
Benin
Bermuda
Bhutan
Bolivia
Bosnia and Herzegovina
Botswana
Bouvet
Brazil
British Indian Ocean Territory
Brunei Darussalam
Bulgaria
Burkina Faso
Burundi
Cambodia
Cameroon
Canada
Cape Verde
Cayman Islands
Central African Republic
Chad
Chile
China
Christmas Island
Cocos (Keeling) Islands
Colombia
Comoros
Congo, Republic of the
Congo, The Democratic Republic of the
Cook Islands
Costa Rica
Cote D'Ivoire
Croatia
Cuba
Cyprus
Czech Republic
Denmark
Djibouti
Dominica
Dominican Republic
Ecuador
Egypt
El Salvador
Equatorial Guinea
Eritrea
Estonia
Ethiopia
Falkland Islands (Malvinas)
Faroe Islands
Fiji
Finland
French Guiana
French Polynesia
French Southern Territories
Gabon
Gambia
Georgia
Ghana
Gibraltar
Greece
Greenland
Grenada
Guadeloupe
Guam
Guatemala
Guernsey
Guinea
Guinea-Bissau
Guyana
Haiti
Heard Island and Mcdonald Islands
Holy See (Vatican City State)
Honduras
Hong Kong
Hungary
Iceland
India
Indonesia
Iran, Islamic Republic Of
Iraq
Ireland
Isle of Man
Israel
Italy
Jamaica
Japan
Jersey
Jordan
Kazakhstan
Kenya
Kiribati
Korea, Democratic People's Republic of
Korea, Republic of
Kuwait
Kyrgyzstan
Lao People's Democratic Republic
Latvia
Lebanon
Lesotho
Liberia
Libyan Arab Jamahiriya
Liechtenstein
Lithuania
Luxembourg
Macao
Madagascar
Malawi
Malaysia
Maldives
Mali
Malta
Marshall Islands
Martinique
Mauritania
Mauritius
Mayotte
Mexico
Micronesia, Federated States of
Moldova, Republic of
Monaco
Mongolia
Montserrat
Morocco
Mozambique
Myanmar
Namibia
Nauru
Nepal
Netherlands
Netherlands Antilles
New Caledonia
New Zealand
Nicaragua
Niger
Nigeria
Niue
Norfolk Island
North Macedonia, Republic of
Northern Mariana Islands
Norway
Oman
Pakistan
Palau
Palestinian Territory, Occupied
Panama
Papua New Guinea
Paraguay
Peru
Philippines
Pitcairn
Poland
Portugal
Puerto Rico
Qatar
Reunion
Romania
Russian Federation
Rwanda
Saint Helena
Saint Kitts and Nevis
Saint Lucia
Saint Pierre and Miquelon
Saint Vincent and the Grenadines
Samoa
San Marino
Sao Tome and Principe
Saudi Arabia
Senegal
Serbia and Montenegro
Seychelles
Sierra Leone
Singapore
Slovakia
Slovenia
Solomon Islands
Somalia
South Africa
South Georgia and the South Sandwich Islands
Spain
Sri Lanka
Sudan
Suriname
Svalbard and Jan Mayen
Swaziland
Sweden
Switzerland
Syrian Arab Republic
Taiwan, Province of China
Tajikistan
Tanzania, United Republic of
Thailand
Timor-Leste
Togo
Tokelau
Tonga
Trinidad and Tobago
Tunisia
Turkey
Turkmenistan
Turks and Caicos Islands
Tuvalu
Uganda
Ukraine
United Arab Emirates
United States Minor Outlying Islands
Uruguay
Uzbekistan
Vanuatu
Venezuela
Viet Nam
Virgin Islands, British
Virgin Islands, U.S.
Wallis and Futuna
Western Sahara
Yemen
Zambia
Zimbabwe
Choose a topicx
Información General
Ventas
Servicio al Cliente y Soporte Técnico
Consultas sobre Asociaciones y Alianzas
Información general:
info@datasunrise.com
Servicio al Cliente y Soporte Técnico:
support.datasunrise.com
Consultas sobre Asociaciones y Alianzas:
partner@datasunrise.com