Connect with us

Ciberseguridad

Perspectivas sobre el mercado de cortafuegos de aplicaciones web

mm
Published
Updated

¿Es el uso de un cortafuegos de aplicaciones web (WAF) un estándar obligatorio para proteger los recursos web, o es una capa de protección importante pero opcional? ¿Cómo elegir e implementar un WAF? ¿Qué depara el futuro para este mercado? Siga leyendo para obtener las respuestas.

¿Qué hace un cortafuegos de aplicaciones web?

Es difícil imaginar una empresa moderna que no necesite un WAF. Este instrumento solo es redundante si no hay activos digitales que proteger. Ayuda a proteger los recursos web si son la columna vertebral de la actividad empresarial, si se utilizan para almacenar datos críticos de empleados y clientes, o si están vinculados a la infraestructura de la organización y podrían convertirse en un punto de entrada para intrusos.

Un cortafuegos de aplicaciones web también protege las soluciones personalizadas utilizadas por las empresas. Estos sistemas a menudo contienen código vulnerable y pueden suponer una amenaza para la seguridad de la empresa. Un WAF proporciona defensas en la capa 7 del modelo de interconexión de sistemas abiertos (OSI). Analiza las solicitudes que ni los cortafuegos tradicionales ni los cortafuegos de próxima generación (NGFW) pueden controlar. Además de proteger un sitio web corporativo, protege los servidores de aplicaciones web, supervisa las integraciones con servicios de terceros y maneja amenazas no relacionadas con vulnerabilidades, como ataques DDoS.

Hay dos diferencias fundamentales entre un WAF y otros cortafuegos: funcionales y arquitectónicas. Las características funcionales incluyen la capacidad de analizar formatos especializados dentro de HTTP (por ejemplo, JSON), lo que es algo que NGFW y otros sistemas no pueden hacer. Las características arquitectónicas se relacionan con la forma en que se implementa dentro de una red. Un cortafuegos de aplicaciones web funciona principalmente como un proxy inverso, tratando solo con aplicaciones internas.

Hablando figurativamente, un WAF es un producto que evita que un sitio web vulnerable sea pirateado. En términos de ubicación, NGFW se instala en la puerta de enlace, mientras que WAF se instala donde reside el sitio web.

NGFW, un cortafuegos regular y un sistema de prevención de intrusiones clásico (IPS) son dispositivos multiprotocolo, mientras que un WAF se limita a protocolos de aplicaciones web que utilizan HTTP como transporte. Esta solución muestra una mayor eficiencia en un nicho particular debido al análisis más profundo de protocolos especializados. Es importante destacar que un WAF “sabe” exactamente qué aplicaciones está protegiendo. Puede aplicar diferentes políticas de seguridad dependiendo del objeto al que se dirige el tráfico.

¿Es posible utilizar una solución externalizada en este área? Este es un enfoque viable, pero es extremadamente difícil de poner en práctica. En este caso, la empresa esencialmente se convierte en el desarrollador de su propia solución y debe manejar no solo su desarrollo sino también el ciclo completo de soporte técnico.

Otro aspecto importante es la elección entre una variante de implementación local y un servicio en la nube. Esto es en gran medida una cuestión de confianza en el proveedor de la nube. El mercado de seguridad de aplicaciones web está migrando activamente a la nube, lo que significa que más y más clientes encuentran aceptables los riesgos de dichos servicios.

También vale la pena mencionar los pros y los contras de los kits de herramientas WAF de software y hardware prefabricados en comparación con sus contrapartes basadas solo en software. Las soluciones ajustadas para hardware específico pueden funcionar más eficientemente que los sistemas universales que se ejecutan en cualquier equipo. El otro lado de la moneda se reduce al probable deseo del cliente de trabajar con ciertas plataformas de hardware ya en uso.

El problema también tiene aspectos organizativos y burocráticos. A veces es más fácil para un departamento de seguridad de la información comprar un paquete de hardware y software llave en mano que justificar dos artículos de presupuesto separados.

Características de WAF

Cada WAF tiene un conjunto de módulos de protección que todo el tráfico pasa. La seguridad generalmente comienza con los niveles básicos: características de protección contra DDoS y análisis de firmas. La capacidad de desarrollar sus propias políticas de seguridad y un subsistema de aprendizaje matemático es un nivel más alto. Un bloque de integración con sistemas de terceros generalmente aparece en una de las etapas finales de implementación.

Otro componente importante de un WAF es un escáner pasivo o activo que puede detectar vulnerabilidades en función de las respuestas del servidor y las encuestas de puntos finales. Algunos cortafuegos pueden detectar actividad maliciosa en el lado del navegador.

En cuanto a las tecnologías de detección de ataques, hay dos tareas fundamentalmente diferentes: validación (verificación de datos en solicitudes específicas) y análisis de comportamiento. Cada uno de estos modelos aplica su propio conjunto de algoritmos.

Si miramos la operación de un WAF en términos de las etapas de procesamiento de solicitudes, hay una serie de analizador de protocolo, módulos de decodificación (no confundir con descifrado) y un conjunto de reglas de bloqueo responsables del veredicto final. Otra capa abarca las políticas de seguridad desarrolladas por humanos o basadas en algoritmos de aprendizaje automático.

En cuanto a la interacción de un cortafuegos de aplicaciones web con contenedores, la única diferencia puede estar en las peculiaridades de la implementación, pero los principios básicos siempre son los mismos. En un entorno contenedorizado, el WAF puede actuar como una puerta de enlace IP filtrando todas las solicitudes que fluyen hacia el ecosistema de virtualización. Además, puede operar como un contenedor en sí mismo y integrarse con un autobús de datos.

¿Es posible proporcionar un WAF como un servicio de software (SaaS)? Esencialmente, el principio SaaS otorga acceso completo a una aplicación y su administración en la nube. Este enfoque no aporta ninguna ventaja significativa, pero es el primer paso para trasladar la infraestructura de TI a la nube. Si la empresa también delega el control del sistema a un tercero, esto se asemeja más al paradigma de proveedor de servicios de seguridad administrados (MSSP), que puede proporcionar algunos beneficios significativos.

Una prueba de penetración que el cliente puede realizar en la etapa del proyecto piloto ayudará a evaluar la eficacia del WAF. Además, los proveedores y los integradores de sistemas pueden proporcionar al cliente informes regulares sobre el rendimiento del cortafuegos que reflejen los resultados del análisis de tráfico.

¿Cómo implementar un cortafuegos de aplicaciones web?

Las principales etapas de implementación de un WAF son las siguientes:

  •       Crear un proyecto piloto.
  •       Seleccionar al proveedor.
  •       Determinar la arquitectura de la solución.
  •       Especificar técnicas de respaldo.
  •       Implementar el complejo de software o hardware.
  •       Capacitar y motivar al personal para que utilice el WAF.

En un mundo ideal, se necesitan solo unos minutos para integrar un servicio de monitoreo de WAF en una sola aplicación. Sin embargo, configurar las reglas para bloquear amenazas llevará más tiempo. También hay aspectos adicionales de la implementación, incluidos los permisos, la capacitación del personal y otros aspectos técnicos. El período de implementación también depende del método, así como de la aplicación específica y los tipos de tráfico que se supervisan.

Un proceso de implementación bien orquestado ayudará a minimizar los falsos positivos. Las pruebas exhaustivas en la etapa de preproducción y después del lanzamiento del sistema deberían hacer el truco. Una parte importante de esta rutina es “enseñar” la solución: un especialista en seguridad puede corregir algunos de sus veredictos durante las pruebas. Los equipos de InfoSec deben estudiar las estadísticas generadas por el WAF dentro del primer mes de operación para ver si el sistema está bloqueando tráfico legítimo. Al mismo tiempo, los expertos enfatizan que todas las herramientas de WAF tienen una tasa de falsos positivos determinada.

Cuando se trata de la integración de un WAF con otros mecanismos de seguridad, aquí están las principales áreas de esta actividad:

  •       Sistemas de gestión de información y eventos de seguridad (SIEM) (WAF actúa como proveedor de datos).
  •       Diferentes tipos de sandbox.
  •       Núcleos de antivirus.
  •       Sistemas de prevención de pérdida de datos (DLP).
  •       Escáneres de vulnerabilidades.
  •       Herramientas de seguridad dentro de la plataforma Kubernetes.
  •       NGFW.

Tendencias y predicciones del mercado de WAF

La popularidad de las API web de código abierto está en aumento, y los analistas predicen un cambio en el enfoque de las soluciones de seguridad hacia estos marcos. Gartner incluso tiene una definición para dicho producto: Protección de aplicaciones y API web (WAAP).

La pandemia ha causado que la dependencia del mundo en línea aumente dramáticamente. Por lo tanto, la importancia de un WAF aumentará, y puede convertirse en uno de los principales requisitos previos para garantizar la seguridad de cualquier recurso web. Es probable que se vuelva aún más “cercano” a las aplicaciones web y se integrará en el proceso de desarrollo.

En cuanto a las tendencias tecnológicas de la evolución de WAF, los expertos predicen una participación más activa de la inteligencia artificial y los sistemas de aprendizaje automático multilevel. Esto elevará las capacidades para detectar varias amenazas a un nuevo nivel, y el uso de modelos pregenerados creados dentro de la empresa se convertirá en la norma. Además, los analistas señalan la creciente implementación de mecanismos de filtrado basados en factores de comportamiento.

En el lado de la implementación, la integración de WAF con servicios en la nube continuará. Una tendencia hacia el uso de sistemas de seguridad abiertos influirá en esta industria también. Tanto los clientes como los proveedores se beneficiarán de esta respuesta natural a las demandas actuales del mercado.

Conclusión

El cortafuegos de aplicaciones web es un elemento clave de la seguridad web actual. La creciente cantidad de tareas críticas realizadas a través de interfaces web y API abiertas es una poderosa fuerza impulsora en este área. Un cliente puede elegir entre implementar un WAF dentro de su infraestructura, integrar sistemas de hardware y software prefabricados en ella, o utilizar servicios en la nube.

Otra tendencia que cambia el juego es la integración de WAF con otros sistemas de seguridad de la información y flujos de trabajo de desarrollo de sitios web. Esto lo convierte en un componente inalienable de un proceso de DevSecOps eficaz.

Related Topics:
mm

David Balaban es un investigador de seguridad informática con más de 17 años de experiencia en análisis de malware y evaluación de software antivirus. David gestiona MacSecurity.net y Privacy-PC.com proyectos que presentan opiniones expertas sobre asuntos de seguridad de la información contemporáneos, incluyendo ingeniería social, malware, pruebas de penetración, inteligencia de amenazas, privacidad en línea y hacking de sombrero blanco. David tiene una sólida experiencia en solución de problemas de malware, con un enfoque reciente en contramedidas contra el ransomware.