WAF ya no es suficiente: exploración de los cuatro pilares de la seguridad web para AWS

En el panorama digital actual, la seguridad web es de suma importancia para las empresas que dependen de las aplicaciones web para atender a los clientes y generar ingresos.

Los firewalls de aplicaciones web (WAF) han sido durante mucho tiempo la principal solución de seguridad para proteger las aplicaciones web de ataques maliciosos. Sin embargo, el panorama de amenazas en evolución actual exige un enfoque más integral. Si bien los WAF se destacan en la inspección y el filtrado de solicitudes HTTP hostiles, es posible que no sean efectivos contra ataques más sofisticados y dirigidos. Para garantizar la seguridad web completa, se requieren medidas adicionales para complementar las capacidades de un WAF.

En este artículo, analizamos los cuatro pilares de la seguridad web sólida, que van más allá de WAF para incluir la protección DDoS, la seguridad de API y la gestión de bots. Exploramos las fortalezas y debilidades de cada uno, lo que demostrará por qué una estrategia sólida incluye los cuatro.

Descripción general del contenido

• Usando AWS como ejemplo
• Pilar 1: Firewall de aplicaciones web (WAF)
• Pilar 2: Protección DDoS
• Pilar 3: Seguridad API
• Pilar 4: Gestión de bots

Usando AWS como ejemplo

Para ilustrar los conceptos de este artículo, nos centraremos en las organizaciones que utilizan Servicios web de Amazon (AWS) , aunque los mismos conceptos también se aplican a Nube de Google y microsoft azure .

Pilar 1: Firewall de aplicaciones web (WAF)

Por qué es importante: como se indicó anteriormente, un WAF es un componente crítico de la seguridad web, diseñado para inspeccionar y filtrar el tráfico HTTP/HTTPS para identificar y bloquear solicitudes maliciosas. Los WAF desempeñan un papel crucial en la protección contra ataques comunes a aplicaciones web, como inyección SQL y secuencias de comandos entre sitios (XSS).

Disponibilidad en AWS: Amazon ofrece un servicio WAF nativo (AWS WAF), que permite a las organizaciones crear reglas y políticas personalizadas para la seguridad de la capa de aplicación. Muchos WAF de terceros también se pueden usar para filtrar solicitudes entrantes para cargas de trabajo de AWS; algunos de estos incluso pueden ejecutarse de forma nativa en entornos de AWS.

Por qué no es suficiente: si bien AWS WAF proporciona una base sólida para la seguridad de las aplicaciones web, tiene ciertas limitaciones. Primero, se enfoca principalmente en patrones de ataque conocidos, lo que significa que puede no ser efectivo contra ataques de día cero o amenazas emergentes. En segundo lugar, los WAF están diseñados para identificar amenazas basadas en solicitudes hostiles, pero muchos tipos de ataques se basan en solicitudes que parecen benignas. En tercer lugar, al igual que con muchos WAF, AWS WAF requiere que los usuarios creen y mantengan sus propias políticas y conjuntos de reglas de seguridad, lo que puede ser un desafío.

Abordar sus limitaciones: las organizaciones deben considerar aumentar AWS WAF con medidas de seguridad adicionales (además de los otros pilares que se describen a continuación). Algunos WAF de terceros integran fuentes de inteligencia de amenazas que pueden proporcionar datos de amenazas en tiempo real y mecanismos de defensa proactivos. Esto permite a las organizaciones adelantarse a las amenazas emergentes y fortalecer sus defensas contra los vectores de ataque en evolución.

Además, la implementación de análisis de comportamiento avanzado y algoritmos de aprendizaje automático puede mejorar las capacidades de WAF al detectar anomalías e identificar nuevos patrones de ataque. Al aprovechar estas tecnologías, las organizaciones pueden mejorar la precisión y la eficacia de su WAF, lo que refuerza la seguridad general de sus aplicaciones web.

Por último, algunos WAF de terceros están disponibles como soluciones de firewall de aplicaciones web totalmente administradas. Esto libera a las organizaciones cliente de la responsabilidad de crear y mantener sus propias políticas de seguridad (lo que requiere mucho tiempo y experiencia) porque el proveedor lo hace por ellas.

Pilar 2: Protección DDoS

Por qué es importante: __Los ataques de denegación de servicio distribuido (DDoS) __representan una amenaza significativa para las aplicaciones web, con el potencial de saturar los servidores e interrumpir la disponibilidad del servicio. La extorsión DDoS es una táctica popular entre los piratas informáticos y puede ser especialmente eficaz (para los atacantes) en momentos en que las víctimas normalmente recibirían grandes volúmenes de tráfico e ingresos.

Disponibilidad en AWS: AWS proporciona protección DDoS integrada a través de AWS Shield, que protege contra los ataques volumétricos más comunes y a gran escala.

Por qué no es suficiente: AWS Shield Standard es gratuito, pero no brinda protección total contra DDoS (por ejemplo, no protege contra ataques de nivel 7). La mayoría de las organizaciones necesitarán comprar AWS Shield Advanced en su lugar, pero puede ser costoso (a una tarifa base de $ 3000 por mes más tarifas de datos y un compromiso de un año). Incluso entonces, tiene problemas para proteger las API y, a excepción de las zonas alojadas en AWS Route 53, AWS Shield no protege los recursos en implementaciones híbridas o de varias nubes.

Por último, AWS Shield está destinado a mitigar los ataques volumétricos directos. No está diseñado para defenderse de tácticas más sofisticadas como los ataques yo-yo DDoS, que están diseñados para infligir el máximo daño financiero a la víctima y minimizar los recursos gastados por el atacante.

Abordar sus limitaciones: las organizaciones pueden considerar aumentar o reemplazar AWS Shield con una solución de mitigación de DDoS que aprovecha los algoritmos de detección avanzados y el análisis de tráfico. Estas soluciones brindan monitoreo y mitigación en tiempo real, lo que permite la identificación y neutralización proactivas de las amenazas DDoS en evolución. A menudo tendrán estructuras de menor costo (especialmente las soluciones todo en uno que incluyen protección DDoS como parte de una plataforma integral), y la mayoría admitirá arquitecturas híbridas y de múltiples nubes.

Además, como se discutió anteriormente, una solución completamente administrada puede ser útil para derrotar ataques sofisticados como yo-yos orquestados por humanos, agotamiento de recursos (una táctica que se puede usar contra serverless) y otras estrategias, porque el equipo de seguridad del proveedor monitorear y responder a los incidentes a medida que ocurren.

Pilar 3: Seguridad API

Por qué es importante: las API se han convertido en un componente crucial para la integración perfecta y el intercambio de datos por muchas razones, incluida la popularidad de la computación en la nube, la prevalencia de las arquitecturas de microservicios, el número cada vez mayor de aplicaciones móviles y otras. A medida que ha crecido el tráfico de API, proteger las API contra actividades hostiles se ha vuelto de vital importancia.

Disponibilidad en AWS: AWS ofrece servicios como AWS Identity and Access Management (IAM) y Amazon API Gateway. IAM permite a las organizaciones administrar el acceso a los recursos de AWS, mientras que API Gateway brinda capacidades de autenticación, autorización y administración del tráfico.

Por qué no es suficiente : para proteger sus API, se espera que los usuarios de AWS utilicen AWS WAF junto con API Gateway. Esto significa que las limitaciones de AWS WAF también se aplican a la seguridad de la API. De hecho, en realidad hay más limitaciones cuando se usa en este contexto. Por ejemplo, en determinadas situaciones, AWS WAF utiliza desafíos del navegador y CAPTCHA para verificar las solicitudes entrantes, pero no se pueden aplicar al tráfico de la API.

Abordar sus limitaciones: los usuarios de AWS pueden aumentar las capacidades de seguridad nativas de AWS con otras herramientas. Algunas soluciones de seguridad de terceros incluyen amplias funciones para proteger el tráfico de API con la misma eficacia que el tráfico de aplicaciones web, no solo para filtrar solicitudes hostiles, sino también en capacidades relacionadas, como controles de acceso granular y visibilidad y registro integrales del tráfico. Algunos van aún más lejos y aprovechan las oportunidades para una protección adicional en ciertas situaciones, por ejemplo, al proporcionar un SDK para agregar un refuerzo adicional para el tráfico de aplicaciones móviles.

Pilar 4: Gestión de bots

Por qué es importante: la prevalencia de los bots en la web presenta un desafío importante para las organizaciones. Si bien algunos bots tienen fines legítimos, otros se implementan para actividades maliciosas, como la adquisición de cuentas, el raspado de contenido y el relleno de credenciales. En promedio, alrededor del 38 por ciento del tráfico web total consiste en bots hostiles.

Las tecnologías de seguridad web tradicionales, como los WAF, no están diseñadas para detectar bots hostiles, ya que la mayoría de las formas de tráfico automatizado se hacen pasar por usuarios legítimos. Por lo general, las solicitudes individuales parecen benignas (y, por lo tanto, evitan el filtrado). Sus objetivos maliciosos solo se manifiestan en sus acciones colectivas. Por ejemplo, los bots de denegación de inventario parecen ser clientes legítimos que realizan actividades de compra; sin embargo, estos “clientes” en realidad nunca compran nada. En su lugar, toman medidas que hacen que el inventario no esté disponible para los clientes legítimos (como colocar artículos en carritos de compras, completar los pasos iniciales de las reservas de viajes, etc., pero nunca consumar las transacciones).

Disponibilidad en AWS: Amazon ofrece AWS WAF Bot Control, un conjunto de reglas administradas para AWS WAF.

Por qué no es suficiente : como complemento de AWS WAF, Bot Control incluye las mismas limitaciones mencionadas anteriormente. Sin embargo, estos problemas se magnifican cuando se intenta excluir a los bots hostiles de las aplicaciones web y las API porque, entre todas las formas de ataque web, las más complejas y sofisticadas a menudo son protagonizadas por bots. Por ejemplo, la falta de precisión en las capacidades de limitación de velocidad de AWS dificulta el bloqueo completo de los bots que realizan el relleno de credenciales y otras formas de ataques ATO (adquisición de cuentas). La visibilidad del tráfico incompleta o retrasada puede impedir que los clientes comprendan por completo la actividad de los bots en sus propiedades web o ajusten las políticas de seguridad para reducir las alarmas de falsos negativos y falsos positivos. Tener que escribir y mantener políticas de seguridad complicadas aumenta la posibilidad de error. Etcétera.

A continuación, el uso de Bot Control crea cargos de uso adicionales. Cuando se combina con el costo de AWS WAF, AWS Shield Advanced, AWS API Gateway, etc., los clientes pueden enfrentar tarifas mensuales que son bastante altas.

Por último, el nivel básico ("Común") de AWS Bot Control se basa en métodos simples para identificar el tráfico de bots (principalmente el User-Agent de la solicitud, y si la dirección IP está o no en la lista negra). Los actores de amenazas pueden evadir fácilmente la detección que se basa en estos criterios. Para obtener una mejor detección de bots, las organizaciones de clientes deben comprar el nivel superior ("Bots dirigidos"), que cuesta aún más (pero aún puede tener dificultades para identificar la última generación de bots evasivos).

Abordar sus limitaciones: en general, la mitigación de bots hostiles puede ser el aspecto más desafiante para mantener una sólida postura de seguridad. Como tal, de los cuatro pilares discutidos en este artículo, este es en el que superar las limitaciones inherentes de las herramientas nativas de AWS es el más importante.

Muchas soluciones de seguridad web de terceros incluyen capacidades de gestión de bots que superan las de Amazon Web Services. Esto no es sorprendente; AWS está en el negocio de vender acceso a los recursos de la nube y proporciona herramientas de seguridad simplemente para fomentar el consumo de esos recursos. Por el contrario, los proveedores de seguridad web están en el negocio de crear soluciones de seguridad sólidas y efectivas.

Al evaluar las soluciones WAAP (protección de aplicaciones web y API) en términos de administración de bots, las consideraciones principales son las que ya se han discutido anteriormente. El mejor soluciones de gestión de bots permitirá a los clientes definir con precisión políticas de seguridad, ver y controlar su tráfico en tiempo real con visibilidad completa y aprovechar tecnologías poderosas como el aprendizaje automático y el análisis de comportamiento.

Además, muchas organizaciones requerirán una opción de administración completa, para que un equipo de profesionales de seguridad pueda configurar y mantener sus defensas de seguridad cibernética, en lugar de requerir personal interno para realizar esta función.

Conclusión

Si bien un firewall de aplicaciones web es un componente fundamental de la seguridad web, confiar únicamente en un WAF ya no es suficiente en el panorama de amenazas actual. Al adoptar los cuatro pilares de la seguridad web (WAF, DDoS Protection, API Security y Bot Management), los usuarios de AWS pueden establecer una defensa sólida y de varios niveles contra una amplia gama de amenazas.

\Si bien AWS proporciona algunas herramientas de seguridad integradas, es fundamental comprender sus limitaciones y complementarlas con medidas de seguridad externas adaptadas a amenazas específicas. Al adoptar este enfoque integral, las organizaciones pueden proteger eficazmente sus API y aplicaciones web de AWS y mitigar los riesgos en el entorno de amenazas moderno.