El firewall de aplicaciones web (WAF) es un componente clave en la seguridad de aplicaciones web. Sin embargo, no todos los WAF funcionan de la misma manera. A medida que los ataques cibernéticos y las aplicaciones se vuelven más complejas, los WAF deben evolucionar utilizando técnicas de protección más sofisticadas, eficientes y de alto desempeño.
En un escenario de ciberseguridad que acumula eventos de ataques de día cero, por ejemplo, la discusión sobre los métodos de bloqueo existentes en los WAF ha cobrado fuerza y se ha convertido en uno de los criterios determinantes para las empresas que buscan soluciones de defensa. Con esto en mente, explicamos en este blog post las diferencias entre los WAF basados en firmas (o vacunas) y en puntaje, que son los métodos utilizados actualmente.
¿Cuáles son las diferencias entre los métodos de bloqueo basados en firmas y en puntaje?
Aunque todos los WAF están diseñados para filtrar el tráfico malicioso, sus métodos de protección de aplicaciones son diferentes. Mientras que un WAF basado en firmas depende de listas de patrones de ataques conocidos o vacunas para prevenir amenazas conocidas, los WAF basados en puntaje utilizan conjuntos simples de reglas para identificar tanto amenazas conocidas como desconocidas y bloquearlas según los niveles de sensibilidad deseados. A continuación, explicamos en detalle cómo funciona cada método.
WAF basado en firmas
El modelo de WAF basado en firmas aprovecha los datos relacionados con ataques anteriores para filtrar el tráfico que coincide con patrones de ataques conocidos. Cada vez que se detecta un nuevo ataque, los proveedores de ciberseguridad crean una firma que contiene componentes del patrón de ataque, que se agrega al WAF. El WAF comparará esta firma con cada nueva solicitud y podrá bloquearla o generar una alerta en función de cualquier solicitud coincidente.
WAF basado en puntaje
Aunque las políticas de seguridad basadas en firmas han sido la práctica tradicional utilizada por firewalls y programas antivirus durante mucho tiempo, los WAF modernos han evolucionado para evitar los problemas de desempeño y uso inherentes a las listas de firmas, reemplazándolas por conjuntos de reglas inteligentes.
Estas reglas se basan en algoritmos que analizan la sintaxis de numerosos patrones de ataque, que se condensan en un conjunto simple de reglas, como los operadores del diccionario para ataques de inyección SQL, y asignan una puntaje o número de puntos cuando se cumplen dichas reglas. En este caso, palabras como UNION, INSERT o TABLE aumentarían el puntaje de una solicitud. Si el puntaje de la solicitud supera un cierto límite, que se puede ajustar según la sensibilidad deseada, se bloqueará.
¿Cómo afecta el método basado en firmas al desempeño del WAF?
Una de las características principales del WAF basado en firmas es que debe actualizarse constantemente para mantener su eficacia. Estas actualizaciones generan miles de firmas que deben compararse con cada nueva solicitud, lo que resulta en un uso intensivo de recursos y una disminución del desempeño a medida que se procesan esas solicitudes.
Además, la lógica detrás de los modelos de seguridad negativos que permiten el acceso por defecto es incompatible con enfoques modernos de ciberseguridad, como Zero Trust y otros que, por defecto, bloquean el acceso en lugar de autorizarlo. Esto también contribuye a que un WAF basado en firmas genere una alta incidencia de falsos negativos cuando un intento está relacionado con las definiciones predefinidas de comportamiento malicioso del WAF.
Una investigación sobre inteligencia de amenazas realizada por la revista de informática y seguridad Elsevier hizo eco de esta preocupación, observando que las soluciones de WAF tradicionales y otras medidas de seguridad que dependen “en gran medida de la tecnología estática de identificación de patrones basada en listas o firmas de malware” hacen que el contenido digital sea “extremadamente vulnerable a amenazas en constante evolución que explotan vulnerabilidades desconocidas y de día cero”.
La combinación de todos los factores mencionados lleva a la conclusión de que este método de bloqueo hace que las aplicaciones sean más vulnerables a amenazas emergentes, facilitando por ello el trabajo de los hackers, que pueden manipular cadenas o patrones de expresión conocidos para obtener acceso privilegiado a datos o componentes de las aplicaciones web.
¿Qué beneficios proporciona un WAF basado en puntaje?
Un WAF basado en puntaje incorpora métodos de seguridad positiva que bloquean por defecto cualquier solicitud que excede un límite específico, lo que permite la mitigación de amenazas emergentes y día cero antes de que se conozca y registre una firma de ataque. En términos de desempeño, el uso del puntaje también minimiza el consumo de recursos y, en consecuencia, los problemas de latencia que suelen estar presentes en los WAF tradicionales.
A diferencia del método basado en firmas, un WAF moderno está entre los recursos de ciberseguridad más sofisticados que existen hoy, ya que su funcionamiento complementa e incluso resulta esencial para una postura defensiva que esté a la altura de los desafíos que implican los ataques de día cero. Es decir, que incluso si se descubre una vulnerabilidad en este mismo momento, los ataques que intenten explotarla pueden ser fácilmente detectados por el algoritmo de puntaje que, gracias a los parámetros de su configuración, podrá bloquearlos automáticamente.
Finalmente, además de la eficiencia y los beneficios en el desempeño que los WAF proporcionan, hay que decir que requieren menos actualización manual de políticas, lo que por otro lado resulta en un ahorro de costos para el equipo de DevSecOps, que puede dedicar más tiempo a tareas más críticas, como por ejemplo a la inteligencia contra ciberamenazas o a las investigaciones y análisis de seguridad críticos. Para explorar más a fondo esta relación, hemos separado este blog post en el que explicamos cómo un WAF bypass logró superar varias soluciones de players globales de seguridad y no pudo superar el WAF de Azion.