Un firewall de aplicaciones web (WAF) es una forma específica de firewall de aplicaciones que filtra, monitorea y bloquea el tráfico HTTP hacia y desde un servicio web . Al inspeccionar el tráfico HTTP, puede evitar ataques que exploten las vulnerabilidades conocidas de una aplicación web, como inyección SQL , secuencias de comandos entre sitios (XSS), inclusión de archivos y configuración incorrecta del sistema. [1]
Historia
Los firewalls de aplicaciones web dedicados ingresaron al mercado a fines de la década de 1990 durante una época en la que los ataques a servidores web eran cada vez más frecuentes.
Perfecto Technologies desarrolló una versión temprana de WAF con su producto AppShield , [2] que se enfocaba en el mercado del comercio electrónico y estaba protegido contra entradas ilegales de caracteres en páginas web. En 2002, se formó el proyecto de código abierto ModSecurity [3] para hacer más accesible la tecnología WAF. Finalizaron un conjunto de reglas básicas para proteger las aplicaciones web, basadas en el trabajo de vulnerabilidad del Comité Técnico de Seguridad de Aplicaciones Web (WAS TC) de OASIS. En 2003, expandieron y estandarizaron las reglas a través de la Lista de los 10 principales del Open Web Application Security Project (OWASP), una clasificación anual de vulnerabilidades de seguridad web. Esta lista se convertiría en el estándar de la industria para el cumplimiento de la seguridad de las aplicaciones web. [4] [5]
Desde entonces, el mercado ha seguido creciendo y evolucionando, centrándose especialmente en la prevención del fraude con tarjetas de crédito . Con el desarrollo del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), una estandarización del control sobre los datos de los titulares de tarjetas, la seguridad se ha vuelto más regulada en este sector. Según la revista CISO, se esperaba que el mercado de WAF creciera a $ 5,48 mil millones para 2022. [6]
Descripción
Un firewall de aplicaciones web es un tipo especial de firewall de aplicaciones que se aplica específicamente a las aplicaciones web. Se implementa frente a aplicaciones web y analiza el tráfico bidireccional basado en web (HTTP), detectando y bloqueando cualquier elemento malicioso. El OWASP proporciona una definición técnica amplia para un WAF como "una solución de seguridad en el nivel de la aplicación web que, desde un punto de vista técnico, no depende de la aplicación en sí". [7] Según el Suplemento de información de las PCI DSS para el requisito 6.6, un WAF se define como “un punto de aplicación de la política de seguridad ubicado entre una aplicación web y el punto final del cliente. Esta funcionalidad se puede implementar en software o hardware, ejecutándose en un dispositivo de dispositivo o en un servidor típico que ejecuta un sistema operativo común. Puede ser un dispositivo independiente o integrado en otros componentes de la red ". [8] En otras palabras, un WAF puede ser un dispositivo virtual o físico que evita que las vulnerabilidades en las aplicaciones web sean explotadas por amenazas externas. Estas vulnerabilidades pueden deberse a que la aplicación en sí es un tipo heredado o porque su diseño no fue lo suficientemente codificado. El WAF aborda estas deficiencias del código mediante configuraciones especiales de conjuntos de reglas, también conocidas como políticas.
Las vulnerabilidades previamente desconocidas se pueden descubrir mediante pruebas de penetración o mediante un escáner de vulnerabilidades. Un escáner de vulnerabilidades de aplicaciones web , también conocido como escáner de seguridad de aplicaciones web, se define en SAMATE NIST 500-269 como “un programa automatizado que examina las aplicaciones web en busca de posibles vulnerabilidades de seguridad. Además de buscar vulnerabilidades específicas de aplicaciones web, las herramientas también buscan errores de codificación de software ". [9] La resolución de vulnerabilidades se conoce comúnmente como remediación. Se pueden realizar correcciones al código en la aplicación, pero normalmente es necesaria una respuesta más rápida. En estas situaciones, puede ser necesaria la aplicación de una política personalizada para una vulnerabilidad de aplicación web única para proporcionar una solución temporal pero inmediata (conocida como parche virtual).
Los WAF no son una solución de seguridad definitiva, sino que están destinados a utilizarse junto con otras soluciones de seguridad del perímetro de la red, como los firewalls de red y los sistemas de prevención de intrusiones, para proporcionar una estrategia de defensa integral.
Los WAF suelen seguir un modelo de seguridad positivo, una seguridad negativa o una combinación de ambos, como lo menciona el Instituto SANS . [10] Los WAF utilizan una combinación de lógica basada en reglas, análisis y firmas para detectar y prevenir ataques tales como secuencias de comandos entre sitios e inyección SQL. El OWASP produce una lista de las diez principales fallas de seguridad de las aplicaciones web. Todas las ofertas comerciales de WAF cubren estos diez defectos como mínimo. También hay opciones no comerciales. Como se mencionó anteriormente, el conocido motor WAF de código abierto llamado ModSecurity es una de estas opciones. Un motor WAF por sí solo es insuficiente para proporcionar una protección adecuada, por lo tanto, OWASP junto con Spiderlabs de Trustwave ayudan a organizar y mantener un conjunto de reglas básicas a través de GitHub [11] para usar con el motor WAF de ModSecurity. [12]
Opciones de implementación
Aunque los nombres de los modos de funcionamiento pueden diferir, los WAF se implementan básicamente en línea de tres formas diferentes. Según NSS Labs, las opciones de implementación son puente transparente, proxy inverso transparente y proxy inverso . [13] "Transparente" se refiere al hecho de que el tráfico HTTP se envía directamente a la aplicación web, por lo que el WAF es transparente entre el cliente y el servidor. Esto contrasta con el proxy inverso, donde el WAF actúa como un proxy y el tráfico del cliente se envía directamente al WAF. Luego, el WAF envía por separado el tráfico filtrado a las aplicaciones web. Esto puede proporcionar beneficios adicionales, como el enmascaramiento de IP, pero puede introducir desventajas como la latencia del rendimiento.
Vendedores comerciales
Muchos WAF comerciales tienen características similares, pero las principales diferencias a menudo se refieren a interfaces de usuario, opciones de implementación o requisitos dentro de entornos específicos. Los proveedores notables incluyen:
Aparato
- Barracuda Networks WAF
- Cortafuegos de aplicaciones Citrix Netscaler
- F5 BIG-IP Advanced WAF (anteriormente conocido como ASM)
- Fortinet FortiWeb
- Imperva SecureSphere
- Qualys WAF
- AppWall de Radware
- WAF de ciberseguridad de Rohde & Schwarz
Nube
- Akamai Technologies Kona
- Nube de Alibaba
- Servicios web de Amazon AWS WAF
- Barracuda Networks CloudGen WAF y WAF como servicio
- CDNetworks
- Cloudbric
- Cloudflare
- Fortinet FortiWeb
- F5 Silverline
- Rapidamente
- IBM Cloud Internet Services WAF
- Imperva Incapsula
- Puerta de enlace de aplicaciones de Microsoft Azure con WAF
- WAF de Oracle Cloud Infrastructure
- Qualys WAF
- Radware
- WAF de ciberseguridad de Rohde & Schwarz
- Cortafuegos Sucuri
- Balanceador de carga avanzado de VMware NSX (anteriormente Avi Vantage)
Fuente abierta
Las aplicaciones de código abierto notables incluyen:
- ModSecurity
Ver también
- Firewall de aplicaciones
- Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS)
- Aplicación web
- Software como servicio (SaaS)
- La seguridad informática
- Seguridad de la red
- Seguridad de la aplicación
- Seguridad de la aplicación web
Referencias
- ^ "Cortafuegos de aplicaciones web" . TechTarget . Consultado el 10 de abril de 2018 .
- ^ "Perfecto Technologies ofrece AppShield para comercio electrónico - InternetNews" . www.internetnews.com . Consultado el 20 de septiembre de 2016 .
- ^ "Página de inicio de ModSecurity" . ModSecurity .
- ^ DuPaul, Neil (25 de abril de 2012). "¿Qué es OWASP? Guía del Top 10 de seguridad de aplicaciones de OWASP" . Veracode . Consultado el 10 de abril de 2018 .
- ^ Svartman, Daniel (12 de marzo de 2018). "El OWASP Top Ten y el panorama de amenazas de hoy" . ITProPortol . Consultado el 10 de abril de 2018 .
- ^ "Mercado de firewall de aplicaciones web valorado en $ 5,48 mil millones para 2022" . Revista CISO. 5 de octubre de 2017 . Consultado el 10 de abril de 2018 .
- ^ Maximillan Dermann; Mirko Dziadzka; Boris Hemkemeier; Alexander Meisel; Matthias Rohr; Thomas Schreiber (7 de julio de 2008). "Mejores prácticas de OWASP: uso de firewalls de aplicaciones web ver. 1.0.5" . OWASP . OWASP.
- ^ Consejo de Normas de Seguridad de Datos de PCI (octubre de 2008). "Suplemento de información: revisiones de aplicaciones y firewalls de aplicaciones web clarificados ver. 1.2" (PDF) . PCI DSS . PCI DSS.
- ^ Paul E. Black; Elizabeth Fong; Vadim Okun; Romain Gaucher (enero de 2008). "Herramientas de garantía de software de la publicación especial 500-269 del NIST: Especificación funcional del escáner de seguridad de aplicaciones web, versión 1.0" (PDF) . SAMATE NIST . SAMATE NIST.
- ^ Jason Pubal (13 de marzo de 2015). "Cortafuegos de aplicaciones web - Técnicas empresariales" (PDF) . Instituto SANS . Sala de lectura InfoSec del Instituto SANS.
- ^ "Repositorio de proyectos del conjunto de reglas básicas" . GitHub .
- ^ "Proyecto de conjunto de reglas básicas de OWASP ModSecurity" . OWASP .
- ^ "METODOLOGÍA DE PRUEBA Firewall de aplicaciones web 6.2" . NSS Labs . NSS Labs . Consultado el 3 de mayo de 2018 .