“Cuando no se sabe a dónde se va, cualquier camino sirve”. Esta adaptación de una de las célebres frases de Shakespeare ilustra una postura que muchas empresas adoptan a la hora de implementar un web application firewall (WAF), aunque no debería ser así, ya que se trata de una acción crucial para la seguridad de las aplicaciones web y, por ende, para el negocio.
Establecer criterios para identificar la mejor solución es un ejercicio que puede producir la sensación de no saber a dónde ir. Después de todo, hay tantos proveedores de seguridad y son tan parecidos que realmente se vuelve difícil decidir cuál elegir. Si este es el desafío que estás enfrentando, hemos recopilado siete preguntas cuyas respuestas te ayudarán a encontrar el camino correcto.
1. ¿Qué capacidades y funcionalidades ofrece el WAF?
La forma en que se desarrolla un WAF varía de un proveedor a otro, lo que tiene un impacto significativo en las capacidades y funcionalidades de la solución. Por lo tanto, es importante prestar atención a los detalles, que serán, de hecho, fuertes indicadores de que el WAF pueda ayudar a enfrentar los desafíos de la ciberseguridad moderna. Como, por ejemplo, si este es capaz de:
- Distinguir con precisión entre bots maliciosos, tráfico legítimo o usuarios humanos.
- Aplicar recursos de seguridad programable para responder mejor a amenazas.
- Detectar y bloquear ataques de día cero independientemente del entorno, sistema o componente explorado.
También es importante comprender qué considera más relevante actualmente tu equipo en un WAF. A veces se paga más por un WAF que ofrece características adicionales, pero en realidad estas son prescindibles e irrelevantes por diversas razones.
2. ¿Ofrece el WAF recursos de automatización?
Automatizar la mayor cantidad posible de tareas de seguridad ayuda al equipo de expertos a ser más productivo y efectivo, lo que resulta especialmente importante en operaciones con un alto grado de criticidad y complejidad, como a la hora de mitigar ataques DDoS o de analizar el control de acceso o las vulnerabilidades de la aplicación.
Para el departamento de TI en su conjunto, integrar reglas de WAF al flujo de CI/CD para validar automáticamente si cada despliegue cumple con los requisitos de seguridad previamente establecidos es un beneficio significativo. Además de acelerar la entrega de software seguro, esta integración simplifica tareas que requieren interacción entre diferentes áreas, mejorando la experiencia del desarrollador y la cultura DevSecOps en la empresa.
3. ¿El WAF se adapta a las APIs desarrolladas y a sistemas de terceros?
Es fundamental asegurarse de que no surgirán problemas durante la implementación del WAF en tus aplicaciones. Por lo tanto, es recomendable observar si una solución en particular es interoperable y no requiere cambios significativos para su implementación.
Por ejemplo, considera soluciones de WAF que sean compatibles con diversos modelos computacionales (cloud computing, on-premise o data center) y sistemas existentes, así como la arquitectura de TI utilizada en la aplicación. Recuerda: una API puede conectar y consumir otros recursos, por lo que la implementación de seguridad programable es esencial para aprovechar al máximo las soluciones propuestas.
Cuando la empresa toma estas precauciones, la implementación implica menores costos y permite una mayor escalabilidad, garantizando que el WAF se mantenga alineado con la evolución de las aplicaciones.
4. ¿Ofrece el WAF recursos de observabilidad?
También es interesante que el WAF sea integrable con plataformas de analítica —como SIEM y Big Data— para que tus expertos obtengan los insights que necesiten y mejoren la inteligencia contra amenazas cibernéticas.
La observabilidad permite, entre otras cosas, el seguimiento de amenazas basado en datos, la automatización de respuestas a incidentes y auditorías de seguridad más exhaustivas, además de minimizar los costos relacionados con las investigaciones.
5. ¿Qué método de detección de amenazas utiliza el WAF?
Otro aspecto a considerar es el método de seguridad utilizado para la detección de amenazas. Por ejemplo, un WAF basado en firmas (o vacunas) tendrá dificultades para identificar amenazas de día cero.
Por otro lado, las soluciones basadas en puntaje son inmunes al factor tiempo, ya que identifican los vectores de ataque a partir de anomalías en el tráfico y comportamientos que delatan a usuarios no confiables.
Para obtener más información sobre las diferencias entre los métodos de bloqueo existentes y cómo este factor es determinante para la eficiencia en la protección, recomendamos que leas este post.
6. ¿El WAF ayuda con el compliance?
La creación de conjuntos de reglas personalizadas y altamente detalladas es esencial para el compliance. Las instituciones financieras, por ejemplo, trabajan a diario para mantener la conformidad con las leyes, normativas y regulaciones del sector, y confían en soluciones de seguridad flexibles para adaptarse a los cambios.
Más allá de las propias funcionalidades del WAF, también es importante considerar estándares de seguridad reconocidos a nivel internacional, como PCI DSS y SOC. En el contexto de cualquier negocio que implique almacenamiento, procesamiento y transmisión de datos de tarjetas de pago, como plataformas de comercio electrónico, un WAF con certificación PCI DSS es la elección acertada para facilitar el compliance con los requisitos regulatorios asociados a dichas actividades.
7. ¿Cómo se desempeña el WAF contra los ataques de día cero?
En diciembre de 2022, el equipo de investigadores de seguridad de Claroty presentó una forma genérica de eludir las soluciones de WAF de varios proveedores a nivel global. Según Noam Moshe, uno de los investigadores que participó en el proyecto, los criminales podrían acceder a una base de datos en el backend y explotar vulnerabilidades para extraer información.
Las soluciones superadas por el WAF Bypass no demostraron estar preparadas para prevenir ataques de día cero o amenazas que explotan vulnerabilidades recién descubiertas. Esto significa que, si tu empresa estuviera utilizando alguna de ellas, los ataques basados en el mismo método tendrían éxito.
Esperamos que los cuestionamientos planteados aquí te hayan llevado a reflexiones importantes para ayudarte a tomar la mejor decisión a la hora de elegir una solución WAF. Sin embargo, antes de dar los próximos pasos, ¿qué tal conocer los beneficios del WAF de Azion? En una conversación de pocos minutos podrás comprender cómo nuestro WAF se integra en tu proyecto. Habla con uno de nuestros experts.