Home Blogs Regole Edgio WAAP – creazione di un ordine fuori caos
Download
Applications
Media
Expert Service

Regole Edgio WAAP – creazione di un ordine fuori caos

Download
Share

About The Author

Picture of Richard Yew
Richard Yew
Richard Yew is an accomplished Senior Director of Product Management - Security at Edgio, bringing extensive expertise in security solutions, TLS protocols, CDN configuration, and developer services. With a career spanning various prominent tech companies like Yahoo and Verizon, Richard's wealth of knowledge and leadership in the field make him a valuable asset to Edgio and the tech industry.

Outline

Download
Share
La mia giornata è piena di domande da parte di clienti attuali e potenziali. A cui mi piace rispondere è ciò che rende le nostre applicazioni Web e la protezione API (WAAP) e i nostri set di regole di sicurezza così accurati. La precisione è fondamentale quando si considera l’attacco di nuovi vettori di attacco e vulnerabilità che si verificano negli ultimi anni. Infatti, la Cybersecurity and Infrastructure Security Agency (CISA) ha recentemente aggiunto 66 nuove vulnerabilità al suo catalogo delle vulnerabilità sfruttate note e i nuovi CVE sono cresciuti oltre il 25% a/a nel 2022. CISA non è l’unico preoccupato per la sicurezza e le prestazioni. Secondo un recente sondaggio, le aziende vogliono ridurre i falsi positivi, i falsi negativi, l’affaticamento degli avvisi e una migliore gestione della sicurezza. Cosa rende più efficaci le regole Edgio WAAP? Ad alto livello, ha a che fare con l’ordine speciale in cui eseguiamo le nostre regole WAAP e la nostra modalità ibrida di firma e punteggio delle anomalie con le regole gestite . Eseguiamo questi processi in pochi millisecondi tramite il nostro motore waflz interno per garantire la sicurezza senza sacrificare le prestazioni. Approfondiamo questo aspetto in maggior dettaglio.

Rimuovendo la cipolla

Prima di esaminare il funzionamento interno delle nostre regole gestite, esaminiamo i diversi livelli (gioco di parole previsto) delle protezioni nel nostro WAAP. Ogni livello del WAAP svolge un ruolo importante. Le informazioni riportate di seguito forniscono una panoramica delle sue funzioni.

Regole di controllo dell’accesso

Le regole di controllo degli accessi consentono di creare elenchi di autorizzazioni modulari, elenchi di denylist e elenchi di accesso con protezione positiva per controllare l’accesso ai siti protetti tramite indirizzo IP, proxy anonimo, paese, ASN, codice georegione, agente utente, cookie, referrer, URL, metodo di richiesta HTTP, tipo di contenuto, estensione file, dimensione file e intestazioni di richiesta.

Regole di limitazione della velocità

Le regole di limitazione della velocità limitano il flusso di richieste HTTP a un’applicazione protetta dal WAAP per prevenire il traffico DDoS dannoso o involontario delle applicazioni e impedire che i server delle applicazioni di un cliente vengano sovraccarichi di richieste da attacchi o picchi di traffico non pianificati.

Regole del bot Manager

Bot Manager rileva bot validi e dannosi. Fornisce diverse opzioni per mitigare l’automazione indesiderata o i bot dannosi e impedisce che raggiungano le vostre applicazioni. In questo modo, il sito viene protetto da bot dannosi che eseguono il credential stuffing, lo scraping dei contenuti, il carding, lo spamming dei moduli, l’avvio di attacchi DDoS e il compimento di frodi pubblicitarie.

Regole personalizzate

Le regole personalizzate mettono il nostro potente motore WAAP nelle vostre mani per creare regole di sicurezza personalizzate. Il traffico dannoso viene identificato utilizzando una combinazione di variabili (ad esempio, intestazioni di richiesta, corpo, query, metodo, URL, cookie, ecc.). Questo metodo offre una maggiore flessibilità per il rilevamento delle minacce e consente di filtrare le richieste dannose specifiche e di intervenire per mitigarle. L’identificazione personalizzata delle minacce, unita a test e distribuzione rapidi, consente di risolvere rapidamente le vulnerabilità a lungo termine e zero-day creando patch virtuali.

Regole gestite

Le regole gestite di Edgio identificano il traffico dannoso tramite un set di regole proprietario gestito da Edgio. Le regole gestite consistono in oltre 500 regole distribuite in tre categorie:
  1. Regole proprietarie Edgio.
  2. Regole avanzate specifiche per l’applicazione.
  3. Regole OWASP generiche.
In questo modo vengono raccolte in modo completo varie policy e regole di sicurezza per diverse categorie di attacchi e applicazioni. Quando si esegue una valutazione delle minacce, ogni regola gestita può essere personalizzata per evitare falsi positivi escludendo determinate variabili (ad esempio, cookie, intestazioni e parametri di richiesta/stringa di query). Come potete vedere, le nostre regole WAAP hanno molti livelli e all’interno di ogni livello potrebbero esserci da decine a centinaia di regole e condizioni che il nostro WAAP deve eseguire. Ogni regola presenta una probabilità di introdurre falsi positivi e di influire sulle prestazioni. La cosa più complicata è che Edgio WAAP fornisce funzionalità uniche per l’esecuzione in modalità WAAP doppio, in cui è possibile eseguire contemporaneamente due versioni delle configurazioni di sicurezza per il traffico di produzione per le regole di controllo degli accessi, le regole personalizzate e le regole gestite. Aggiungeremo ulteriori livelli di protezione man mano che continueremo a migliorare le nostre soluzioni di sicurezza. Il che solleva la domanda: In che modo possiamo garantire che il nostro WAAP elabori milioni di richieste in modo accurato ed efficiente nel caos di tutte queste funzionalità e regole?

Creazione ordine dal caos

Oltre a disporre di un potente motore waflz realizzato in casa progettato specificamente per scalare in un ambiente multi-tenant ad alte prestazioni, la chiave è creare un ordine corretto di operazioni per eseguire il WAAP in modo più efficiente ed efficace. A tale scopo, WAAP esegue i diversi livelli dei moduli di regole nella sequenza seguente:
  1. Regole di controllo dell’accesso: Tutte le richieste vengono filtrate da un set statico di elenchi di permessi/negati/accessi configurati dal cliente, costituito dalle variabili menzionate in precedenza. Il WAAP elimina qualsiasi richiesta corrispondente all’elenco di negazione, impedendo l’ulteriore elaborazione del traffico indesiderato.
  2. Regole di limitazione della velocità: Le richieste che passano le regole di controllo dell’accesso vengono quindi monitorate dalle regole di limitazione della velocità, che tengono traccia della richiesta per ciascun client entro un intervallo di tempo specificato dalla configurazione. Il WAAP interrompe le richieste che superano una determinata soglia di frequenza delle richieste, riducendo ulteriormente i volumi delle richieste dal passaggio successivo.
  3. Regole di bot Manager: Ogni richiesta che raggiunge questo passaggio viene esaminata dalla nostra piattaforma ML per determinare se si tratta di bot basati su una combinazione di firme e comportamenti delle richieste. Le richieste di bot dannosi possono essere mitigate tramite vari mezzi, tra cui la sfida del browser, la risposta personalizzata o il captcha. La maggior parte degli attacchi avviene tramite client automatizzati, rendendo il bot manager una soluzione efficace per mitigare questi attacchi e ridurre ulteriormente il volume di richieste che devono essere elaborate dai moduli di regole successivi.
  4. Regole personalizzate: In questa fase, il WAAP ispeziona la richiesta utilizzando vari filtri personalizzati creati dai clienti per rilevare e mitigare le richieste indesiderate. Ciò può includere qualsiasi regola specifica dell’applicazione che i clienti possono implementare in tempo reale per mitigare le vulnerabilità zero-day senza attendere l’aggiornamento del set di regole WAAP gestito. Si tratta di uno strumento prezioso per ottenere visibilità e controllo su attacchi specifici. A causa della specificità delle regole personalizzate, esse hanno la precedenza sulle regole gestite da Edgio ed elaborano le richieste prima di passarle al livello finale.
  5. Regole gestite: Qualsiasi richiesta che raggiunga questa fase viene elaborata dalle regole Managed 500+ in categorie OWASP generiche, specifiche per applicazioni avanzate e proprietarie di Edgio.

L’elaborazione di ogni richiesta in sequenza (come mostrato nella Figura 1) garantisce l’esecuzione di più livelli di filtraggio. Questo ci aiuta a catturare gli attacchi che i nostri clienti stanno cercando (ad esempio, IP/Paesi denylist, flood DDoS/HTTP delle applicazioni, client automatizzati e firme di richieste personalizzate specifiche) prima che le richieste raggiungano le regole gestite.

Tuttavia, questo fa solo parte della storia della sicurezza.

L’efficacia di un WAAP non è determinata solo dalla sua capacità di mitigare gli attacchi (veri positivi), ma anche dalla sua capacità di impedire il blocco del traffico legittimo (falsi positivi). Esaminiamo in che modo riusciamo a catturare la maggior parte degli attacchi alle applicazioni riducendo al contempo i falsi positivi.

Approfondimento sulle regole gestite Edgio

Quando una richiesta raggiunge le regole gestite, viene valutata dal nostro Edgio Ruleset proprietario di oltre 500 regole create per mitigare un ampio spettro di attacchi alle applicazioni. Ciò presenta un ulteriore livello di complessità perché esistono così tante categorie di regole [ad esempio, le regole generiche SQL Injections (SQLi), XSS (Cross-Site Scripting) e RCE (Remote Code Execution)] e le regole specifiche di WordPress, Joomla e Apache Struts. È necessaria un’attenta definizione delle priorità per garantire che si completino reciprocamente e massimizzino la precisione.

Come per i moduli di regole menzionati in precedenza, la chiave è l’ordine delle operazioni tra ciascuna categoria del set di regole gestito.

All’interno delle regole gestite, la richiesta viene elaborata da diverse categorie di regole in questo ordine: Regole proprietarie Edgio >>regole specifiche dell’applicazione avanzate regole OWASP generiche.

  1. Le regole proprietarie Edgio e le regole specifiche dell’applicazione cercano le firme associate a una vulnerabilità specifica di un tipo specifico di applicazione. Queste regole forniscono copertura per le applicazioni (ad es. Apache Struts, WordPress, Joomla, Drupal, SharePoint, cPanel e altri) e sono estremamente accurate nel rilevare gli attacchi a queste applicazioni. Queste regole sono state progettate per essere eseguite in modalità Signature (nota anche come binaria), il che significa che qualsiasi richiesta che attiva queste regole causa un’azione. Queste regole forniscono un approccio più chirurgico per abbinare e filtrare specifici vettori di attacco a un’applicazione; quindi, sono il primo livello del filtro Edgio Ruleset. Poiché le richieste che non corrispondono a regole proprietarie e specifiche per le app possono ancora presentare un rischio per l’applicazione del cliente, abbiamo bisogno di un altro approccio per rilevare potenziali attacchi nella fase successiva.

  2. Le regole generiche OWASP all’interno del set di regole Edgio cercano una combinazione di firme associate a diverse categorie comuni di attacchi (ad esempio, SQLi, XSS, RCE, violazione di protocollo, inclusione di file locali (LFI), inclusione di file remoti (RFI) e altro ancora). Queste regole lavorano insieme per determinare se una richiesta presenta una combinazione di firme che si adattano a una categoria di attacco. Queste regole generiche vengono eseguite in modalità di valutazione delle anomalie che consente ai clienti di definire la sensibilità delle regole regolando la soglia del punteggio delle anomalie per controllare quante regole devono essere attivate affinché la richiesta venga considerata dannosa. Più bassa è la soglia del punteggio di anomalia, più sensibile o più rigoroso diventa il set di regole generico e più facile per una richiesta potenzialmente dannosa superare la soglia. I clienti hanno la flessibilità di regolare la sensibilità del proprio WAAP in base al tipo di applicazione e alla tolleranza al rischio. Le regole generiche OWASP fungono da catch-all finale per le richieste che si adattano a una particolare caratteristica di attacco, ma non necessariamente si adattano a vulnerabilità specifiche dell’applicazione.

WAAP/Dual WAF Diagram

Figura 1: Flusso di lavoro Edgio WAAP

Figura 2: Le nostre regole gestite vengono eseguite in una sequenza appositamente progettata per massimizzare il rilevamento e ridurre al minimo i falsi positivi.

Un’altra caratteristica importante che migliora la precisione delle regole gestite è la personalizzabilità delle regole. Ciascuna delle oltre 500 regole gestite può essere personalizzata per ignorare specifici parametri di richiesta (ad esempio, intestazione richiesta, cookie, query e parametri corpo). Ciò consente ai clienti di rimuovere rapidamente i falsi positivi utilizzando una semplice interfaccia utente o API.

Mettere insieme tutti i pezzi

Ora hai intrapreso il viaggio di una richiesta HTTP attraverso il nostro WAAP. Qualcosa che si verifica miliardi di volte al giorno in ogni server Edgio in tutti i 300 punti di presenza (POP) in tutto il mondo, poiché il nostro WAAP ad alte prestazioni viene eseguito in modo nativo sullo stesso stack che esegue i nostri servizi di distribuzione dei contenuti. All’inizio di questo blog, ho detto che ho molte domande sul nostro WAAP. Spero che ora capiate cosa la distingue dalle altre soluzioni. Combiniamo un ordine intelligente delle operazioni con i vari moduli di regole WAAP (da ACL a Rate Limiting a bot e regole personalizzate), regole gestite (da regole specifiche a regole generiche) e la modalità ibrida di firma e punteggio delle anomalie per la sicurezza che non ostacola le prestazioni.

Considerate questa analogia: Progettare e assemblare componenti WAAP è come creare un hamburger. Non si tratta solo di avere gli ingredienti giusti; si tratta di combinarli nel modo giusto per fare un ottimo pasto. Gli stessi ingredienti messi insieme in modo diverso possono influire drasticamente sul gusto e sull’esperienza del cliente.

Tags

Just For You