Home Blogs Edgio WAAP-Regeln – Ordnung aus dem Chaos erstellen
Applications

Edgio WAAP-Regeln – Ordnung aus dem Chaos erstellen

About The Author

Outline

Mein Tag ist voller Fragen von aktuellen und potenziellen Kunden. Eine Antwort, die ich gerne beantworte, ist die Tatsache, dass unsere Webanwendung und der API-Schutz (WAAP) sowie unsere Sicherheitsregelsätze so genau sind. Genauigkeit ist von entscheidender Bedeutung, wenn man den Ansturm neuer Angriffsvektoren und Schwachstellen in den letzten Jahren berücksichtigt. Tatsächlich hat die Cybersecurity and Infrastructure Security Agency (CISA) kürzlich 66 neue Schwachstellen in ihren Katalog bekannt ausgenutzter Schwachstellen aufgenommen , und neue CVEs sind 2022 um mehr als 25 % im Vergleich zum Vorjahr gestiegen. CISA ist nicht der einzige, der sich um Sicherheit und Leistung kümmert. Laut einer kürzlich durchgeführten Umfrage wollen Unternehmen weniger falsch positive und falsch negative Meldungen, eine erhöhte Alarmermüdung und ein verbessertes Sicherheitsmanagement.

Was macht Edgio WAAP Rules effektiver? Auf hoher Ebene hat es mit der speziellen Reihenfolge zu tun, in der wir unsere WAAP-Regeln und unseren Hybrid-Signature- und Anomalie-Scoring-Modus mit den verwalteten Regeln ausführen . Wir führen diese Prozesse innerhalb von Millisekunden über unsere selbst entwickelte Waflz-Engine durch, um Sicherheit zu bieten, ohne dabei Leistungseinbußen einzubüßen. Lassen Sie uns das genauer betrachten.

Die Zwiebel wird zurückgeschält

Bevor wir uns die Funktionsweise unserer verwalteten Regeln ansehen, sehen wir uns die verschiedenen Ebenen der Schutzmechanismen in unserem WAAP an. Jede Schicht des WAAP spielt eine wichtige Rolle. Die folgenden Informationen bieten einen Überblick über die Funktionen.

Zugriffskontrollregeln

Zugriffskontrollregeln ermöglichen die Erstellung modularer Berechtigungslisten, Denylisten und Zugriffslisten mit positiver Sicherheit, um den Zugriff auf geschützte Sites nach IP-Adresse, anonymer Proxy, Land, ASN, geografischer Region-Code zu steuern. User Agent, Cookie, Referrer, URL, HTTP-Anforderungsmethode, Inhaltstyp, Dateierweiterung, Dateigröße und Anforderungsheader.

Regeln Zur Begrenzung Der Rate

Regeln zur Begrenzung der Geschwindigkeit beschränken den Fluss von HTTP-Anforderungen an eine Anwendung, die durch WAAP geschützt wird, um schädlichen oder unbeabsichtigten DDoS-Datenverkehr zu verhindern und zu verhindern, dass die Anwendungsserver eines Kunden mit Anforderungen durch Angriffe oder ungeplante Datenverkehrsspitzen überlastet werden.

Bot Manager-Regeln

Bot Manager erkennt sowohl gute als auch schlechte Bots. Es bietet mehrere Optionen, um unerwünschte Automatisierung oder fehlerhafte Bots zu verhindern und zu verhindern, dass diese Ihre Anwendungen erreichen. Dies schützt Ihre Website vor böswilligen Bots, die Credential Stuffing durchführen, Ihre Inhalte abkratzen, kardieren, Ihre Formulare spammen, DDoS-Angriffe starten, und Werbebetrug zu begehen.

Benutzerdefinierte Regeln

Benutzerdefinierte Regeln geben Ihnen unsere leistungsstarke WAAP-Engine zur Erstellung Ihrer eigenen Sicherheitsregeln. Schädlicher Datenverkehr wird durch eine Kombination von Variablen identifiziert (d. h. Anforderungsheader, Text, Abfrage, Methode, URL, Cookie usw.). Diese Methode bietet zusätzliche Flexibilität bei der Erkennung von Bedrohungen und ermöglicht Ihnen, nach bestimmten schädlichen Anforderungen zu filtern und Maßnahmen zu ergreifen, um diese zu mindern. Durch die individuelle Erkennung von Bedrohungen in Kombination mit schnellen Tests und Bereitstellungen können Sie langfristige Schwachstellen und Zero-Day-Schwachstellen schnell beheben, indem Sie virtuelle Patches erstellen.

Verwaltete Regeln

Die verwalteten Regeln von Edgio identifizieren schädlichen Datenverkehr über einen proprietären Regelsatz, der von Edgio verwaltet wird.
Verwaltete Regeln bestehen aus über 500 Regeln, die in drei Kategorien verteilt sind:

  1. Proprietäre Regeln Von Edgio.

  2. Erweiterte anwendungsspezifische Regeln.

  3. Allgemeine OWASP-Regeln.

Dabei werden verschiedene Sicherheitsrichtlinien und -Regeln für verschiedene Angriffskategorien und -Anwendungen umfassend erfasst. Bei der Durchführung einer Bedrohungsbeurteilung kann jede verwaltete Regel so angepasst werden, dass sie Fehlalarme verhindert, indem bestimmte Variablen (z. B. Cookies, Header und Anforderungsparameter/Abfragezeichenfolge) ausgeschlossen werden.

Wie Sie sehen, haben unsere WAAP-Regeln viele Ebenen, und innerhalb jeder Ebene kann es Dutzende bis Hunderte von Regeln und Bedingungen geben, die unser WAAP ausführen muss. Jede Regel stellt die Wahrscheinlichkeit dar, dass falsch positive Ergebnisse eingeführt werden und sich auf die Leistung auswirken. Erschwerend ist, dass Edgio WAAP einzigartige Funktionen für die Ausführung im Dual WAAP-Modus bietet, in dem Sie zwei Versionen der Sicherheitskonfigurationen für Ihren Produktionsdatenverkehr gleichzeitig für Zugriffssteuerungsregeln, benutzerdefinierte Regeln und verwaltete Regeln ausführen können. Wir werden zusätzliche Schutzebenen hinzufügen, während wir unsere Sicherheitslösungen weiter verbessern. Was die Frage aufwirft, wie stellen wir sicher, dass unser WAAP Millionen von Anfragen genau und effizient im Chaos all dieser Funktionen und Regeln verarbeitet?

Ordnung aus dem Chaos schaffen

Neben einer leistungsstarken, selbst entwickelten Waflz-Engine, die speziell für die Skalierung in einer hochleistungsfähigen Multi-Tenant-Umgebung entwickelt wurde, liegt der Schlüssel in der richtigen Reihenfolge der Vorgänge, um die WAAP am effizientesten und effektivsten auszuführen.

Zu diesem Zweck führt unser WAAP seine verschiedenen Ebenen von Regelmodulen in der folgenden Reihenfolge aus:

  1. Zugriffssteuerungsregeln: Alle Anforderungen werden nach einer statischen Gruppe von kundenkonfigurierten Listen für Zulassen/Verweisen/Zugreifen gefiltert, die aus den zuvor genannten Variablen bestehen. Der WAAP löscht alle Anforderungen, die mit der Liste „Ablehnen“ übereinstimmen, und verhindert so, dass unerwünschter Datenverkehr weiter verarbeitet wird.

  2. Regeln für die Ratenbegrenzung: Anforderungen, die die Zugriffskontrollregeln erfüllen, werden dann von den Regeln für die Ratenbegrenzung verfolgt, die die Anforderung für jeden Client innerhalb eines von der Konfiguration festgelegten Zeitfensters verfolgen. Der WAAP löscht Anforderungen, die einen bestimmten Schwellenwert für die Anforderungsrate überschreiten, und reduziert die Anforderungsvolumina weiter, um mit dem nächsten Schritt fortzufahren.

  3. Bot Manager-Regeln: Jede Anforderung, die diesen Schritt erreicht, wird von unserer ML-Plattform geprüft, um festzustellen, ob sie auf einer Kombination von Anforderungssignaturen und Verhaltensweisen basiert. Böswillige Bot-Anfragen können hier auf verschiedene Weise abgewehrt werden, wie z. B. Browser-Challenge, benutzerdefinierte Antwort oder Captcha. Die meisten Angriffe werden über automatisierte Clients durchgeführt, wodurch der Bot-Manager eine effektive Lösung zur Abwehr dieser Angriffe und zur weiteren Reduzierung der Anzahl von Anforderungen ist, die von nachfolgenden Regelmodulen verarbeitet werden müssen.

  4. Benutzerdefinierte Regeln: In diesem Schritt prüft der WAAP die Anforderung mithilfe verschiedener benutzerdefinierter Filter, die von Kunden erstellt wurden, um unerwünschte Anforderungen zu erkennen und zu mindern. Dies kann alle anwendungsspezifischen Regeln umfassen, die Kunden in Echtzeit bereitstellen können, um Zero-Day-Schwachstellen zu vermeiden, ohne darauf zu warten, dass der verwaltete WAAP-Regelsatz aktualisiert wird. Dies ist ein unschätzbares Tool, um Transparenz und Kontrolle über bestimmte Angriffe zu erlangen. Aufgrund der Spezifität der benutzerdefinierten Regeln haben sie Vorrang vor den von Edgio verwalteten Regeln und verarbeiten die Anforderungen, bevor sie an die endgültige Ebene übergeben werden.

  5. Verwaltete Regeln: Jede Anforderung, die diese Phase erreicht, wird von den verwalteten 500+ Regeln in allen proprietären, erweiterten anwendungsspezifischen und generischen OWASP-Kategorien von Edgio verarbeitet.

Abbildung 1: Arbeitsablauf bei Edgio WAAP

Die Verarbeitung jeder Anforderung in der Reihenfolge (wie in Abbildung 1 gezeigt) stellt sicher, dass mehrere Filterebenen durchgeführt werden. So können wir die Angriffe erfassen, nach denen unsere Kunden suchen (d. h. IP/Länder, DDoS/HTTP-Flood von Anwendungen, automatisierte Clients und spezifische benutzerdefinierte Anforderungssignaturen), bevor die Anforderungen die verwalteten Regeln erfüllen.

Dies ist jedoch nur ein Teil der Sicherheitsgeschichte.

Die Effektivität eines WAAP hängt nicht nur von seiner Fähigkeit ab, Angriffe abzuwehren (echte positive), sondern auch von seiner Fähigkeit, legitimer Datenverkehr zu verhindern (falsch positive). Sehen wir uns an, wie wir die meisten Anwendungsangriffe erfassen und gleichzeitig Fehlalarme reduzieren.

Ein tieferes Eintauchen in die verwalteten Regeln von Edgio

Wenn eine Anforderung die verwalteten Regeln erreicht, wird sie von unserem proprietären Edgio Ruleset aus mehr als 500 Regeln ausgewertet, die zur Abwehr eines breiten Spektrums von Anwendungsangriffen erstellt wurden. Dies stellt eine zusätzliche Komplexitätsstufe dar, da es so viele Regelkategorien gibt [d. h. generische SQL-Injections (SQLi), Cross-Site Scripting (XSS) und Remote Code Execution (RCE)] und die spezifischen WordPress-, Joomla- und Apache Struts-Regeln. Eine sorgfältige Priorisierung ist erforderlich, um sicherzustellen, dass sie sich ergänzen, um die Genauigkeit zu maximieren.

Wie bei den zuvor erwähnten Regelmodulen ist der Schlüssel die Reihenfolge der Vorgänge zwischen jeder Kategorie des verwalteten Regelsatzes.

Innerhalb der verwalteten Regeln wird die Anforderung von verschiedenen Regelkategorien in dieser Reihenfolge verarbeitet: Edgio proprietäre Regeln > Erweiterte anwendungsspezifische Regeln > Allgemeine OWASP-Regeln.

  1. Die proprietären Edgio-Regeln und anwendungsspezifischen Regeln suchen nach Signaturen, die mit einer bestimmten Sicherheitsanfälligkeit eines bestimmten Anwendungstyps verbunden sind. Diese Regeln decken Anwendungen ab (z. B. Apache Struts, WordPress, Joomla, Drupal, SharePoint, cPanel und mehr) und sind sehr genau bei der Erkennung von Angriffen auf diese Anwendungen. Wir haben diese Regeln so konzipiert, dass sie im Signaturmodus (auch als Binärmodus bezeichnet) ausgeführt werden. Das bedeutet, dass jede Anforderung, die diese Regeln auslöst, eine Aktion verursacht. Diese Regeln bieten einen eher chirurgischen Ansatz zum Abgleichen und Filtern bestimmter Angriffsvektoren an eine Anwendung und stellen daher die erste Schicht des Edgio Ruleset-Filters dar. Da Anfragen, die nicht mit proprietären und anwendungsspezifischen Regeln übereinstimmen, immer noch ein Risiko für die Anwendung des Kunden darstellen können, benötigen wir einen anderen Ansatz, um potenzielle Angriffe in der nächsten Phase zu erkennen.

  2. Die generischen OWASP-Regeln im Edgio Regelset suchen nach einer Kombination von Signaturen, die mit verschiedenen gängigen Angriffskategorien (z. B. SQLi, XSS, RCE, Protokollverletzung, lokale Dateiaufnahme (LFI), Remote File Inclusion (RFI) und mehr). Diese Regeln arbeiten zusammen, um zu bestimmen, ob eine Anforderung eine Kombination von Signaturen aufweist, die zu einer Angriffskategorie passen. Diese generischen Regeln werden im Modus für die Bewertung von Anomalien ausgeführt, in dem Kunden die Regelsensibilität definieren können, indem sie den Schwellenwert für die Bewertung von Anomalien anpassen, um zu steuern, wie viele Regeln ausgelöst werden müssen, damit die Anforderung als schädlich betrachtet wird. Je niedriger der Schwellenwert für Anomalie-Score ist, desto sensibler oder strenger wird der generische Regelsatz und desto einfacher kann eine potenziell schädliche Anforderung den Schwellenwert überschreiten. Kunden haben die Flexibilität, die Sensitivität ihrer WAAP je nach Anwendungstyp und Risikotoleranz anzupassen. Die generischen OWASP-Regeln dienen als finales Catch-all für Anforderungen, die zu einem bestimmten Angriffscharakteristikum passen, aber nicht unbedingt zu bestimmten Schwachstellen in der Anwendung passen.

Abbildung 2: Unsere verwalteten Regeln werden in einer speziell entwickelten Sequenz ausgeführt, um die Erkennung zu maximieren und Fehlalarme zu minimieren.

Eine weitere wichtige Funktion, die die Genauigkeit der verwalteten Regeln verbessert, ist die Anpassbarkeit der Regeln. Jede der über 500 verwalteten Regeln kann so angepasst werden, dass bestimmte Anforderungsparameter (d. h. Anforderungsheader, Cookie, Abfrage und Hauptparameter) ignoriert werden. Dadurch können Kunden False-Positives mithilfe einer einfachen Benutzeroberfläche oder API schnell entfernen.

Ich füge alle Teile zusammen

Sie haben nun die Reise einer HTTP-Anfrage über unser WAAP gemacht. Dies geschieht milliardenmal täglich auf jedem Edgio-Server an allen 300 Points of Presence (POP) weltweit, da unser Hochleistungs-WAAP nativ auf demselben Stack ausgeführt wird, auf dem auch unsere Content Delivery Services ausgeführt werden. Am Anfang dieses Blogs habe ich erwähnt, dass ich viele Fragen zu unserem WAAP bekomme. Ich hoffe, Sie verstehen jetzt, was sie von anderen Lösungen unterscheidet. Wir kombinieren eine intelligente Abfolge von Vorgängen mit den verschiedenen WAAP-Regelmodulen (von ACL über Ratenbegrenzung bis hin zu Bot- und benutzerdefinierten Regeln), verwalteten Regeln (von spezifischen zu generischen Regeln) und dem Hybridmodus für Signatur und Anomalie-Scoring für Sicherheit, die die Leistung nicht beeinträchtigt.

Betrachten Sie diese Analogie: Das Entwerfen und Zusammenbauen von WAAP-Komponenten ist wie die Herstellung eines Hamburger. Es geht nicht nur darum, die richtigen Zutaten zu haben, sondern auch darum, sie auf die richtige Weise zu kombinieren, um eine großartige Mahlzeit zu machen. Die gleichen Zutaten können den Geschmack und das Kundenerlebnis drastisch beeinflussen.