En el nostre material anterior sobre temes de núvol, nosaltres , com protegir els recursos informàtics al núvol públic i per què els antivirus tradicionals no són del tot adequats per a aquests propòsits. En aquest post, continuarem el tema de la seguretat al núvol i parlarem de l'evolució del WAF i què és millor triar: maquinari, programari o núvol.
Què és WAF
Més del 75% dels atacs de pirates informàtics estan dirigits a vulnerabilitats d'aplicacions web i llocs web: aquests atacs solen ser invisibles per a la infraestructura de seguretat de la informació i els serveis de seguretat de la informació. Les vulnerabilitats de les aplicacions web comporten, al seu torn, riscos de compromís i frau dels comptes d'usuari i dades personals, contrasenyes i números de targetes de crèdit. A més, les vulnerabilitats del lloc web serveixen com a punt d'entrada per als atacants a la xarxa corporativa.
Web Application Firewall (WAF) és una pantalla protectora que bloqueja els atacs a aplicacions web: injecció SQL, cross-site scripting, execució remota de codi, força bruta i bypass d'autorització. Inclou atacs que exploten vulnerabilitats de dia zero. Els tallafocs d'aplicacions proporcionen protecció mitjançant la supervisió del contingut de la pàgina web, inclosos HTML, DHTML i CSS, i filtrant les sol·licituds HTTP/HTTPS potencialment malicioses.
Quines van ser les primeres decisions?
Els primers intents de crear un tallafoc d'aplicacions web es van fer a principis dels anys 90. Se sap que almenys tres enginyers han treballat en aquest camp. El primer és el professor d'informàtica Gene Spafford de la Universitat de Purdue. Va descriure l'arquitectura d'un tallafoc d'aplicació proxy i el va publicar el 1991 al llibre .
El segon i el tercer van ser els especialistes en seguretat de la informació William Cheswick i Marcus Ranum de Bell Labs. Van desenvolupar un dels primers prototips de tallafocs d'aplicacions. Va ser distribuït per DEC: el producte es va llançar amb el nom SEAL (Secure External Access Link).
Però SEAL no era una solució WAF completa. Era un tallafoc de xarxa clàssic amb una funcionalitat avançada: la capacitat de bloquejar atacs a FTP i RSH. Per aquest motiu, la primera solució WAF avui en dia es considera producte de Perfecto Technologies (més tard Sanctum). El 1999 ella Sistema AppShield. En aquell moment, Perfecto Technologies desenvolupava solucions de seguretat de la informació per al comerç electrònic i les botigues en línia es van convertir en el públic objectiu del seu nou producte. AppShield va poder analitzar les sol·licituds HTTP i els atacs bloquejats basant-se en polítiques de seguretat de la informació dinàmica.
Gairebé al mateix temps que AppShield (el 2002), va aparèixer el primer WAF de codi obert. Es va convertir en . Va ser creat amb l'objectiu de popularitzar les tecnologies WAF i encara compta amb el suport de la comunitat informàtica (aquí el teniu ). ModSecurity bloqueja els atacs a aplicacions basats en un conjunt estàndard d'expressions regulars (signatures) - eines per comprovar les sol·licituds basades en patrons - .
Com a resultat, els desenvolupadors van aconseguir el seu objectiu: van començar a aparèixer noves solucions WAF al mercat, incloses les construïdes sobre la base de ModSecurity.
Tres generacions ja són història
És habitual distingir tres generacions de sistemes WAF, que han anat evolucionant amb el desenvolupament de la tecnologia.
Primera generació. Treballa amb expressions regulars (o gramàtiques). Això inclou ModSecurity. El proveïdor del sistema estudia els tipus d'atac a les aplicacions i genera patrons que descriuen peticions legítimes i potencialment malicioses. WAF comprova aquestes llistes i decideix què fer en una situació particular: bloquejar el trànsit o no.
Un exemple de detecció basada en expressions regulars és el projecte ja esmentat codi obert. Un altre exemple - , que també és de codi obert. Els sistemes amb expressions regulars tenen una sèrie de desavantatges, en particular, quan es descobreix una nova vulnerabilitat, l'administrador ha de crear regles addicionals manualment. En el cas d'una infraestructura informàtica a gran escala, pot haver-hi diversos milers de regles. Gestionar tantes expressions regulars és bastant difícil, sense oblidar el fet que comprovar-les pot reduir el rendiment de la xarxa.
Les expressions regulars també tenen una taxa de falsos positius força alta. El famós lingüista Noam Chomsky va proposar una classificació de les gramàtiques en la qual les dividia en quatre nivells condicionals de complexitat. Segons aquesta classificació, les expressions regulars només poden descriure regles de tallafocs que no impliquin desviacions del patró. Això vol dir que els atacants poden "enganyar" fàcilment el WAF de primera generació. Un mètode per combatre-ho és afegir caràcters especials a les sol·licituds d'aplicació que no afecten la lògica de les dades malicioses, però infringeixen la regla de signatura.
Segona generació. Per evitar els problemes de rendiment i precisió dels WAF, es van desenvolupar tallafocs d'aplicacions de segona generació. Ara tenen analitzadors que s'encarreguen d'identificar tipus d'atacs estrictament definits (en HTML, JS, etc.). Aquests analitzadors funcionen amb testimonis especials que descriuen consultes (per exemple, variable, cadena, desconegut, nombre). Les seqüències de testimonis potencialment malicioses es col·loquen en una llista separada, que el sistema WAF comprova regularment. Aquest enfocament es va mostrar per primera vegada a la conferència Black Hat 2012 en forma de C/C++ , que permet detectar injeccions SQL.
En comparació amb els WAF de primera generació, els analitzadors especialitzats poden ser més ràpids. Tanmateix, no van resoldre les dificultats associades a la configuració manual del sistema quan apareixen nous atacs maliciosos.
Tercera generació. L'evolució de la lògica de detecció de tercera generació consisteix en l'ús de mètodes d'aprenentatge automàtic que permeten apropar al màxim la gramàtica de detecció a la gramàtica SQL/HTML/JS real dels sistemes protegits. Aquesta lògica de detecció és capaç d'adaptar una màquina de Turing per cobrir gramàtiques enumerables recursivament. A més, anteriorment la tasca de crear una màquina de Turing adaptable era irresoluble fins que es van publicar els primers estudis de màquines de Turing neuronals.
L'aprenentatge automàtic ofereix la capacitat única d'adaptar qualsevol gramàtica per cobrir qualsevol tipus d'atac sense crear manualment llistes de signatures tal com es requereix en la detecció de primera generació i sense desenvolupar nous tokenitzadors/analitzadors per a nous tipus d'atac com Memcached, Redis, Cassandra, injeccions SSRF. , tal com exigeix la metodologia de segona generació.
Combinant les tres generacions de lògica de detecció, podem dibuixar un nou diagrama en què la tercera generació de detecció està representada pel contorn vermell (figura 3). Aquesta generació inclou una de les solucions que estem implementant al núvol juntament amb Onsek, el desenvolupador de la plataforma de protecció adaptativa d'aplicacions web i l'API Wallarm.
La lògica de detecció ara utilitza la retroalimentació de l'aplicació per autoajustar-se. En l'aprenentatge automàtic, aquest bucle de retroalimentació s'anomena "reforç". Normalment, hi ha un o més tipus d'aquest reforç:
- Anàlisi del comportament de resposta de l'aplicació (passiu)
- Escaneig/fuzzer (actiu)
- Informeu de fitxers/procediments d'interceptor/trampes (després del fet)
- Manual (definit pel supervisor)
Com a resultat, la lògica de detecció de tercera generació també aborda l'important problema de la precisió. Ara és possible no només evitar falsos positius i falsos negatius, sinó també detectar veritables negatius vàlids, com ara la detecció de l'ús d'elements d'ordres SQL al tauler de control, càrrega de plantilles de pàgines web, sol·licituds AJAX relacionades amb errors de JavaScript i altres.
A continuació, considerarem les capacitats tecnològiques de diverses opcions d'implementació de WAF.
Maquinari, programari o núvol: què triar?
Una de les opcions per implementar tallafocs d'aplicacions és una solució de maquinari. Aquests sistemes són dispositius informàtics especialitzats que una empresa instal·la localment al seu centre de dades. Però en aquest cas, heu d'adquirir el vostre propi equip i pagar diners als integradors per configurar-lo i depurar-lo (si l'empresa no té el seu propi departament informàtic). Al mateix temps, qualsevol equip queda obsolet i es torna inutilitzable, de manera que els clients es veuen obligats a pressupostar les actualitzacions de maquinari.
Una altra opció per desplegar un WAF és una implementació de programari. La solució s'instal·la com a complement per a algun programari (per exemple, ModSecurity està configurat a sobre d'Apache) i s'executa al mateix servidor amb ell. Per regla general, aquestes solucions es poden implementar tant en un servidor físic com al núvol. El seu desavantatge és l'escalabilitat limitada i el suport del proveïdor.
La tercera opció és configurar un WAF des del núvol. Aquestes solucions les proporcionen proveïdors de núvol com a servei de subscripció. L'empresa no necessita comprar i configurar maquinari especialitzat; aquestes tasques recauen sobre les espatlles del proveïdor de serveis. Un punt important és que un WAF al núvol modern no implica la migració de recursos a la plataforma del proveïdor. El lloc es pot desplegar a qualsevol lloc, fins i tot a les instal·lacions.
Explicarem més per què ara la gent mira cada cop més cap al WAF al núvol.
Què pot fer WAF al núvol
Pel que fa a les capacitats tecnològiques:
- El proveïdor és responsable de les actualitzacions. WAF es proporciona mitjançant subscripció, de manera que el proveïdor de serveis supervisa la rellevància de les actualitzacions i les llicències. Les actualitzacions no només afecten al programari, sinó també al maquinari. El proveïdor actualitza el parc de servidors i el manté. També és responsable de l'equilibri de càrrega i la redundància. Si el servidor WAF falla, el trànsit es redirigeix immediatament a una altra màquina. La distribució racional del trànsit us permet evitar situacions en què el tallafoc entra en mode d'obertura fallida: no pot fer front a la càrrega i deixa de filtrar les sol·licituds.
- Pedaç virtual. Els pedaços virtuals restringeixen l'accés a parts compromeses de l'aplicació fins que el desenvolupador tanca la vulnerabilitat. Com a resultat, el client del proveïdor del núvol té l'oportunitat d'esperar amb calma fins que el proveïdor d'aquest o aquell programari publiqui "pegats" oficials. Fer-ho el més aviat possible és una prioritat per al proveïdor de programari. Per exemple, a la plataforma Wallarm, un mòdul de programari independent és responsable de l'aplicació de pedaços virtuals. L'administrador pot afegir expressions regulars personalitzades per bloquejar sol·licituds malicioses. El sistema permet marcar algunes sol·licituds amb la marca "Dades confidencials". Aleshores, els seus paràmetres s'emmascaren i en cap cas es transmeten fora de l'àrea de treball del tallafoc.
- Escàner de perímetres i vulnerabilitats integrat. Això us permet determinar de manera independent els límits de la xarxa de la infraestructura informàtica mitjançant dades de consultes DNS i el protocol WHOIS. Després, WAF analitza automàticament els serveis que s'executen dins del perímetre (realitza l'exploració de ports). El tallafoc és capaç de detectar tots els tipus de vulnerabilitats habituals -SQLi, XSS, XXE, etc.- i d'identificar errors en la configuració del programari, per exemple, accés no autoritzat als repositoris Git i BitBucket i trucades anònimes a Elasticsearch, Redis, MongoDB.
- Els atacs són controlats pels recursos del núvol. Per regla general, els proveïdors de núvol tenen grans quantitats de potència informàtica. Això us permet analitzar les amenaces amb gran precisió i velocitat. Al núvol es desplega un clúster de nodes de filtre, per on passa tot el trànsit. Aquests nodes bloquegen els atacs a aplicacions web i envien estadístiques al Centre d'Analytics. Utilitza algorismes d'aprenentatge automàtic per actualitzar les regles de bloqueig de totes les aplicacions protegides. La implementació d'aquest esquema es mostra a la Fig. 4. Aquestes regles de seguretat personalitzades minimitzen el nombre d'alarmes de tallafoc falses.
Ara una mica sobre les característiques dels WAF al núvol pel que fa a problemes organitzatius i gestió:
- Transició a OpEx. En el cas dels WAF al núvol, el cost d'implementació serà zero, ja que tot el maquinari i les llicències ja han estat pagats pel proveïdor; el pagament del servei es fa per subscripció.
- Diferents plans tarifaris. L'usuari del servei al núvol pot activar o desactivar opcions addicionals ràpidament. Les funcions es gestionen des d'un únic panell de control, que també és segur. S'hi accedeix mitjançant HTTPS, a més hi ha un mecanisme d'autenticació de dos factors basat en el protocol TOTP (Algoritme de contrasenya única basat en el temps).
- Connexió mitjançant DNS. Podeu canviar el DNS vosaltres mateixos i configurar l'encaminament de la xarxa. Per resoldre aquests problemes no cal reclutar i formar especialistes individuals. Per regla general, l'assistència tècnica del proveïdor pot ajudar amb la configuració.
Les tecnologies WAF han evolucionat des de simples tallafocs amb regles generals fins a sistemes de protecció complexos amb algorismes d'aprenentatge automàtic. Els tallafocs d'aplicacions ofereixen ara una àmplia gamma de funcions que eren difícils d'implementar als anys 90. En molts aspectes, l'aparició de noves funcionalitats va ser possible gràcies a les tecnologies al núvol. Les solucions WAF i els seus components continuen evolucionant. Igual que altres àrees de seguretat de la informació.
El text va ser preparat per Alexander Karpuzikov, gerent de desenvolupament de productes de seguretat de la informació del proveïdor de núvol #CloudMTS.
Font: www.habr.com