BLOG

Las tres reglas administradas por AWS Web Application Firewall que necesita implementar ahora mismo

Miniatura de Lori MacVittie
Lori MacVittie
Publicado el 18 de abril de 2018

Una cantidad asombrosa de aplicações residen en la nube sin ninguna protección. Sin firewall de aplicación web. Sin identidad ni control de acceso. Nada. Están ahí, expuestos a ser atacados.

Esto es una pesadilla para las empresas y un sueño hecho realidad para los atacantes.

Tampoco es prudente dada la creciente atención que se presta a las aplicações como objetivos. Ya sea para encontrar una ruta hacia fuentes ricas de datos o para aprovechar la aplicación como un punto de distribución para otros fines nefastos, los ataques a aplicação están en aumento.

De hecho, si examinamos las principales infracciones, descubrimos que el 30 % implicaban ataques a aplicações web. Un significativo 62% presentó piratería para explotar una vulnerabilidad. Y un asombroso 77% fueron llevados a cabo por botnets, no por individuos.

Lo que significa que debes proteger tus aplicaciones de bots y vulnerabilidades para no convertirte en una estadística más.

Y cuando digo tus aplicaciones, me refiero a todas tus aplicaciones. Todas las aplicaciones son críticas cuando se trata de seguridad , incluso en la nube. Quizás más en la nube, donde las aplicaciones pueden implementarse sin siquiera las protecciones rudimentarias que ofrece un firewall de red.

Pero no podemos (ni debemos) ignorar que la complejidad, especialmente de las soluciones de seguridad, a veces puede obstaculizar la protección de las aplicações en la nube. Un poco más de un tercio (34%) de los encuestados en nuestra encuesta sobre el estado de la entrega de aplicação 2018 nos dijo que “la creciente complejidad de las soluciones de seguridad” era uno de los principales desafíos de seguridad para el próximo año.

La seguridad puede ser difícil. Pero no tiene por qué ser así, especialmente en la nube.

Seguridad de aplicaciones web en la nube


Para aquellos que no lo saben, AWS ofrece una plataforma bastante buena no solo para que usted implemente sus aplicaciones, sino también para que los proveedores les agreguen funcionalidad. En el ámbito de la seguridad, su firewall de aplicação web nativo permite la administración de reglas por parte de terceros para aumentar su funcionalidad. Esto significa que puede protegerse contra las amenazas detrás de las principales infracciones sin necesidad de aprender todos los detalles de un firewall de aplicação web. Si recién está comenzando, AWS WAF Managed Rules es un buen lugar para iniciarse en la seguridad de aplicaciones web y protegerse contra las amenazas más comunes que afectan a las aplicações (y a los negocios) hoy en día.

Las reglas administradas de AWS WAF son precisamente eso: reglas de seguridad para aplicaciones web que amplían la funcionalidad de AWS WAF y brindan protección para cualquier aplicación. Están administradas, lo que significa que expertos en seguridad las mantienen y actualizan para que usted tenga la seguridad de que siempre están al día y protegen contra las amenazas más recientes. Es seguridad como servicio, en la nube, para cualquier aplicación. 

Para proteger sus aplicaciones contra tres de las amenazas más comunes (bots, vulnerabilidades conocidas y piratería), hay tres reglas diferentes que debe considerar implementar ahora mismo. Sin embargo, piénselo con cuidado, porque solo puede elegir una regla administrada (es decir, 1) a la vez.

Los diez mejores de OWASP

Los diez mejores de OWASP son bien conocidos por desarrolladores, DevOps y profesionales de seguridad por igual. Conoces muchos de sus nombres: SQLi, XSS, inyección de comandos, inyección No-SQLi, recorrido de ruta y recursos predecibles. Estas son las diez vulnerabilidades más comunes que terminan dando dolores de cabeza a las organizaciones (y, a veces, titulares indeseables) cuando son explotadas. Y a menudo lo son, especialmente cuando se encuentran en aplicaciones que se comunican con fuentes de datos que contienen información interesante sobre consumidores o empresas.

Lo ideal sería que los desarrolladores abordaran estos problemas en el código cuando los descubrieran. Siendo realistas, sabemos que tomará meses para que eso suceda (si es que sucede). Es por eso que un firewall de aplicação web que pueda abordar estas vulnerabilidades comunes es tan valioso: porque ofrece protección instantánea contra la explotación. Ya sea como una solución permanente o una medida provisoria, tiene sentido emplear un conjunto de reglas que incluya las diez mejores de OWASP.

Vulnerabilidades y exposiciones comunes (CVE)

No se puede exagerar la importancia de protegerse contra los CVEs conocidos.

En 2015, Kenna Security informó sobre una investigación realizada en una muestra de 50.000 organizaciones con 250 millones de vulnerabilidades y más de mil millones (MIL MILLONES) de eventos de violación y encontró dos puntos muy interesantes con respecto a la remediación de vulnerabilidades:

  • En promedio, las empresas tardan entre 100 y 120 días en remediar las vulnerabilidades.
  • Entre 40 y 60 días, la probabilidad de que se explote un CVE supera el 90 por ciento.
  • El intervalo entre la probabilidad de explotación y el cierre de una vulnerabilidad es de alrededor de 60 días.

En otras palabras, es probable que la mayoría de las organizaciones sufran una vulnerabilidad CVE antes de tener la oportunidad de remediarla. Si no ha estado prestando atención, una serie de infracciones de perfil *muy* alto se han relacionado con CVE. Como, súper mega súper alto perfil. Considere algunas de las plataformas y bibliotecas con CVE: Apache, Apache Struts, Bash, Elasticsearch, IIS, JBoss, JSP, Java, Joomla, MySQL, Node.js, PHP, PHPMyAdmin, Perl, Ruby On Rails y WordPress. Esto cubre la mayoría de las aplicaciones en Internet en estos días.

Por lo tanto, definitivamente querrá emplear reglas que prácticamente puedan parchar su aplicação contra la explotación de CVE tan pronto como se divulguen. Aún así debes aplicarles un parche en la fuente (generalmente la plataforma o la biblioteca de terceros), pero mientras tanto, tu aplicación estará protegida contra una violación.

Esta brecha de remediación, y la escasez de experiencia en seguridad, es lo que hace que las reglas administradas en la nube sean una buena idea. Los expertos los mantienen y se aseguran de que estén actualizados y puedan proteger las aplicaciones contra exploits, todo lo que necesita hacer es implementarlos.  

Protección contra bots

Hoy en día, más de la mitad de todos los visitantes de aplicaciones son bots. Y no los buenos robots tipo araña que rastrean su sitio para indexarlo y hacerlo disponible a través de motores de búsqueda. Estamos hablando del bot de mala calidad, tipo Decepticon, que busca vulnerabilidades, mete SPAM en sus comunidades, raspa su sitio o participa en un esquema DDOS basado en botnet.

La defensa contra los bots no es fácil. Los captchas prueban constantemente nuevos métodos para identificar y bloquear bots, pero, al igual que la gripe estacional, estas molestas criaturas siguen adaptándose y eludiendo las defensas.

Aun así, los bots maliciosos exhiben comportamientos que pueden detectarse e identificarse como no deseados. Las reglas de defensa de bots pueden detectar aquellos comportamientos y actividades que indican malas intenciones y evitar que interactúen con su aplicação. Hemos visto un aumento en el porcentaje de organizaciones que aprovechan los servicios de defensa contra bots en los últimos dos trimestres, y esperamos que esto continúe dada la situación actual.

Implementar una regla de protección contra bots para aplicaciones en la nube puede brindar cobertura aérea que detenga la explotación de CVE antes de que suceda.

Firewall de aplicaciones web o reglas administradas


Es importante tener en cuenta que algunas aplicaciones necesitarán protección contra las tres amenazas. Aún otros necesitarán protección contra más que solo bots, CVE y el Top Ten de OWASP. Algunos necesitarán limpieza de datos y prevención de fugas, así como defensas más específicas para cada aplicación. La validación de esquema es un buen ejemplo, especialmente cuando se aceptan datos de fuentes desconocidas. Otro es el DDoS L7 (capa de aplicação ). La aplicación de protocolos también resulta invaluable a la hora de protegerse contra vulnerabilidades basadas en TCP o HTTP. Si necesita más de una (1) regla o protecciones adicionales, deberá explorar un Advanced WAF con todas las funciones. Y a medida que su aplicación crezca en capacidades y clientes, deberá estar atento a aumentar también sus protecciones para ella.

De todos modos, las reglas administradas son una excelente manera de comenzar con la protección de aplicaciones en la nube. Proporcionan una base sólida para la seguridad de las aplicaciones web sin necesidad de que usted se convierta en un experto en seguridad. 

Únase a AWS y F5 para aprender cómo F5 WAF puede ayudarlo a proteger sus datos, cumplir con las regulaciones de cumplimiento y establecer una protección continua para sus cargas de trabajo en la nube.

Únase al seminario web para aprender:

  • Consideraciones clave de aplicação y arquitectura para elegir el WAF adecuado
  • Cómo las soluciones F5 WAF ayudan a proteger sus datos de amenazas conocidas y desconocidas
  • Cómo aprovechar las capacidades de aprendizaje automatizado para prevenir incluso los ataques más sofisticados a sus datos


Fecha y hora del seminario web:
Miércoles, 25 de abril de 2018 | 10:00 a.m. PT

Regístrate ahora >