Meu dia está cheio de perguntas de clientes atuais e potenciais. Um que eu adoro responder é o que torna nossa aplicação web e proteção de API (WAAP) e nossos conjuntos de regras de segurança tão precisos. A precisão é crítica ao considerar o ataque de novos vetores de ataque e vulnerabilidades que ocorrem nos últimos anos. Na verdade, a Agência de Segurança de Cibersegurança e Infraestrutura (CISA) recentemente adicionou 66 novas vulnerabilidades ao seu conhecido Catálogo de Vulnerabilidades Exploradas, e novos CVEs cresceram mais de 25% em 2022. A CISA não é a única preocupada com segurança e desempenho. De acordo com uma pesquisa recente, as empresas querem uma redução em falsos positivos, falsos negativos, fadiga de alerta e gerenciamento de segurança aprimorado.
Então, o que torna as regras do Edgio WAAP mais eficazes? Em um alto nível, tem a ver com a ordem especial em que executamos nossas regras WAAP e nosso modo híbrido de assinatura e pontuação de anomalia com as regras gerenciadas. Realizamos esses processos em milissegundos através do nosso motor de waflz caseiro para fornecer segurança sem sacrificar o desempenho. Vamos mergulhar nisso com mais detalhes.
Descascando de volta a cebola
Antes de analisarmos o funcionamento interno de nossas Regras Gerenciadas, vamos olhar para as diferentes camadas (pun pretendidas) das proteções em nosso WAAP. Cada camada do WAAP desempenha um papel importante. As informações abaixo fornecem uma visão geral de suas funções.
Regras de controle de acesso
As regras de controle de acesso fornecem a capacidade de criar allowlists modulares, denylists e listas de acesso de segurança positiva para controlar o acesso a sites protegidos por endereço IP, proxy anônimo, país, ASN, código de geo-região, agente do usuário, cookie, referenciador, URL, método de solicitação HTTP, tipo de conteúdo, extensão de arquivo, tamanho de arquivo e cabeçalhos de solicitação.
Regras Limitantes de Taxa
As regras de limitação de taxa restringem o fluxo de solicitações HTTP para um aplicativo protegido pelo WAAP para impedir o tráfego DDoS de aplicativos mal-intencionados ou não intencionais e impedir que os servidores de aplicativos de um cliente sejam sobrecarregados com solicitações de ataques ou picos de tráfego não planejados.
Regras do Bot Manager
Bot manager deteta bots bons e maus. Ele fornece várias opções para mitigar a automação indesejada ou bots ruins e impede que eles alcancem seus aplicativos. Isso protege o seu site contra bots maliciosos que executam o preenchimento de credenciais, raspagem de conteúdo, carding, spamming de formulários, lançamento de ataques DDoS, e cometer fraude de anúncios.
Regras personalizadas
Regras personalizadas Coloque nosso poderoso mecanismo WAAP em suas mãos para criar suas próprias regras de segurança. O tráfego malicioso é identificado usando uma combinação de variáveis (i.e., cabeçalhos de solicitação, corpo, consulta, método, URL, cookie, etc.). Esse método oferece flexibilidade adicional para deteção de ameaças e permite filtrar solicitações maliciosas específicas e tomar medidas para mitigá-las. A identificação personalizada de ameaças, combinada com testes e implantação rápidos, permite que você aborde rapidamente vulnerabilidades de longo prazo e de dia zero, criando patches virtuais.
Regras geridas
As regras gerenciadas do Edgio identificam o tráfego malicioso através de um conjunto de regras proprietário gerenciado pelo Edgio.
As regras gerenciadas consistem em mais de 500 regras distribuídas em três categorias:
-
Regras proprietárias da Edgio.
-
Regras avançadas específicas de aplicação.
-
Regras gerais do OWASP.
Isso coleta de forma abrangente várias políticas e regras de segurança para diferentes categorias de ataque e aplicativos. Ao realizar uma avaliação de ameaças, cada regra gerenciada pode ser personalizada para evitar falsos positivos, excluindo determinadas variáveis (ou seja, cookies, cabeçalhos e parâmetro de solicitação/cadeia de consulta).
Como você pode ver, nossas regras WAAP têm muitas camadas, e dentro de cada camada, pode haver de dezenas a centenas de regras e condições que nosso WAAP tem que executar. Cada regra apresenta uma probabilidade de introdução de falsos positivos e impactos no desempenho. Complicando o assunto é que o Edgio WAAP oferece habilidades únicas para ser executado no modo Dual WAAP, onde você pode executar duas versões das configurações de segurança para seu tráfego de produção simultaneamente para regras de controle de acesso, regras personalizadas e regras gerenciadas. Adicionaremos camadas de proteção adicionais à medida que continuamos a melhorar nossas soluções de segurança. O que levanta a questão, como podemos garantir que nosso WAAP processe milhões de solicitações com precisão e eficiência em meio ao caos de todas essas capacidades e regras?
Criando Ordem Fora do Caos
Além de ter um poderoso motor de waflz caseiro projetado especificamente para escalar em um ambiente multi-tenant de alto desempenho, a chave é criar uma ordem adequada de operações para executar o WAAP de forma mais eficiente e eficaz.
Para isso, nosso WAAP executa suas diferentes camadas de módulos de regras na seguinte sequência:
-
Regras de controle de acesso: Todas as solicitações são filtradas por um conjunto estático de listas de permissão/negação/acesso configuradas pelo cliente, consistindo nas variáveis mencionadas anteriormente. O WAAP deixa cair qualquer solicitação que corresponda à lista de negação, impedindo que qualquer tráfego indesejado seja processado ainda mais.
-
Regras de Limitação de Taxa: As solicitações que passam nas regras de controle de acesso são rastreadas pelas regras de limitação de taxa, que rastreiam a solicitação para cada cliente dentro de uma janela de tempo especificada pela configuração. O WAAP reduz solicitações que excedem um limite de taxa de solicitação específico, reduzindo ainda mais os volumes de solicitação de prosseguir para a próxima etapa.
-
Regras do Bot Manager: Cada solicitação que chega a essa etapa é inspecionada pela nossa PLATAFORMA ML para determinar se eles são baseados em uma combinação de assinaturas e comportamentos de solicitação. Qualquer solicitação de bot malicioso pode ser atenuada aqui por vários meios, incluindo desafio do navegador, resposta personalizada ou captcha. A maioria dos ataques é feita através de clientes automatizados, tornando o bot manager uma solução eficaz para mitigar esses ataques e reduzir ainda mais o volume de solicitações que precisam ser processadas por módulos de regras subsequentes.
-
Regras personalizadas: Nesta etapa, o WAAP inspeciona a solicitação usando vários filtros personalizados criados pelos clientes para detetar e mitigar solicitações indesejadas. Isso pode incluir todas as regras específicas do aplicativo que os clientes podem implementar em tempo real para mitigar vulnerabilidades de dia zero sem esperar que o conjunto de regras do WAAP gerenciado seja atualizado. Esta é uma ferramenta inestimável para ganhar visibilidade e controle sobre ataques específicos. Devido à especificidade das regras personalizadas, elas têm precedência sobre as regras gerenciadas pelo Edgio e processarão as solicitações antes de passá-las para a camada final.
-
Regras Gerenciadas: Qualquer solicitação que chegue a esse estágio é processada pelas mais de 500 regras gerenciadas em todas as categorias OWASP proprietárias, específicas avançadas de aplicativos e genéricas do Edgio.
Figura 1: Fluxo de trabalho Edgio WAAP
O processamento de cada solicitação em sequência (conforme mostrado na Figura 1) garante que várias camadas de filtragem sejam executadas. Isso nos ajuda a capturar os ataques que nossos clientes estão procurando (ou seja, IP/países denylisted, inundação de aplicativos DDoS/HTTP, clientes automatizados e assinaturas de solicitações personalizadas específicas) antes que as solicitações atinjam as regras gerenciadas.
No entanto, isso é apenas parte da história de segurança.
A eficácia de um WAAP não é determinada apenas pela sua capacidade de mitigar ataques (verdadeiros positivos), mas também pela sua capacidade de impedir que o tráfego legítimo seja bloqueado (falsos positivos). Vamos analisar como capturamos a maioria dos ataques de aplicativos, reduzindo falsos positivos.
Um mergulho mais profundo em Edgio Managed Rules
Quando uma solicitação atinge as regras gerenciadas, ela é avaliada pelo nosso Edgio Ruleset proprietário de mais de 500 regras criadas para mitigar um amplo espetro de ataques de aplicativos. Isso apresenta uma camada adicional de complexidade porque existem tantas categorias de regras [i.e., as injeções genéricas de SQL (SQLi), cross-site scripting (XSS) e regras de execução remota de código (RCE)] e as regras específicas do WordPress, Joomla e Apache Struts. É necessária uma priorização cuidadosa para garantir que se complementam para maximizar a precisão.
Tal como acontece com os módulos de regras anteriormente mencionados, a chave é a ordem das operações entre cada categoria da Régua Gerenciada.
Dentro das Regras Gerenciadas, a solicitação é processada por diferentes categorias de regras nesta ordem: Regras proprietárias do Edgio > Regras específicas avançadas Regras > OWASP genéricas.
-
As regras proprietárias do Edgio e as regras específicas do aplicativo procuram assinaturas associadas a uma vulnerabilidade específica de um tipo específico de aplicativo. Essas regras fornecem cobertura para aplicativos (ou seja, Apache Struts, WordPress, Joomla, Drupal, SharePoint, cPanel e muito mais) e são altamente precisos na deteção de ataques a essas aplicações. Nós projetamos essas regras para serem executadas no modo Signature (também conhecido como binary), o que significa que qualquer solicitação que aciona essas regras causa uma ação. Essas regras fornecem uma abordagem mais cirúrgica para combinar e filtrar vetores de ataque específicos para uma aplicação; portanto, eles são a primeira camada do filtro Edgio Ruleset. Uma vez que as solicitações que não correspondem a regras proprietárias e específicas do aplicativo ainda podem representar um risco para o aplicativo do cliente, precisamos de outra abordagem para detetar potenciais ataques na próxima fase.
-
As regras gerais do OWASP dentro do Edgio Ruleset procuram uma combinação de assinaturas associadas a diferentes categorias comuns de ataques (isto é, SQLi, XSS, RCE, violação de protocolo, inclusão de arquivos locais (LFI), inclusão de arquivos remotos (RFI) e muito mais). Essas regras trabalham juntas para determinar se uma solicitação exibe uma combinação de assinaturas que se encaixam em uma categoria de ataque. Essas regras genéricas são executadas no modo de pontuação de anomalias que permite que os clientes definam a sensibilidade da regra ajustando o limite de pontuação de anomalia para controlar quantas regras precisam ser acionadas para que a solicitação seja considerada maliciosa. Quanto menor for o limite de pontuação da anomalia, mais sensível ou mais rigoroso o conjunto de regras genéricas se torna e mais fácil para uma solicitação potencialmente maliciosa exceder o limite. Os clientes têm a flexibilidade de ajustar a sensibilidade de seu WAAP com base no tipo de aplicação e sua tolerância ao risco. As regras genéricas do OWASP servem como a captura final para solicitações que se encaixam em uma caraterística de ataque específica, mas não necessariamente se encaixam em vulnerabilidades específicas do aplicativo.
Figura 2: Nossas regras gerenciadas são executadas em uma sequência especialmente projetada para maximizar a deteção e minimizar falsos positivos.
Outra caraterística importante que aumenta a precisão das regras gerenciadas é a personalização das regras. Cada uma das mais de 500 regras gerenciadas pode ser personalizada para ignorar parâmetros específicos de solicitação (ou seja, cabeçalho de solicitação, cookie, consulta e parâmetros de corpo). Isso permite que os clientes removam rapidamente falsos positivos usando uma interface de usuário ou API simples.
Colocando todas as peças juntas
Agora você fez a jornada de uma solicitação HTTP através do nosso WAAP. Algo que ocorre bilhões de vezes diariamente em cada servidor Edgio em todos os 300 pontos de presença (pop) em todo o mundo, pois nosso WAAP de alto desempenho é executado nativamente na mesma pilha que executa nossos serviços de entrega de conteúdo. No início deste blog, mencionei que recebo muitas perguntas sobre o nosso WAAP. Espero que você entenda agora o que o diferencia de outras soluções. Combinamos uma ordem inteligente de operações com os vários módulos de regras WAAP (da ACL à limitação de taxa a regras de bot e personalizadas), Regras gerenciadas (de regras específicas a genéricas) e o modo híbrido de assinatura e pontuação de anomalia para segurança que não impede o desempenho.
Considere esta analogia: Projetar e montar componentes WAAP é como fazer um hambúrguer. Não se trata apenas de ter os ingredientes certos; trata-se de combiná-los da maneira certa para fazer uma ótima refeição. Os mesmos ingredientes reunidos de forma diferente podem afetar drasticamente o sabor e a experiência do cliente.
