Home Blogs Reglas de Edgio WAAP – Creando Orden del Caos
Applications

Reglas de Edgio WAAP – Creando Orden del Caos

About The Author

Outline

Mi día está lleno de preguntas de clientes actuales y potenciales. Uno que me encanta responder es lo que hace que nuestra aplicación web y protección API (WAAP) y nuestros conjuntos de reglas de seguridad sean tan precisos. La precisión es crítica cuando se considera la embestida de nuevos vectores de ataque y vulnerabilidades que se han producido en los últimos años. De hecho, la Agencia de Seguridad de la Infraestructura y la Ciberseguridad (CISA) agregó recientemente 66 nuevas vulnerabilidades a su catálogo de vulnerabilidades explotadas conocidas, y los nuevos CVE han crecido más del 25% interanual en 2022. CISA no es la única preocupada por la seguridad y el rendimiento. Según una encuesta reciente, las empresas quieren una reducción en falsos positivos, falsos negativos, fatiga de alertas y una mejor gestión de la seguridad. Entonces, ¿qué hace que las reglas de Edgio WAAP sean más efectivas? A un nivel alto, tiene que ver con el orden especial en el que ejecutamos nuestras reglas WAAP y nuestro modo híbrido de firma y puntuación de anomalías con las Reglas administradas. Realizamos estos procesos en milisegundos a través de nuestro motor de waflz de producción propia para proporcionar seguridad sin sacrificar el rendimiento. Vamos a sumergirnos en esto con mayor detalle.

Pelando de nuevo la cebolla

Antes de revisar el funcionamiento interno de nuestras Reglas Administradas, veamos las diferentes capas (juego de palabras) de las protecciones en nuestro WAAP. Cada capa de la WAAP juega un papel importante. La información que figura a continuación ofrece una visión general de sus funciones.

Reglas de control de acceso

Las reglas de control de acceso proporcionan la capacidad de crear listas de permisos modulares, listas de denegación y listas de acceso de seguridad positiva para controlar el acceso a sitios protegidos por dirección IP, proxy anónimo, país, ASN, código de georegión, agente de usuario, cookie, referente, URL, método de solicitud HTTP, tipo de contenido, extensión de archivo, tamaño de archivo y encabezados de solicitud.

Reglas de limitación de tarifas

Las reglas de limitación de velocidad restringen el flujo de solicitudes HTTP a una aplicación protegida por el WAAP para evitar el tráfico DDoS de aplicaciones maliciosas o no intencionales y evitar que los servidores de aplicaciones de un cliente se sobrecarguen con solicitudes de ataques o picos de tráfico no planificados.

Reglas de Bot Manager

El gestor de bots detecta bots buenos y malos. Proporciona múltiples opciones para mitigar la automatización no deseada o los bots defectuosos y evita que lleguen a sus aplicaciones. Esto protege su sitio de bots maliciosos que realizan relleno de credenciales, raspado de su contenido, carding, spam de sus formularios, lanzar ataques DDoS y cometer fraude publicitario.

Reglas de encargo

Las reglas personalizadas ponen nuestro potente motor WAAP en tus manos para crear tus propias reglas de seguridad. El tráfico malicioso se identifica mediante una combinación de variables (es decir, encabezados de solicitud, cuerpo, consulta, método, URL, cookie, etc.). Este método proporciona flexibilidad adicional para la detección de amenazas y le permite filtrar solicitudes maliciosas específicas y tomar medidas para mitigarlas. La identificación personalizada de amenazas combinada con pruebas e implementación rápidas le permite abordar rápidamente vulnerabilidades a largo plazo y de día cero mediante la creación de parches virtuales.

Reglas administradas

Las Reglas Administradas de Edgio identifican el tráfico malicioso a través de un conjunto de reglas propietario administrado por Edgio. Las Reglas Administradas consisten en más de 500 reglas repartidas en tres categorías:
  1. Reglas de propiedad de Edgio.
  2. Reglas avanzadas específicas de la aplicación.
  3. Reglas genéricas de OWASP.
Esto recopila de forma exhaustiva varias políticas y reglas de seguridad para diferentes categorías y aplicaciones de ataque. Al realizar una evaluación de amenazas, cada regla administrada se puede personalizar para evitar falsos positivos al excluir ciertas variables (por ejemplo, cookies, encabezados y parámetro de solicitud/cadena de consulta). Como puede ver, nuestras reglas WAAP tienen muchas capas, y dentro de cada capa, puede haber desde docenas a cientos de reglas y condiciones que nuestro WAAP tiene que ejecutar. Cada regla presenta una probabilidad de introducir falsos positivos e impactar el rendimiento. Lo más complicado es que Edgio WAAP proporciona habilidades únicas para ejecutarse en modo Dual WAAP, donde puede ejecutar dos versiones de las configuraciones de seguridad para su tráfico de producción simultáneamente para reglas de control de acceso, reglas personalizadas y reglas administradas. Agregaremos capas de protección adicionales a medida que continuemos mejorando nuestras soluciones de seguridad. Lo que plantea la pregunta, ¿cómo nos aseguramos de que nuestro WAAP procese millones de solicitudes con precisión y eficiencia en medio del caos de todas estas capacidades y reglas?

Creando Orden fuera del Caos

Además de contar con un potente motor de waflz de producción local diseñado específicamente para escalar en un entorno de múltiples inquilinos de alto rendimiento, la clave está en crear un orden adecuado de operaciones para ejecutar el WAAP de la manera más eficiente y efectiva. Para lograr esto, nuestro WAAP ejecuta sus diferentes capas de módulos de reglas en la siguiente secuencia:
  1. Reglas de control de acceso: Todas las solicitudes son filtradas por un conjunto estático de listas de permiso/denegación/acceso configuradas por el cliente que consisten en las variables mencionadas anteriormente. El WAAP elimina cualquier solicitud que coincida con la lista de denegación, evitando que cualquier tráfico no deseado se procese aún más.
  2. Reglas de limitación de velocidad: Las solicitudes que pasan las reglas de control de acceso son seguidas por las reglas de limitación de velocidad, que rastrean la solicitud para cada cliente dentro de una ventana de tiempo especificada por la configuración. El WAAP elimina las solicitudes que exceden un umbral de tasa de solicitud particular, reduciendo aún más los volúmenes de solicitudes de proceder al siguiente paso.
  3. Reglas del gestor de bots: Cada solicitud que llega a este paso es inspeccionada por nuestra plataforma DE ML para determinar si se basan en bots en una combinación de firmas y comportamientos de solicitud. Cualquier solicitud de bots maliciosos se puede mitigar aquí a través de varios medios, incluyendo el desafío del navegador, la respuesta personalizada o el captcha. La mayoría de los ataques se realizan a través de clientes automatizados, lo que convierte al gestor de bots en una solución eficaz para mitigar estos ataques y reducir aún más el volumen de solicitudes que deben ser procesadas por los módulos de reglas posteriores.
  4. Reglas personalizadas: En este paso, el WAAP inspecciona la solicitud utilizando varios filtros personalizados creados por los clientes para detectar y mitigar las solicitudes no deseadas. Esto puede incluir cualquier regla específica de la aplicación que los clientes puedan implementar en tiempo real para mitigar las vulnerabilidades de día cero sin esperar a que se actualice el conjunto de reglas WAAP administrado. Esta es una herramienta invaluable para ganar visibilidad y control sobre ataques específicos. Debido a la especificidad de las reglas personalizadas, tienen prioridad sobre las reglas administradas por Edgio y procesarán las solicitudes antes de pasarlas a la capa final.
  5. Reglas administradas: Cualquier solicitud que llegue a esta etapa es procesada por las más de 500 reglas administradas en las categorías propietarias de Edgio, específicas de aplicaciones avanzadas y genéricas de OWASP.

El procesamiento de cada solicitud en secuencia (como se muestra en la Figura 1) garantiza que se realicen múltiples capas de filtrado. Esto nos ayuda a capturar los ataques que buscan nuestros clientes (es decir, IP/países denylistados, inundación de aplicaciones DDoS/HTTP, clientes automatizados y firmas de solicitud personalizadas específicas) antes de que las solicitudes lleguen a las Reglas administradas.

Sin embargo, esto es solo una parte de la historia de seguridad.

La efectividad de un WAAP no está determinada solo por su capacidad para mitigar ataques (verdaderos positivos), sino también por su capacidad para evitar que se bloquee el tráfico legítimo (falsos positivos). Revisemos cómo capturamos la mayoría de los ataques de aplicaciones al tiempo que reducimos los falsos positivos.

Una inmersión más profunda en las reglas administradas de Edgio

Cuando una solicitud llega a las Reglas administradas, es evaluada por nuestro conjunto de reglas patentado de Edgio de más de 500 reglas creadas para mitigar un amplio espectro de ataques de aplicaciones. Esto presenta una capa adicional de complejidad porque hay muchas categorías de reglas [es decir, las inyecciones SQL genéricas (SQLi), scripting cruzado (XSS) y reglas de ejecución remota de código (RCE)] y las reglas específicas de WordPress, Joomla y Apache Struts. Se necesita una priorización cuidadosa para garantizar que se complementen entre sí para maximizar la precisión.

Al igual que con los módulos de reglas mencionados anteriormente, la clave es el orden de las operaciones entre cada categoría del conjunto de reglas administradas.

Dentro de las Reglas administradas, la solicitud es procesada por diferentes categorías de reglas en este orden: Reglas propietarias de Edgio >Reglas avanzadas específicas de la aplicación Reglas >genéricas de OWASP.

  1. Las Reglas propietarias de Edgio y las Reglas específicas de la aplicación buscan firmas asociadas con una vulnerabilidad específica de un tipo específico de aplicación. Estas reglas proporcionan cobertura para aplicaciones (es decir, Apache Struts, WordPress, Joomla, Drupal, SharePoint, cPanel y más) y son altamente precisas en la detección de ataques a estas aplicaciones. Diseñamos estas reglas para que se ejecuten en modo Firma (también conocido como binario), lo que significa que cualquier solicitud que desencadene estas reglas provoca una acción. Estas reglas proporcionan un enfoque más quirúrgico para emparejar y filtrar vectores de ataque específicos a una aplicación; por lo tanto, son la primera capa del filtro de conjunto de reglas de Edgio. Dado que las solicitudes que no coincidan con las reglas propias y específicas de la aplicación aún pueden presentar un riesgo para la aplicación del cliente, necesitamos otro enfoque para detectar posibles ataques en la siguiente fase.

  2. Las reglas genéricas de OWASP del conjunto de reglas de Edgio buscan una combinación de firmas asociadas con diferentes categorías comunes de ataques (por ejemplo, SQLi, XSS, RCE, violación de protocolo, inclusión de archivos locales (LFI), inclusión remota de archivos (RFI) y más). Estas reglas funcionan juntas para determinar si una solicitud exhibe una combinación de firmas que se ajustan a una categoría de ataque. Estas reglas genéricas se ejecutan en modo de puntuación de anomalías que permite a los clientes definir la sensibilidad de las reglas ajustando el umbral de puntuación de anomalías para controlar cuántas reglas deben activarse para que la solicitud se considere maliciosa. Cuanto más bajo sea el umbral de puntuación de anomalía, más sensible o más estricto se vuelve el conjunto de reglas genéricas y más fácil para una solicitud potencialmente maliciosa superar el umbral. Los clientes tienen la flexibilidad de ajustar la sensibilidad de su WAAP en función del tipo de aplicación y su tolerancia al riesgo. Las reglas genéricas de OWASP sirven como el catch-all final para las solicitudes que se ajustan a una característica de ataque particular, pero no necesariamente se ajustan a vulnerabilidades específicas de la aplicación.

WAAP/Dual WAF Diagram

Figura 1: Flujo de trabajo de Edgio WAAP

Figura 2: Nuestras Reglas administradas se ejecutan en una secuencia especialmente diseñada para maximizar la detección y minimizar los falsos positivos.

Otra característica importante que mejora la precisión de las Reglas administradas es la personalización de las reglas. Cada una de las más de 500 reglas administradas se puede personalizar para ignorar los parámetros de solicitud específicos (es decir, los parámetros de encabezado de solicitud, cookie, consulta y cuerpo). Esto permite a los clientes eliminar rápidamente falsos positivos utilizando una interfaz de usuario o API simple.

Poniendo todas las piezas juntas

Ahora has emprendido el viaje de una solicitud HTTP a través de nuestro WAAP. Algo que ocurre miles de millones de veces al día dentro de cada servidor Edgio en los 300 puntos de presencia (POP) en todo el mundo, ya que nuestro WAAP de alto rendimiento se ejecuta de forma nativa en la misma pila que ejecuta nuestros servicios de entrega de contenido. Al principio de este blog, mencioné que tengo muchas preguntas sobre nuestro WAAP. Espero que ahora entiendan lo que lo diferencia de otras soluciones. Combinamos un orden inteligente de operaciones con los diversos módulos de reglas WAAP (desde ACL hasta reglas de velocidad limitando a bot y reglas personalizadas), Reglas administradas (desde reglas específicas a reglas genéricas) y el modo híbrido de firma y puntuación de anomalías para una seguridad que no impida el rendimiento.

Considere esta analogía: Diseñar y ensamblar componentes WAAP es como hacer una hamburguesa. No se trata solo de tener los ingredientes adecuados; se trata de combinarlos de la manera correcta para hacer una gran comida. Los mismos ingredientes juntos de manera diferente pueden afectar drásticamente el sabor y la experiencia del cliente.