¿Qué es una firma?
En general, una firma se refiere a una "firma escrita o digital". En el contexto de la programación, una firma se refiere a la información utilizada para identificar un método, como su nombre, tipos de parámetros, número, orden y tipo de retorno (las definiciones pueden variar según el lenguaje de programación). Sin embargo, en el contexto de la seguridad informática, una firma se refiere a los patrones distintivos de actividades maliciosas, como malware o acceso no autorizado. Los archivos que agregan estos patrones se denominan archivos de firma, y la funcionalidad que utiliza firmas para detectar y bloquear ataques se denomina función de firma.
El uso de firmas para defenderse de ataques generalmente sigue un enfoque de lista negra, donde se mantiene una lista de amenazas conocidas para bloquear actividades peligrosas. Esto proporciona la ventaja de responder de forma fiable y rápida a ataques conocidos. Sin embargo, este enfoque tiene la limitación de no poder abordar ataques desconocidos o nuevas amenazas que aún no están incluidas en la lista negra.
Para abordar esta limitación, se recomienda combinar el enfoque de lista negra con un enfoque de lista blanca. Con la lista blanca, solo se permiten las actividades explícitamente permitidas. Al permitir la actividad en la lista blanca, bloquear patrones en la lista negra y tratar todo lo demás como una zona gris que requiere verificación, se puede lograr una estrategia de defensa más integral.
BIG-IP de F5 aprovecha tanto las firmas de tipo lista negra para patrones de ataque como las listas blancas para tráfico legítimo, lo que permite detectar y prevenir ataques de manera efectiva.