WAF, nuevo servicio de seguridad en ICM

Desde ICM, hemos incorporado el nuevo servicio WAF, con el objetivo de mejorar la garantía de servicio, en especial, en temas de seguridad. En la siguiente entrada, vamos a explicar en qué consiste esta solución tecnológica y las ventajas que proporciona a cualquier proyecto respecto con las tecnologías de la competencia.

Servicio WAF de ICM

WAF es un firewall de aplicaciones web que tiene por finalidad proteger las aplicaciones web alojadas de los ataques dirigidos a exploits, tanto conocidos como desconocidos. Nuestro servicio WAF, en concreto, utiliza métodos de detección multicapa y correlacionados, de tal forma que defiende las aplicaciones de las vulnerabilidades conocidas y de las amenazas de «zero day«. Asimismo, el servicio de Seguridad de Aplicaciones Web se retro-alimenta de información basada en las últimas vulnerabilidades de las aplicaciones, bots, patrones de datos y URLs sospechosas y motores de detección heurística, para mantener seguras las aplicaciones.

También ofrecemos una función de aprendizaje automático, que detecta automáticamente el tráfico web malicioso. Además, averigua ataques conocidos o posibles ataques «zero day» desconocidos, para proteger en tiempo real a los servidores web.

Queremos destacar que el servicio WAF es muy útil para sistemas Legacy que han quedado discontinuados, pero que siguen productivos. Así, mediante la aplicación de esta solución, se reducen los problemas de seguridad ocasionados por la desactualización de la plataforma y se ofrecen sus funcionalidades con las garantías de seguridad.

 Funciones del servicio WAF

Nuestro servicio WAF permite configurar las siguientes funcionalidades:

• Escaneo de vulnerabilidades y parches.
• Reputación de IP, firmas de ataques a aplicaciones web, antivirus.
• Visualización de ataques en tiempo real.
• Detección de ataques por comportamiento.

Además, está diseñado específicamente para proteger los servidores web. De este modo, proporciona detección y protección especializada de amenazas, incluyendo:

• Apache Tomcat
• nginx
• Microsoft IIS
• JBoss
• IBM Lotus Domino
• Microsoft SharePoint
• Microsoft Outlook Web App (OWA)
• RPC y ActiveSync para Microsoft Exchange Server
• Joomla
• WordPress

El cortafuegos integrado en este servicio WAF también previene de ataques de denegación de servicio (DoS) para aplicaciones web. En ICM, utilizamos técnicas avanzadas para proporcionar protección bidireccional contra amenazas sofisticadas de inyección SQL y ataques de scripting (XSS). Y finalmente, WAF también defiende nuestros servidores de amenazas como el robo de identidad, el fraude financiero y el espionaje corporativo, entre otros.

Uso de WAF en Aplicaciones

El servicio WAF ofrece las siguientes funciones para las aplicaciones web alojadas:

• Rewriting & redirecting

Reescribir o redirigir las peticiones y respuestas HTTP es muy habitual, y puede hacerse por muchas razones. Al igual que la ocultación de mensajes de error, la reescritura de URLs puede evitar la revelación de la tecnología subyacente o de las estructuras del sitio web. Por ejemplo, al visitar la página web de un blog, la URL podría ser:

http://www.example.com/wordpress/?feed=rss2

El simple hecho de ver a través de la URL el nombre del archivo, que el blog utiliza PHP, sus tipos de bases de datos compatibles y los nombres de los parámetros, podría facilitar a un atacante elaborar un ataque para esa plataforma. Reescribiendo la URL a algo más legible para el ser humano y menos específico de la plataforma, los detalles pueden ser ocultados así:

http://www.example.com/rss2

• Compression

Se puede descargar al servicio WAF de la compresión ejecutada en los servidores y, de esta manera, ahorrar recursos en los servidores web.

• Caching

Es posible configurar una caché de respuestas para mejorar el rendimiento de la red y de los servidores, reduciendo el tráfico y la carga de procesamiento.

Cuando se habilita el almacenamiento del contenido en caché, el servicio WAF reenvía sólo las solicitudes de contenido que no existe en su caché. El almacenamiento del contenido en caché se enfoca a los contenidos que rara vez cambian, como los iconos, las imágenes de fondo, las películas, los PDF y el HTML estático.

• Acceleration

La aceleración proporciona una respuesta más rápida de las aplicaciones web, y optimiza las páginas y recursos web en tiempo real. Así, con esta función se puede conseguir que un sitio web sea más rápido y fácil de usar. Asimismo, se optimiza la entrega de los siguientes contenidos web: HTML, JavaScript, CSS.

Tipos de protección con WAF

Web Protection

Con FortiWeb en WAF, se protegen las aplicaciones web de los siguientes ciberataques:

• Bloqueo de ataques conocidos: por ejemplo Cross-site scripting (XSS), SQL injection, Remote file inclusion (RFI), Local file inclusion (LFI), OS commands, Trojans/virus, Exploits…

• Defensa contra ataques conocidos: Parámetros en URL de “HTTP GET requests”, parámetros en el cuerpo de “HTTP POST requests”, XML en el cuerpo de “HTTP POST requests”, cookies, headers, JSON Protocol Detection, Uploaded filename…

Advanced protection

El servicio WAF proporciona algunas protecciones avanzadas como las siguientes:

• Políticas ajustadas a cada cliente
• Ataques “cross-site request forgery (CSRF)”
• HTTP Security Headers
• Protección para ataques “Man-in-the-Browser (MiTB)”
• URL encryption
• Detección de inyección “Syntax-based SQL/XSS”

Mitigación de bots

Se puede configurar la función de mitigación de “bots” para comprobar firmas más específicas, como la aparición de comportamientos sospechosos.

• Detección basada en umbrales. Reglas para definir la ocurrencia, el período de tiempo, la gravedad y la política de activación de los ciertos comportamientos sospechosos, decidir si la solicitud proviene de un humano o de un bot.
• Detección basada en la biometría. Comprobación de eventos del cliente, como el movimiento del ratón, el teclado, la pantalla táctil, para decidir si la solicitud procede de un humano o de un bot.
• Localización de bots maliciosos o válidos.
• Política de mitigación de bots.

Protección para API’s

• Configuración de protección para JSON y para XML
• Validación OpenAPI
• Configuración de protección para aplicaciones para móviles.
• Pasarela para API (API Gateway)

Protección DoS

• Prevención DoS. Proteger de una gran variedad de ataques de denegación de servicio (DoS).
• Prevención de ataques lentos. Un ataque lento es un tipo de ataque DoS que envía un pequeño flujo de tráfico a un ritmo muy lento. Se dirige a los recursos de la aplicación y del servidor y es difícil de distinguir del tráfico normal.

Machine learning

La función de aprendizaje automático permite detectar automáticamente el tráfico web malicioso y los bots. Además de descubrir ataques conocidos, la función puede averiguar posibles ataques de “zero day” desconocidos, para proporcionar protección en tiempo real a los servidores web.

• Anomaly detection. Esta función de aprendizaje automático observa las URL, los parámetros y el método HTTP de las sesiones que pasan por los servidores web. Construye modelos matemáticos para detectar el tráfico anormal.
• Bot detection. El modelo de detección de bots basado en el aprendizaje automático complementa las reglas existentes basadas en firmas y umbrales. Detecta bots sofisticados que a veces pueden pasar desapercibidos.

Conclusión

En esta entrada hemos podido presentar un conjunto de funcionalidades del servicio WAF. que aportan un gran valor añadido a la seguridad en las comunicaciones. Desde ICM, hemos diseñado una solución que intenta ofrecer las funcionalidades, con las óptimas garantías y a un coste asumible, para que la decisión de su implementación sea lo más fácil posible.

Su aplicación dependerá del estudio de cada proyecto. Por eso, os animamos a contactar con nosotros y evaluar cómo podemos mejorar la seguridad de las aplicaciones web alojadas en vuestros proyectos.