BLOG

¿Qué convierte a un WAF en avanzado?

Miniatura de Brian A. McHenry
Brian A. McHenry
Publicado el 10 de abril de 2018

A medida que evoluciona el panorama de amenazas, también deben hacerlo nuestros controles y contramedidas de seguridad. Las amenazas perimetrales más avanzadas por pérdida o exfiltración de datos ocurren en la capa de aplicação , lo que hace que la mayoría de los firewalls de próxima generación (NGFW) y los sistemas de prevención de intrusiones (IPS) sean mucho menos efectivos. Este efecto se ve agravado por el hecho de que la mayoría de las comunicaciones se están trasladando a canales de datos cifrados que no cuentan con el respaldo de NGFW o IPS, particularmente a gran escala. Los firewalls de aplicação web (WAF) están diseñados específicamente para analizar cada solicitud HTTP en la capa de aplicação , con descifrado completo para SSL/TLS.

En los últimos años, la mayoría de las tecnologías WAF se han mantenido prácticamente sin cambios, como sistemas de detección basados en filtros pasivos, al igual que las tecnologías NGFW e IPS relacionadas. Los sistemas WAF aplican el cumplimiento del protocolo (garantizando una solicitud bien formada) y comparaciones de firmas (garantizando que no haya contenido malicioso conocido) para filtrar y bloquear posibles ataques. Se han agregado características adicionales para permitir el conocimiento de la sesión y del usuario para combatir el secuestro y los ataques de fuerza bruta, y se aplican feeds de reputación de IP para intentar filtrar fuentes conocidas como malas, como botnets, anonimizadores y otras amenazas. Todavía son tecnologías en gran medida pasivas en el perímetro del centro de datos, con una capacidad muy limitada para interrogar al cliente.

 Hay algunas cosas que sabemos sobre el panorama de amenazas actual:

  • La mayoría de las amenazas son de naturaleza automatizada. Los atacantes automatizan los análisis en busca de vulnerabilidades. Automatizan el acaparamiento de recursos, como la compra de billetes o zapatillas para su reventa en el mercado gris. Los ataques distribuidos de denegación de servicio (DDoS) están totalmente automatizados para permitir el tipo de volumen de tráfico de ataque de más de 1 Tbps que se ha vuelto común. La automatización es difícil de detectar porque a menudo está diseñada para imitar el buen tráfico y pasar desapercibida. Se han utilizado tecnologías como CAPTCHA para detectar dicha automatización, pero estos métodos de verificación resultan ineficaces con el tiempo y afectan la experiencia de los usuarios legítimos.
     
  • El credential stuffing es un tipo específico de ataque automatizado que aprovecha miles de millones de combinaciones de nombres de usuario y contraseñas conocidas de violaciones anteriores. El uso de credenciales robadas fue el tipo de ataque de aplicação más frecuente en 2017, según informes de amenazas recientes. Estos ataques se aprovechan de la reutilización de contraseñas, algo habitual entre el ciudadano medio de Internet. El credential stuffing es particularmente difícil de detectar porque estas solicitudes no solo parecen normales, sino que a menudo son “bajas y lentas” por diseño para evitar ser detectadas como un ataque de fuerza bruta.
     
  • El malware es omnipresente y se utiliza para explotar las debilidades de los navegadores y de los usuarios que los utilizan. El malware tiene muchos métodos de distribución, desde archivos adjuntos en correos electrónicos hasta enlaces maliciosos en redes sociales y anuncios. Estas máquinas comprometidas se utilizan para atacar otros sitios web mediante DDoS, robo de datos y acaparamiento de recursos. Hay métodos de detección y mitigación limitados disponibles a menos que la máquina cliente esté administrada por un equipo de seguridad de TI experimentado.
     
  • Los ataques DDoS no son sólo de naturaleza volumétrica. Muchos ataques están diseñados para provocar el agotamiento de recursos en algún lugar de la pila de aplicação , los servidores de aplicação , el middleware o la base de datos back-end. Detectar estas condiciones puede resultar difícil ya que el tráfico se ajusta a la mayoría de las comprobaciones de validación de entrada estándar.


En pocas palabras, estos ataques eluden prácticamente todos los mecanismos tradicionales de detección de WAF, ya que a menudo no presentan ningún tipo de malformación. Los feeds de reputación de direcciones IP tienen una eficacia limitada debido al suministro casi inagotable de objetivos fácilmente comprometidos, incluidos módems de cable, dispositivos IoT, instancias de servidores en la nube pública y más. La información de la dirección de origen cambia demasiado rápido como para que incluso una fuente colaborativa sea muy eficaz a la hora de combatir el nivel de automatización típico de estos vectores de ataque. Está claro que se necesita un firewall de aplicação web más avanzado para combatir estas amenazas.

La buena noticia es que la tecnología Advanced WAF ya está disponible y lo ha estado durante algún tiempo. F5 fue pionero en la tecnología de detección sin CAPTCHA de bots que intentaban extraer datos de precios de minoristas en línea hace casi una década, cuando se introdujo la protección Web Scraping en 2009. F5 ha avanzado progresivamente esa tecnología y la ha ampliado a lo que ahora se conoce como Proactive Bot Defense, introducida en 2015. Proactive Bot Defense (PBD) permite interrogar al cliente solicitante para verificar que esté presente un usuario humano con un navegador legítimo. Esta es una solución mucho más efectiva que confiar en el bloqueo de botnets conocidas por dirección IP.

Con la nueva oferta F5 Advanced WAF , F5 amplía su tecnología WAF líder en el mercado para incluir las capacidades necesarias para combatir las amenazas cambiantes que se observan en el panorama de seguridad de las aplicação . Advanced WAF incluye:

  • Defensa proactiva contra bots. Al utilizar técnicas de vanguardia de toma de huellas dactilares y de desafío/respuesta junto con otros análisis de comportamiento, PBD permite la detección y el bloqueo a nivel de sesión de amenazas automatizadas.
     
  • Detección y defensa contra ataques DoS conductuales de capa 7 . El Advanced WAF puede perfilar dinámicamente el tráfico y crear firmas de patrones de tráfico anómalos, deteniendo ataques DoS de capa 7 antes de que afecten a su aplicação.
     
  • Protección de credenciales DataSafe . DataSafe encripta dinámicamente el contenido de la página para evitar ataques del tipo «man-in-the-browser» generalmente causados por malware. DataSafe también cifra dinámicamente las credenciales a medida que se ingresan para proteger al usuario en el navegador.
     
  • Integración del SDK móvil Anti-Bot . Las técnicas utilizadas por Proactive Bot Defense funcionan para identificar navegadores legítimos. Para las aplicaciones móviles, no hay un navegador disponible. El SDK móvil Anti-Bot permite a las organizaciones combatir bots con técnicas avanzadas incluso en puntos finales de API móviles.


F5 Advanced WAF es una plataforma de seguridad dedicada a ofrecer las capacidades de seguridad de aplicação más avanzadas disponibles en el mercado hoy. F5 se compromete a proporcionar soluciones de seguridad de aplicação de vanguardia para mitigar incluso los ataques más sofisticados. Esperamos más avances en la plataforma Advanced WAF en el futuro.