No noso material anterior sobre temas de nube, nós , como protexer os recursos informáticos na nube pública e por que os antivirus tradicionais non son totalmente axeitados para estes fins. Neste post, continuaremos co tema da seguridade na nube e falaremos da evolución do WAF e do que é mellor escoller: hardware, software ou nube.
O que é WAF
Máis do 75% dos ataques de hackers están dirixidos a vulnerabilidades de aplicacións web e sitios web: estes ataques adoitan ser invisibles para a infraestrutura de seguridade da información e os servizos de seguridade da información. As vulnerabilidades nas aplicacións web comportan, á súa vez, riscos de compromiso e fraude das contas dos usuarios e dos datos persoais, contrasinais e números de tarxetas de crédito. Ademais, as vulnerabilidades do sitio web serven como punto de entrada para os atacantes na rede corporativa.
Web Application Firewall (WAF) é unha pantalla protectora que bloquea ataques a aplicacións web: inxección SQL, cross-site scripting, execución remota de código, forza bruta e bypass de autorización. Incluíndo ataques que explotan vulnerabilidades de día cero. Os cortalumes de aplicacións proporcionan protección supervisando o contido da páxina web, incluídos HTML, DHTML e CSS, e filtrando solicitudes HTTP/HTTPS potencialmente maliciosas.
Cales foron as primeiras decisións?
Os primeiros intentos de crear un Firewall de aplicacións web fixéronse a principios dos anos 90. Sábese que polo menos tres enxeñeiros traballaron neste campo. O primeiro é o profesor de informática Gene Spafford da Universidade de Purdue. Describiu a arquitectura dun firewall de aplicacións proxy e publicouno en 1991 no libro .
O segundo e o terceiro foron os especialistas en seguridade da información William Cheswick e Marcus Ranum de Bell Labs. Desenvolveron un dos primeiros prototipos de firewall de aplicacións. Foi distribuído por DEC - o produto foi lanzado baixo o nome SEAL (Secure External Access Link).
Pero SEAL non era unha solución WAF completa. Era un firewall de rede clásico con funcións avanzadas: a capacidade de bloquear ataques a FTP e RSH. Por este motivo, a primeira solución WAF hoxe considérase produto de Perfecto Technologies (máis tarde Sanctum). En 1999 ela Sistema AppShield. Nese momento, Perfecto Technologies estaba a desenvolver solucións de seguridade da información para o comercio electrónico, e as tendas en liña convertéronse no público obxectivo do seu novo produto. AppShield puido analizar as solicitudes HTTP e os ataques bloqueados en función das políticas de seguridade da información dinámicas.
Case ao mesmo tempo que AppShield (en 2002), apareceu o primeiro WAF de código aberto. El converteuse . Foi creado co obxectivo de popularizar as tecnoloxías WAF e aínda é apoiado pola comunidade de TI (aquí está ). ModSecurity bloquea os ataques a aplicacións baseados nun conxunto estándar de expresións regulares (sinaturas) - ferramentas para comprobar as solicitudes baseadas en patróns - .
Como resultado, os desenvolvedores lograron o seu obxectivo: comezaron a aparecer novas solucións WAF no mercado, incluídas as construídas sobre a base de ModSecurity.
Tres xeracións xa son historia
É habitual distinguir tres xeracións de sistemas WAF, que evolucionaron co desenvolvemento da tecnoloxía.
Primeira xeración. Traballa con expresións regulares (ou gramáticas). Isto inclúe ModSecurity. O provedor do sistema estuda os tipos de ataques ás aplicacións e xera patróns que describen solicitudes lexítimas e potencialmente maliciosas. WAF verifica estas listas e decide que facer nunha situación particular: bloquear o tráfico ou non.
Un exemplo de detección baseada en expresións regulares é o proxecto xa mencionado código aberto. Outro exemplo - , que tamén é de código aberto. Os sistemas con expresións regulares teñen unha serie de desvantaxes, en particular, cando se descobre unha nova vulnerabilidade, o administrador ten que crear regras adicionais manualmente. No caso dunha infraestrutura informática a gran escala, pode haber varios miles de regras. Xestionar tantas expresións regulares é bastante difícil, sen esquecer o feito de que comprobalas pode reducir o rendemento da rede.
As expresións regulares tamén teñen unha taxa de falsos positivos bastante alta. O famoso lingüista Noam Chomsky propuxo unha clasificación das gramáticas na que as dividía en catro niveis condicionais de complexidade. Segundo esta clasificación, as expresións regulares só poden describir regras de firewall que non impliquen desviacións do patrón. Isto significa que os atacantes poden "enganar" facilmente ao WAF de primeira xeración. Un método para combater isto é engadir caracteres especiais ás solicitudes de aplicacións que non afectan á lóxica dos datos maliciosos, pero infrinxen a regra de sinatura.
Segunda xeración. Para evitar os problemas de rendemento e precisión dos WAF, desenvolvéronse firewalls de aplicacións de segunda xeración. Agora contan con analizadores que se encargan de identificar tipos de ataques estritamente definidos (en HTML, JS, etc.). Estes analizadores funcionan con tokens especiais que describen consultas (por exemplo, variable, cadea, descoñecida, número). As secuencias de tokens potencialmente maliciosas colócanse nunha lista separada, que o sistema WAF verifica regularmente. Este enfoque mostrouse por primeira vez na conferencia Black Hat 2012 en forma de C/C++ , que permite detectar inxeccións SQL.
En comparación cos WAF de primeira xeración, os analizadores especializados poden ser máis rápidos. Non obstante, non resolveron as dificultades asociadas á configuración manual do sistema cando aparecen novos ataques maliciosos.
Terceira xeración. A evolución da lóxica de detección de terceira xeración consiste no uso de métodos de aprendizaxe automática que permiten achegar o máis posible a gramática de detección á gramática SQL/HTML/JS real dos sistemas protexidos. Esta lóxica de detección é capaz de adaptar unha máquina de Turing para cubrir gramáticas enumerables recursivamente. Ademais, anteriormente a tarefa de crear unha máquina de Turing adaptable era irresoluble ata que se publicaron os primeiros estudos das máquinas neuronais de Turing.
A aprendizaxe automática ofrece a capacidade única de adaptar calquera gramática para cubrir calquera tipo de ataque sen crear manualmente listas de sinaturas segundo se requira na detección de primeira xeración e sen desenvolver novos tokenizadores/analizadores para novos tipos de ataques como Memcached, Redis, Cassandra e inxeccións SSRF. , como esixe a metodoloxía de segunda xeración.
Ao combinar as tres xeracións de lóxica de detección, podemos debuxar un novo diagrama no que a terceira xeración de detección está representada polo contorno vermello (Figura 3). Esta xeración inclúe unha das solucións que estamos a implementar na nube xunto con Onsek, o desenvolvedor da plataforma de protección adaptativa de aplicacións web e da API de Wallarm.
A lóxica de detección agora usa os comentarios da aplicación para autoajustarse. Na aprendizaxe automática, este ciclo de retroalimentación chámase "reforzo". Normalmente, hai un ou máis tipos deste tipo de reforzo:
- Análise do comportamento de resposta da aplicación (pasivo)
- Escaneo/fuzzer (activo)
- Informe de ficheiros/procedementos de interceptores/trampas (despois do feito)
- Manual (definido polo supervisor)
Como resultado, a lóxica de detección de terceira xeración tamén aborda o importante tema da precisión. Agora é posible non só evitar falsos positivos e falsos negativos, senón tamén detectar verdadeiros negativos válidos, como a detección do uso de elementos de comando SQL no Panel de control, a carga de modelos de páxina web, solicitudes AJAX relacionadas con erros de JavaScript e outros.
A continuación, consideraremos as capacidades tecnolóxicas de varias opcións de implementación de WAF.
Hardware, software ou nube: que escoller?
Unha das opcións para implementar cortalumes de aplicacións é unha solución de hardware. Estes sistemas son dispositivos informáticos especializados que unha empresa instala localmente no seu centro de datos. Pero neste caso, tes que comprar o teu propio equipo e pagar cartos aos integradores por configuralo e depuralo (se a empresa non ten o seu propio departamento de TI). Ao mesmo tempo, calquera equipo queda obsoleto e queda inservible, polo que os clientes vense obrigados a presupostar as actualizacións de hardware.
Outra opción para implementar un WAF é unha implementación de software. A solución instálase como un complemento para algún software (por exemplo, ModSecurity está configurado enriba de Apache) e execútase no mesmo servidor con el. Como regra xeral, tales solucións pódense implantar tanto nun servidor físico como na nube. A súa desvantaxe é a escalabilidade limitada e o soporte dos provedores.
A terceira opción é configurar un WAF desde a nube. Tales solucións son proporcionadas polos provedores de nube como un servizo de subscrición. A empresa non necesita comprar e configurar hardware especializado; estas tarefas recaen sobre os ombreiros do provedor de servizos. Un punto importante é que un WAF moderno na nube non implica a migración de recursos á plataforma do provedor. O sitio pódese implementar en calquera lugar, incluso local.
Explicaremos aínda máis por que a xente mira cada vez máis cara a WAF na nube.
O que pode facer WAF na nube
En canto ás capacidades tecnolóxicas:
- O provedor é responsable das actualizacións. WAF ofrécese mediante subscrición, polo que o fornecedor de servizos supervisa a relevancia das actualizacións e das licenzas. As actualizacións non só afectan ao software, senón tamén ao hardware. O provedor actualiza o parque de servidores e manteno. Tamén é responsable do equilibrio de carga e da redundancia. Se o servidor WAF falla, o tráfico redirixirase inmediatamente a outra máquina. A distribución racional do tráfico permítelle evitar situacións nas que o firewall entra no modo de aberto por falla: non pode soportar a carga e deixa de filtrar as solicitudes.
- Parcheo virtual. Os parches virtuais restrinxen o acceso a partes comprometidas da aplicación ata que o programador pecha a vulnerabilidade. Como resultado, o cliente do provedor da nube ten a oportunidade de esperar tranquilamente ata que o provedor deste ou cal software publique "parches" oficiais. Facelo o máis rápido posible é unha prioridade para o provedor de software. Por exemplo, na plataforma Wallarm, un módulo de software separado é responsable do parche virtual. O administrador pode engadir expresións regulares personalizadas para bloquear solicitudes maliciosas. O sistema permite marcar algunhas solicitudes coa bandeira "Datos confidenciais". Entón os seus parámetros están enmascarados e en ningún caso se transmiten fóra da área de traballo do firewall.
- Escáner de perímetro e vulnerabilidade incorporado. Isto permítelle determinar de forma independente os límites da rede da infraestrutura de TI utilizando datos de consultas DNS e o protocolo WHOIS. Despois, WAF analiza automaticamente os servizos que se executan dentro do perímetro (realiza a dixitalización de portos). O firewall é capaz de detectar todo tipo de vulnerabilidades comúns -SQLi, XSS, XXE, etc.- e de identificar erros na configuración do software, por exemplo, accesos non autorizados a repositorios Git e BitBucket e chamadas anónimas a Elasticsearch, Redis, MongoDB.
- Os ataques son supervisados por recursos na nube. Como regra xeral, os provedores de nube teñen grandes cantidades de potencia informática. Isto permítelle analizar as ameazas con alta precisión e velocidade. Un grupo de nodos de filtro está implantado na nube, polos que pasa todo o tráfico. Estes nodos bloquean ataques a aplicacións web e envían estatísticas ao Centro de análise. Usa algoritmos de aprendizaxe automática para actualizar as regras de bloqueo de todas as aplicacións protexidas. A implementación deste esquema móstrase na Fig. 4. Estas regras de seguridade adaptadas minimizan o número de falsas alarmas de firewall.
Agora un pouco sobre as características dos WAF na nube en canto a cuestións organizativas e de xestión:
- Transición a OpEx. No caso dos WAF na nube, o custo de implementación será cero, xa que todo o hardware e licenzas xa foron pagados polo provedor; o pago do servizo realízase mediante subscrición.
- Diferentes plans tarifarios. O usuario do servizo na nube pode activar ou desactivar rapidamente opcións adicionais. As funcións son xestionadas desde un único panel de control, que tamén é seguro. Accédese a el a través de HTTPS, ademais de que hai un mecanismo de autenticación de dous factores baseado no protocolo TOTP (Time-based One-Time Password Algorithm).
- Conexión mediante DNS. Pode cambiar vostede mesmo o DNS e configurar o enrutamento da rede. Para resolver estes problemas non é necesario contratar e formar especialistas individuais. Como regra xeral, o soporte técnico do provedor pode axudar coa configuración.
As tecnoloxías WAF evolucionaron desde firewalls simples con regras básicas ata sistemas de protección complexos con algoritmos de aprendizaxe automática. Os cortalumes de aplicacións ofrecen agora unha ampla gama de funcións que eran difíciles de implementar nos anos 90. En moitos sentidos, a aparición de novas funcionalidades fíxose posible grazas ás tecnoloxías na nube. As solucións WAF e os seus compoñentes seguen evolucionando. Igual que outras áreas da seguridade da información.
O texto foi preparado por Alexander Karpuzikov, xestor de desenvolvemento de produtos de seguridade da información do provedor de nube #CloudMTS.
Fonte: www.habr.com