Pelando de nuevo la cebolla
Antes de revisar el funcionamiento interno de nuestras Reglas Administradas, veamos las diferentes capas (juego de palabras) de las protecciones en nuestro WAAP. Cada capa de la WAAP juega un papel importante. La información que figura a continuación ofrece una visión general de sus funciones.Reglas de control de acceso
Las reglas de control de acceso proporcionan la capacidad de crear listas de permisos modulares, listas de denegación y listas de acceso de seguridad positiva para controlar el acceso a sitios protegidos por dirección IP, proxy anónimo, país, ASN, código de georegión, agente de usuario, cookie, referente, URL, método de solicitud HTTP, tipo de contenido, extensión de archivo, tamaño de archivo y encabezados de solicitud.Reglas de limitación de tarifas
Las reglas de limitación de velocidad restringen el flujo de solicitudes HTTP a una aplicación protegida por el WAAP para evitar el tráfico DDoS de aplicaciones maliciosas o no intencionales y evitar que los servidores de aplicaciones de un cliente se sobrecarguen con solicitudes de ataques o picos de tráfico no planificados.Reglas de Bot Manager
El gestor de bots detecta bots buenos y malos. Proporciona múltiples opciones para mitigar la automatización no deseada o los bots defectuosos y evita que lleguen a sus aplicaciones. Esto protege su sitio de bots maliciosos que realizan relleno de credenciales, raspado de su contenido, carding, spam de sus formularios, lanzar ataques DDoS y cometer fraude publicitario.Reglas de encargo
Las reglas personalizadas ponen nuestro potente motor WAAP en tus manos para crear tus propias reglas de seguridad. El tráfico malicioso se identifica mediante una combinación de variables (es decir, encabezados de solicitud, cuerpo, consulta, método, URL, cookie, etc.). Este método proporciona flexibilidad adicional para la detección de amenazas y le permite filtrar solicitudes maliciosas específicas y tomar medidas para mitigarlas. La identificación personalizada de amenazas combinada con pruebas e implementación rápidas le permite abordar rápidamente vulnerabilidades a largo plazo y de día cero mediante la creación de parches virtuales.Reglas administradas
Las Reglas Administradas de Edgio identifican el tráfico malicioso a través de un conjunto de reglas propietario administrado por Edgio. Las Reglas Administradas consisten en más de 500 reglas repartidas en tres categorías:- Reglas de propiedad de Edgio.
- Reglas avanzadas específicas de la aplicación.
- Reglas genéricas de OWASP.
Creando Orden fuera del Caos
Además de contar con un potente motor de waflz de producción local diseñado específicamente para escalar en un entorno de múltiples inquilinos de alto rendimiento, la clave está en crear un orden adecuado de operaciones para ejecutar el WAAP de la manera más eficiente y efectiva. Para lograr esto, nuestro WAAP ejecuta sus diferentes capas de módulos de reglas en la siguiente secuencia:- Reglas de control de acceso: Todas las solicitudes son filtradas por un conjunto estático de listas de permiso/denegación/acceso configuradas por el cliente que consisten en las variables mencionadas anteriormente. El WAAP elimina cualquier solicitud que coincida con la lista de denegación, evitando que cualquier tráfico no deseado se procese aún más.
- Reglas de limitación de velocidad: Las solicitudes que pasan las reglas de control de acceso son seguidas por las reglas de limitación de velocidad, que rastrean la solicitud para cada cliente dentro de una ventana de tiempo especificada por la configuración. El WAAP elimina las solicitudes que exceden un umbral de tasa de solicitud particular, reduciendo aún más los volúmenes de solicitudes de proceder al siguiente paso.
- Reglas del gestor de bots: Cada solicitud que llega a este paso es inspeccionada por nuestra plataforma DE ML para determinar si se basan en bots en una combinación de firmas y comportamientos de solicitud. Cualquier solicitud de bots maliciosos se puede mitigar aquí a través de varios medios, incluyendo el desafío del navegador, la respuesta personalizada o el captcha. La mayoría de los ataques se realizan a través de clientes automatizados, lo que convierte al gestor de bots en una solución eficaz para mitigar estos ataques y reducir aún más el volumen de solicitudes que deben ser procesadas por los módulos de reglas posteriores.
- Reglas personalizadas: En este paso, el WAAP inspecciona la solicitud utilizando varios filtros personalizados creados por los clientes para detectar y mitigar las solicitudes no deseadas. Esto puede incluir cualquier regla específica de la aplicación que los clientes puedan implementar en tiempo real para mitigar las vulnerabilidades de día cero sin esperar a que se actualice el conjunto de reglas WAAP administrado. Esta es una herramienta invaluable para ganar visibilidad y control sobre ataques específicos. Debido a la especificidad de las reglas personalizadas, tienen prioridad sobre las reglas administradas por Edgio y procesarán las solicitudes antes de pasarlas a la capa final.
- Reglas administradas: Cualquier solicitud que llegue a esta etapa es procesada por las más de 500 reglas administradas en las categorías propietarias de Edgio, específicas de aplicaciones avanzadas y genéricas de OWASP.
El procesamiento de cada solicitud en secuencia (como se muestra en la Figura 1) garantiza que se realicen múltiples capas de filtrado. Esto nos ayuda a capturar los ataques que buscan nuestros clientes (es decir, IP/países denylistados, inundación de aplicaciones DDoS/HTTP, clientes automatizados y firmas de solicitud personalizadas específicas) antes de que las solicitudes lleguen a las Reglas administradas.
Sin embargo, esto es solo una parte de la historia de seguridad.
La efectividad de un WAAP no está determinada solo por su capacidad para mitigar ataques (verdaderos positivos), sino también por su capacidad para evitar que se bloquee el tráfico legítimo (falsos positivos). Revisemos cómo capturamos la mayoría de los ataques de aplicaciones al tiempo que reducimos los falsos positivos.
Una inmersión más profunda en las reglas administradas de Edgio
Cuando una solicitud llega a las Reglas administradas, es evaluada por nuestro conjunto de reglas patentado de Edgio de más de 500 reglas creadas para mitigar un amplio espectro de ataques de aplicaciones. Esto presenta una capa adicional de complejidad porque hay muchas categorías de reglas [es decir, las inyecciones SQL genéricas (SQLi), scripting cruzado (XSS) y reglas de ejecución remota de código (RCE)] y las reglas específicas de WordPress, Joomla y Apache Struts. Se necesita una priorización cuidadosa para garantizar que se complementen entre sí para maximizar la precisión.
Al igual que con los módulos de reglas mencionados anteriormente, la clave es el orden de las operaciones entre cada categoría del conjunto de reglas administradas.
Dentro de las Reglas administradas, la solicitud es procesada por diferentes categorías de reglas en este orden: Reglas propietarias de Edgio >Reglas avanzadas específicas de la aplicación Reglas >genéricas de OWASP.
-
Las Reglas propietarias de Edgio y las Reglas específicas de la aplicación buscan firmas asociadas con una vulnerabilidad específica de un tipo específico de aplicación. Estas reglas proporcionan cobertura para aplicaciones (es decir, Apache Struts, WordPress, Joomla, Drupal, SharePoint, cPanel y más) y son altamente precisas en la detección de ataques a estas aplicaciones. Diseñamos estas reglas para que se ejecuten en modo Firma (también conocido como binario), lo que significa que cualquier solicitud que desencadene estas reglas provoca una acción. Estas reglas proporcionan un enfoque más quirúrgico para emparejar y filtrar vectores de ataque específicos a una aplicación; por lo tanto, son la primera capa del filtro de conjunto de reglas de Edgio. Dado que las solicitudes que no coincidan con las reglas propias y específicas de la aplicación aún pueden presentar un riesgo para la aplicación del cliente, necesitamos otro enfoque para detectar posibles ataques en la siguiente fase.
-
Las reglas genéricas de OWASP del conjunto de reglas de Edgio buscan una combinación de firmas asociadas con diferentes categorías comunes de ataques (por ejemplo, SQLi, XSS, RCE, violación de protocolo, inclusión de archivos locales (LFI), inclusión remota de archivos (RFI) y más). Estas reglas funcionan juntas para determinar si una solicitud exhibe una combinación de firmas que se ajustan a una categoría de ataque. Estas reglas genéricas se ejecutan en modo de puntuación de anomalías que permite a los clientes definir la sensibilidad de las reglas ajustando el umbral de puntuación de anomalías para controlar cuántas reglas deben activarse para que la solicitud se considere maliciosa. Cuanto más bajo sea el umbral de puntuación de anomalía, más sensible o más estricto se vuelve el conjunto de reglas genéricas y más fácil para una solicitud potencialmente maliciosa superar el umbral. Los clientes tienen la flexibilidad de ajustar la sensibilidad de su WAAP en función del tipo de aplicación y su tolerancia al riesgo. Las reglas genéricas de OWASP sirven como el catch-all final para las solicitudes que se ajustan a una característica de ataque particular, pero no necesariamente se ajustan a vulnerabilidades específicas de la aplicación.
Figura 1: Flujo de trabajo de Edgio WAAP
Figura 2: Nuestras Reglas administradas se ejecutan en una secuencia especialmente diseñada para maximizar la detección y minimizar los falsos positivos.
Otra característica importante que mejora la precisión de las Reglas administradas es la personalización de las reglas. Cada una de las más de 500 reglas administradas se puede personalizar para ignorar los parámetros de solicitud específicos (es decir, los parámetros de encabezado de solicitud, cookie, consulta y cuerpo). Esto permite a los clientes eliminar rápidamente falsos positivos utilizando una interfaz de usuario o API simple.
Poniendo todas las piezas juntas
Ahora has emprendido el viaje de una solicitud HTTP a través de nuestro WAAP. Algo que ocurre miles de millones de veces al día dentro de cada servidor Edgio en los 300 puntos de presencia (POP) en todo el mundo, ya que nuestro WAAP de alto rendimiento se ejecuta de forma nativa en la misma pila que ejecuta nuestros servicios de entrega de contenido. Al principio de este blog, mencioné que tengo muchas preguntas sobre nuestro WAAP. Espero que ahora entiendan lo que lo diferencia de otras soluciones. Combinamos un orden inteligente de operaciones con los diversos módulos de reglas WAAP (desde ACL hasta reglas de velocidad limitando a bot y reglas personalizadas), Reglas administradas (desde reglas específicas a reglas genéricas) y el modo híbrido de firma y puntuación de anomalías para una seguridad que no impida el rendimiento.
Considere esta analogía: Diseñar y ensamblar componentes WAAP es como hacer una hamburguesa. No se trata solo de tener los ingredientes adecuados; se trata de combinarlos de la manera correcta para hacer una gran comida. Los mismos ingredientes juntos de manera diferente pueden afectar drásticamente el sabor y la experiencia del cliente.