Cómo AppTrana Managed Cloud WAF aborda las técnicas de ataque en evolución

cortafuegos de aplicaciones web apptrana

Las aplicaciones web sufren ataques en constante evolución, donde un firewall de aplicaciones web (WAF) es la primera línea de defensa y una parte necesaria de las estrategias de ciberseguridad de las organizaciones.

Los WAF son cada vez más sofisticados, pero como su protección central comienza con la coincidencia de patrones eficientes, generalmente usando expresiones regulares y clasificando el tráfico malicioso para bloquear los ataques cibernéticos.


Evadir coincidencia de patrones

Sin embargo, desafortunadamente, esta técnica no es una panacea contra atacantes decididos. Una vez que se sabe que hay una capa de protección habilitada, los actores malintencionados encuentran formas de eludirla y, la mayoría de las veces, incluso lo logran.

Por lo general, se puede lograr cuando la misma carga útil de ataque, bloqueada por WAF, se puede disfrazar para que sea «invisible» para el mecanismo de coincidencia de patrones para evadir la seguridad.


Ofuscación específica del contexto

La web usa muchas tecnologías, y todas tienen diferentes reglas para lo que comprende una sintaxis válida en su gramática, por ejemplo, el navegador en sí tiene (al menos) 3 gramáticas diferentes: HTML, CSS y JavaScript.

Según el contexto al que se dirige el ataque, las cargas útiles que utilizan mayúsculas y minúsculas, espacios en blanco y comentarios funcionan de la misma manera que la carga útil original.

Codificaciones

Existen numerosas formas de codificar las solicitudes enviadas, incluidas codificaciones estándar como URL, Hex, Base64, codificación de caracteres, etc. El parámetro/carga útil se puede codificar varias veces con cualquier combinación de codificaciones que permitan que la carga útil de ataque codificada se deslice.


Una muestra de algunas de las evasiones

Estas evasiones no son hipotéticas, y hay casos conocidos de WAF comerciales que se eluden por cosas como la codificación Unicode.


¿Cómo maneja AppTrana las evasiones?

Los ataques del mundo real a menudo incluyen varios pasos, incluido el reconocimiento y una combinación de ataques, por lo que la creación de perfiles de comportamiento y la puntuación de anomalías brindan mitigación automatizada, y los expertos en seguridad, como el equipo de investigación de seguridad de Indusface, pueden ver rápidamente si el ataque es nuevo o único y tomar acción apropiada.

Algunas de las técnicas anti-evasión utilizadas se enumeran a continuación.


Transformación

AppTrana maneja evasiones como las ofuscaciones y codificaciones anteriores mediante funciones de transformación y canonización de los datos antes de ejecutar la fase de inspección/coincidencia de patrones. El orden en que se aplican las transformaciones es muy importante y puede variar según el contexto.

Puntuación de anomalías y perfiles de comportamiento

Algunos patrones son demasiado pequeños o demasiado comunes para tomar decisiones de seguridad completas. AppTrana tiene reglas que tratan ciertas ocurrencias como indicadores y, mediante mecanismos de puntuación, toma decisiones seguras.

Los datos, incluidas las métricas, se rastrean durante una sesión de usuario y se calcula la puntuación de riesgo de esa sesión. Por ejemplo, en un sitio de viajes, si un usuario se mueve inusualmente rápido para hacer una reserva, es probable que sea un bot y que se muestre un captcha.


Reglas personalizadas

La protección inmediata de AppTrana bloquea un amplio conjunto de ataques y maneja la mayoría de las evasiones. El servicio Indusface Managed incluido con AppTrana WAF aumenta esto con una protección personalizada desarrollada después de comprender la aplicación específica del cliente en detalle.

Los ataques que aprovechan el comportamiento de la aplicación/características que pueden ser mal utilizadas/peculiaridades solo pueden manejarse de esta manera.

Cómo evaluar WAF

Cualquier solución de seguridad debe evaluarse regularmente en términos de bloqueo de ataques, FP y rendimiento. Una forma, no tan buena, de evaluar un WAF es probar todo tipo de solicitudes no válidas, incluidas las cargas útiles triviales, y ver si el WAF las bloquea todas. Esto es demasiado simplista ya que ignora la motivación de los ataques del mundo real y las vulnerabilidades de la aplicación.

También existen ataques antiguos u oscuros a tecnologías o versiones que ya no se usan, por lo que bloquear o permitir dichos ataques no proporciona mucha información sobre la capacidad de WAF.

¿Cómo evalúa Indusface la eficacia de AppTrana?

A medida que cambia el panorama de los ataques y las aplicaciones, el equipo de investigación de seguridad de Indusface evalúa continuamente su protección para mejorar la cobertura y el rendimiento. Incluye reaccionar rápidamente a nuevos días 0, manejar ataques como DDOS y cualquier nueva técnica de ataque.

Como parte del servicio AppTrana WAF se incluye un escáner automatizado de última generación y un servicio de prueba de penetración manual bajo demanda. El equipo experto de pruebas de penetración manuales evalúa miles de sitios del mundo real y siempre está actualizado para abordar las últimas amenazas, herramientas y técnicas. También alimentan esta información al escáner y AppTrana WAF.

El escáner automatizado WAF + PT + es una combinación única y poderosa que ayuda a la empresa a evaluar AppTrana WAF desde un punto de vista del mundo real usando las mismas herramientas y técnicas que usan los atacantes.

Indusface evalúa el WAF de AppTrana con frecuencia y de forma exhaustiva, incluidas las pruebas de evasión. La integración con el escáner ajusta la protección a las vulnerabilidades, equilibrando de forma segura la seguridad, la facilidad de uso y el rendimiento.

El uso de AppTrana Managed WAF de Indusface brinda al cliente la confianza de que la protección está siendo probada, evaluada y actualizada por expertos en función de las técnicas y herramientas del mundo real de los atacantes.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática