Home Blogs Reglas de Edgio WAAP – Creando Orden fuera del Caos
Applications

Reglas de Edgio WAAP – Creando Orden fuera del Caos

About The Author

Outline

Mi día está lleno de preguntas de clientes actuales y potenciales. Una que me encanta responder es lo que hace que nuestra aplicación web y protección API (WAAP) y nuestros conjuntos de reglas de seguridad sean tan precisos. La precisión es crítica cuando se considera la embestida de nuevos vectores de ataque y vulnerabilidades que ocurren en los últimos años. De hecho, la Agencia de Seguridad de la Ciberseguridad y la Infraestructura (CISA) agregó recientemente 66 nuevas vulnerabilidades a su conocido Catálogo de Vulnerabilidades Explotadas, y los nuevos CVE han crecido más del 25% interanual en 2022. CISA no es la única preocupada por la seguridad y el rendimiento. Según una encuesta reciente, las empresas quieren una reducción en falsos positivos, falsos negativos, fatiga de alerta y una mejor gestión de la seguridad.

Entonces, ¿qué hace que las reglas de Edgio WAAP sean más efectivas? A un alto nivel, tiene que ver con el orden especial en el que ejecutamos nuestras reglas WAAP y nuestro modo de puntuación de firma híbrida y anomalía con las Reglas Gestionadas. Realizamos estos procesos en milisegundos a través de nuestro motor waflz de cosecha propia para proporcionar seguridad sin sacrificar el rendimiento. Vamos a sumergirnos en esto con mayor detalle.

Despegando la cebolla

Antes de revisar el funcionamiento interno de nuestras Reglas Gestionadas, veamos las diferentes capas (juego de palabras) de las protecciones en nuestro WAAP. Cada capa del WAAP juega un papel importante. La información que figura a continuación ofrece una visión general de sus funciones.

Reglas de control de acceso

Las reglas de control de acceso proporcionan la capacidad de crear listas de permisos modulares, listas de denylists y listas de acceso de seguridad positiva para controlar el acceso a sitios protegidos por dirección IP, proxy anónimo, país, ASN, código de región geográfica, etc. agente de usuario, cookie, referencia, URL, método de solicitud HTTP, tipo de contenido, extensión de archivo, tamaño de archivo y encabezados de solicitud.

Reglas de limitación de tarifas

Las reglas de limitación de velocidad restringen el flujo de solicitudes HTTP a una aplicación protegida por el WAAP para evitar el tráfico DDoS de aplicaciones maliciosas o no intencionales y evitar que los servidores de aplicaciones de un cliente se sobrecarguen con solicitudes de ataques o picos de tráfico no planificados.

Reglas del Administrador de Bot

Bot manager detecta bots buenos y malos. Proporciona múltiples opciones para mitigar la automatización no deseada o los bots defectuosos y evita que lleguen a sus aplicaciones. Esto protege su sitio de bots maliciosos que realizan relleno de credenciales, raspando su contenido, cardar, enviar spam a sus formularios, lanzar ataques DDoS, y cometer fraude publicitario.

Reglas personalizadas

Las reglas personalizadas ponen nuestro potente motor WAAP en tus manos para crear tus propias reglas de seguridad. El tráfico malicioso se identifica mediante una combinación de variables (p. ej., encabezados de solicitud, cuerpo, consulta, método, etc.). URL, cookie, etc.). Este método proporciona mayor flexibilidad para la detección de amenazas y le permite filtrar solicitudes maliciosas específicas y tomar medidas para mitigarlas. La identificación de amenazas personalizada combinada con pruebas e implementación rápidas le permite abordar rápidamente las vulnerabilidades a largo plazo y de día cero mediante la creación de parches virtuales.

Reglas administradas

Las reglas administradas de Edgio identifican el tráfico malicioso a través de un conjunto de reglas propietario administrado por Edgio.
Las reglas administradas consisten en más de 500 reglas repartidas en tres categorías:

  1. Reglas de propiedad de Edgio.

  2. Reglas avanzadas específicas de la aplicación.

  3. Reglas genéricas de OWASP.

Esto recopila de manera exhaustiva varias políticas y reglas de seguridad para diferentes categorías de ataques y aplicaciones. Al realizar una evaluación de amenazas, cada regla administrada se puede personalizar para evitar falsos positivos excluyendo ciertas variables (por ejemplo, cookies, encabezados y cadena de parámetros/consultas de solicitud).

Como puede ver, nuestras reglas WAAP tienen muchas capas, y dentro de cada capa, podría haber desde docenas hasta cientos de reglas y condiciones que nuestro WAAP tiene que ejecutar. Cada regla presenta una probabilidad de introducir falsos positivos e impactar el rendimiento. Lo que complica las cosas es que el Edgio WAAP proporciona capacidades únicas para ejecutarse en modo WAAP dual, donde puede ejecutar dos versiones de las configuraciones de seguridad para su tráfico de producción simultáneamente para reglas de control de acceso, reglas personalizadas y reglas administradas. Agregaremos capas de protección adicionales a medida que continuemos mejorando nuestras soluciones de seguridad. Lo que plantea la pregunta, ¿cómo nos aseguramos de que nuestro WAAP procese millones de solicitudes de manera precisa y eficiente en medio del caos de todas estas capacidades y reglas?

Creando Orden fuera del Caos

Además de contar con un potente motor waflz de cosecha propia diseñado específicamente para escalar en un entorno de alto rendimiento de múltiples inquilinos, la clave es crear un orden adecuado de operaciones para ejecutar el WAAP de la manera más eficiente y efectiva.

Para lograr esto, nuestro WAAP ejecuta sus diferentes capas de módulos de reglas en la siguiente secuencia:

  1. Reglas de control de acceso: Todas las solicitudes se filtran mediante un conjunto estático de listas de permitir/denegar/acceder configuradas por el cliente que constan de las variables mencionadas anteriormente. El WAAP elimina cualquier solicitud que coincida con la lista de denegación, evitando que cualquier tráfico no deseado se procese aún más.

  2. Reglas de limitación de velocidad: Las solicitudes que pasan las reglas de control de acceso son seguidas por las reglas de limitación de velocidad, que rastrean la solicitud para cada cliente dentro de una ventana de tiempo especificada por la configuración. El WAAP elimina las solicitudes que exceden un umbral de tasa de solicitud en particular, reduciendo aún más los volúmenes de solicitudes de pasar al siguiente paso.

  3. Reglas del gestor de bots: Cada solicitud que llega a este paso es inspeccionada por nuestra plataforma ML para determinar si se basan en bots en una combinación de firmas de solicitudes y comportamientos. Cualquier solicitud de bot malicioso se puede mitigar aquí a través de varios medios, incluyendo desafío de navegador, respuesta personalizada o captcha. La mayoría de los ataques se realizan a través de clientes automatizados, lo que convierte al gestor de bots en una solución eficaz para mitigar estos ataques y reducir aún más el volumen de solicitudes que deben procesarse mediante módulos de reglas posteriores.

  4. Reglas personalizadas: En este paso, el WAAP inspecciona la solicitud utilizando varios filtros personalizados creados por los clientes para detectar y mitigar las solicitudes no deseadas. Esto puede incluir cualquier regla específica de la aplicación que los clientes puedan implementar en tiempo real para mitigar vulnerabilidades de día cero sin esperar a que se actualice el conjunto de reglas WAAP administrado. Esta es una herramienta invaluable para ganar visibilidad y control sobre ataques específicos. Debido a la especificidad de las reglas personalizadas, tienen prioridad sobre las reglas administradas por Edgio y procesarán las solicitudes antes de pasarlas a la capa final.

  5. Reglas administradas: Cualquier solicitud que llegue a esta etapa es procesada por las reglas Gestionadas 500+ en las categorías OWASP propias de Edgio, específicas de aplicaciones avanzadas y genéricas.

Figura 1: Flujo de trabajo de Edgio WAAP

El procesamiento de cada solicitud en secuencia (como se muestra en la Figura 1) garantiza que se realicen múltiples capas de filtrado. Esto nos ayuda a capturar los ataques que nuestros clientes están buscando (es decir, IP/países con lista baja, inundación de aplicaciones DDoS/HTTP, clientes automatizados y firmas de solicitudes personalizadas específicas) antes de que las solicitudes lleguen a las Reglas Gestionadas.

Sin embargo, esto es solo una parte de la historia de seguridad.

La efectividad de un WAAP no está determinada solo por su capacidad para mitigar ataques (verdaderos positivos), sino también por su capacidad para evitar que el tráfico legítimo sea bloqueado (falsos positivos). Revisemos cómo capturamos la mayoría de los ataques de aplicaciones mientras reducimos los falsos positivos.

Una inmersión más profunda en las reglas administradas de Edgio

Cuando una solicitud llega a las Reglas Gestionadas, es evaluada por nuestro propietario Edgio Ruleset de más de 500 reglas creadas para mitigar un amplio espectro de ataques de aplicaciones. Esto presenta una capa adicional de complejidad porque hay muchas categorías de reglas [es decir, las inyecciones SQL genéricas (SQLi), el scripting entre sitios (XSS) y las reglas de ejecución remota de código (RCE)] y las reglas específicas de WordPress, Joomla y Apache Struts. Se necesita una cuidadosa priorización para garantizar que se complementen entre sí para maximizar la precisión.

Al igual que con los módulos de reglas mencionados anteriormente, la clave es el orden de operaciones entre cada categoría del conjunto de reglas gestionadas.

Dentro de las Reglas Gestionadas, la solicitud es procesada por diferentes categorías de reglas en este orden: Reglas de propiedad de Edgio > Reglas avanzadas específicas de la aplicación > Reglas genéricas OWASP.

  1. Las reglas propietarias de Edgio y las reglas específicas de la aplicación buscan firmas asociadas con una vulnerabilidad específica de un tipo específico de aplicación. Estas reglas proporcionan cobertura para aplicaciones (por ejemplo, Apache Struts, WordPress, Joomla, Drupal, SharePoint, cPanel y más) y son muy precisos en la detección de ataques en estas aplicaciones. Diseñamos estas reglas para que se ejecuten en modo Firma (también conocido como binario), lo que significa que cualquier solicitud que desencadene estas reglas provoca una acción. Estas reglas proporcionan un enfoque más quirúrgico para hacer coincidir y filtrar vectores de ataque específicos a una aplicación; por lo tanto, son la primera capa del filtro Edgio Ruleset. Dado que las solicitudes que no coincidan con las reglas propias y específicas de la aplicación todavía pueden representar un riesgo para la aplicación del cliente, necesitamos otro enfoque para detectar posibles ataques en la siguiente fase.

  2. Las Reglas genéricas de OWASP dentro del Ruleset de Edgio buscan una combinación de firmas asociadas con diferentes categorías comunes de ataques (es decir, SQLi, XSS, RCE, violación de protocolo, inclusión de archivos locales (LFI), inclusión remota de archivos (RFI) y más). Estas reglas trabajan juntas para determinar si una solicitud exhibe una combinación de firmas que se ajustan a una categoría de ataque. Estas reglas genéricas se ejecutan en modo de puntuación de anomalías que permite a los clientes definir la sensibilidad de las reglas ajustando el umbral de puntuación de anomalías para controlar cuántas reglas deben activarse para que la solicitud se considere maliciosa. Cuanto más bajo sea el umbral de puntuación de anomalía, más sensible o estricto será el conjunto de reglas genéricas y más fácil será para una solicitud potencialmente maliciosa superar el umbral. Los clientes tienen la flexibilidad de ajustar la sensibilidad de su WAAP en función del tipo de aplicación y su tolerancia al riesgo. Las reglas genéricas de OWASP sirven como el objetivo final para las solicitudes que se ajustan a una característica de ataque particular, pero no necesariamente se ajustan a vulnerabilidades específicas de la aplicación.

Figura 2: Nuestras reglas administradas se ejecutan en una secuencia especialmente diseñada para maximizar la detección y minimizar los falsos positivos.

Otra característica importante que mejora la precisión de las reglas administradas es la personalización de las reglas. Cada una de las más de 500 reglas administradas se puede personalizar para ignorar parámetros específicos de solicitud (es decir, encabezado de solicitud, cookie, consulta y parámetros del cuerpo). Esto permite a los clientes eliminar rápidamente los falsos positivos utilizando una interfaz de usuario simple o API.

Poniendo todas las piezas juntas

Ahora has tomado el viaje de una solicitud HTTP a través de nuestro WAAP. Algo que ocurre miles de millones de veces al día dentro de cada servidor Edgio en los 300 puntos de presencia (POP) en todo el mundo, ya que nuestro WAAP de alto rendimiento se ejecuta de forma nativa en la misma pila que ejecuta nuestros servicios de entrega de contenido. Al principio de este blog, mencioné que tengo muchas preguntas sobre nuestro WAAP. Espero que ahora entiendan lo que lo diferencia de otras soluciones. Combinamos un orden inteligente de operaciones con los diversos módulos de reglas WAAP (desde ACL hasta limitador de velocidad hasta bots y reglas personalizadas), Reglas administradas (desde reglas específicas a reglas genéricas) y el modo de puntuación de firmas híbridas y anomalías para una seguridad que no impide el rendimiento.

Considere esta analogía: Diseñar y ensamblar componentes WAAP es como hacer una hamburguesa. No se trata solo de tener los ingredientes adecuados; se trata de combinarlos de la manera correcta para hacer una buena comida. Los mismos ingredientes juntos de manera diferente pueden afectar drásticamente el sabor y la experiencia del cliente.