En los últimos años, las organizaciones gubernamentales y comerciales han comenzado a usar aplicaciones web cada vez más. Pero con el creciente número de aplicaciones web, las amenazas cibernéticas dirigidas a ellas han crecido. Las empresas comenzaron a prestar más atención a la seguridad de la información.
De hecho, los ataques de piratas informáticos se están generalizando y, por lo tanto, causan más daños. Según un informe de la empresa de investigación
Forrester , tres industrias son las más vulnerables: gobierno, comercio minorista y tecnología.
Las empresas que trabajan en estas áreas son muy atractivas para los estafadores porque operan con muchos datos sobre la información personal de los usuarios.
Las principales iniciativas internacionales tienen como objetivo proteger los datos personales. Para todas las empresas que trabajan con usuarios europeos, esto es, por ejemplo,
GDPR . Se imponen multas significativas por violar las reglas establecidas por el GDPR; por lo tanto, las empresas están doblemente interesadas en la alta confiabilidad de la protección de datos para sus clientes a fin de evitar costos.
La escala de las amenazas a la seguridad de la información.
Algunos datos sobre la situación en el campo de la seguridad de la información:
- Los ataques de hackers ocurren cada 39 segundos .
- Los ataques DDoS en promedio aumentaron en tamaño en más del 500% .
Se espera que para 2021 se gasten más de $ 1 billón al año en ciberseguridad en todo el mundo. ¡El costo del delito cibernético en este momento crecerá a 6 billones al año!
Lo más probable es que muchas personas recuerden la difusión masiva de Petya y WannaCry, que cifraron todos los archivos en la computadora y exigieron un rescate con la amenaza de destrucción de archivos. Algunos expertos llegaron a la conclusión de que el objetivo final de estos virus no era tanto obtener un rescate como una falla masiva del sistema, porque como resultado de la falla, la compañía sufre muchas más pérdidas, lo que juega en manos de los competidores.
La falta de estándares comunes en la programación web lleva al hecho de que el desarrollo de software introduce errores y vulnerabilidades que el pirata informático no dejará de aprovechar para beneficio personal. Y esto, a su vez, conduce a los costos de la empresa: la fuga de datos confidenciales, el robo de propiedad intelectual, los procesos comerciales demorados y las pérdidas de reputación.
WAF - Protección de aplicaciones web de cibercriminales
Sin embargo, con la acción, la oposición también crece. Es necesario abordar la prevención de ataques de manera integral, durante todo el ciclo de vida de una aplicación web. Durante el desarrollo, se debe prestar especial atención a las pruebas y el pirateo ético, lo que ayuda a identificar y eliminar vulnerabilidades clave. Durante la operación, la aplicación estará protegida por un equipo de protección especial. Y aquí el antivirus y el firewall instalados no guardarán la aplicación.
Por lo general, el escudo y la espada de las aplicaciones es el firewall de próxima generación (NGFW) para evitar intrusiones y filtrar el tráfico de las aplicaciones (WAF - firewall de aplicaciones web). La diferencia entre ellos es que NGFW controla el acceso de las aplicaciones externas a los datos empresariales, mientras que WAF protege las aplicaciones de los usuarios en los servidores internos mediante el análisis de los datos transmitidos a través de HTTP y HTTPS. Es WAF que puede proporcionar un análisis en profundidad del contenido de los paquetes de datos y tener en cuenta las características de la estructura de las aplicaciones web, que proporciona protección y monitoreo en tiempo real de las aplicaciones, y también tiene la funcionalidad para bloquear ataques conocidos y ataques de día cero.
Características de la tecnología WAF
- Maximiza la detección y la tasa de detección de amenazas conocidas y desconocidas;
- Minimiza las alertas falsas (falsos positivos) y se adapta a las aplicaciones web en constante evolución;
- Distingue el tráfico automatizado de los usuarios reales y aplica controles apropiados para ambas categorías de tráfico;
- Proporciona un análisis e implementación más profundos debido a la facilidad de uso y al mínimo impacto en el rendimiento;
- Automatiza el flujo de trabajo de respuesta a incidentes para ayudar a los analistas de seguridad de aplicaciones web;
- Protege aplicaciones web y API de uso masivo y de uso interno.
Compare 7 WAF Gartner Magic Quadrant Leaders por características
Hay muchas soluciones WAF en el mercado para todos los gustos. Para elegir un producto que sea ideal para su empresa, debe prestar atención a la funcionalidad: los diferentes proveedores tienen servicios ligeramente diferentes. La siguiente es una descripción general del líder del mercado WAF en soluciones de software, dispositivos y servicios en la nube, según lo define
Magic Quadrant para Firewall de aplicaciones web en 2018. Puede encontrar más información sobre ellos en
la tabla de comparación de WAF en ROI4CIO , donde puede comparar 28 WAF para 32 características.
Y en esta revisión intentaremos resaltar las propiedades y ventajas básicas de los 7 más populares.
Cortafuegos de aplicaciones web Akamai Kona
El Servidor de seguridad de aplicaciones web Kona de Akamai (una versión más barata y simplificada de Kona Site Defender) es adecuado para clientes que necesitan el servicio en la nube WAF, especialmente cuando los clientes ya están usando Akamai como CDN. Un producto relativamente caro, pero desarrollado por una empresa (Cambridge, 7,500 personas), cuyo equipo de desarrollo se ocupa exclusivamente de los problemas de seguridad de las aplicaciones web.
Akamai proporciona un SOC administrado que puede rastrear incidentes. El fabricante utiliza el análisis automático y la clasificación de todo el tráfico que procesa, para que los clientes configuren sus firmas y recopilen información sobre amenazas para crear nuevas funciones de seguridad.
Dado que WAF Akamai solo está disponible como un servicio en la nube, para las organizaciones que simplemente no les gustan las soluciones de seguridad en la nube, o cuando las calificaciones potenciales de los clientes determinan que el cumplimiento y las restricciones regulatorias limitan su uso, Akamai no funcionará.
Kona Web Application Firewall de Akamai en el sitio web del proveedor
Cortafuegos de aplicación web Barracuda
Barracuda Web Application Firewall es un sistema integral diseñado para garantizar la seguridad de las aplicaciones y sitios web para empresas medianas. Barracuda WAF ofrece un poderoso rechazo a los atacantes que explotan las debilidades en los protocolos y aplicaciones para el robo de datos, la interrupción de los servicios o la destrucción del sitio web. La línea WAF es un proveedor de dispositivos físicos o virtuales, y también está disponible en Microsoft Azure, AWS y Google Cloud Platform (GCP). Con el lanzamiento del WAF 1060, Barracuda ahora admite ancho de banda de hasta 10 Gb / s.
Barracuda sigue siendo uno de los mejores WAF en Microsoft Azure. Barracuda Cloud WAF como servicio incluye protección DDoS sin cargo adicional. El soporte técnico es muy apreciado por los clientes.
Los clientes califican la interfaz de usuario como fácil de usar. Y aquí hay buenas noticias para los hablantes de ruso: la solución de Barracuda WAF no solo tiene inglés, sino también una interfaz rusa.
El producto de Barracuda puede proporcionar protección contra los siguientes ataques: inyección de código SQL, scripting entre sitios (XSS), falsificación de sesión y desbordamientos de búfer, y también evita el robo de información al monitorear todos los datos salientes para detectar cualquier fuga de información confidencial (números de cuenta bancaria) , información personal del usuario, contraseñas, etc.).
El administrador del sistema podrá detectar los ataques DoS y DDoS a tiempo gracias a una función especial que controla la velocidad de transferencia de datos. Un potente antivirus incorporado le permite verificar los datos y archivos importados en el sistema en busca de varios códigos maliciosos.
Barracuda Web Application Firewall es totalmente compatible con los sistemas de autenticación más comunes (Active Directory, eDirectory) que admiten RADIO LDAP. Además, existe una función de autenticación de dos factores: el sistema admite autenticadores y tokens de usuario (RSASecureID) para garantizar una protección confiable de la autenticación del cliente.
Barracuda Web Application Firewall en el sitio web del proveedorBarracuda Web Application Firewall calculadora de costos en ROI4CIO
Cloudflare WAF
El firewall de aplicaciones web Cloudflare (WAF) de nivel empresarial protege las aplicaciones web de vulnerabilidades comunes como ataques de inyección SQL, scripts de crossite y falsificaciones de crossite, sin cambiar la infraestructura existente. Los planes de servicio relativamente económicos son convenientes para las pequeñas empresas. Hay planes individuales más caros para grandes empresas: Enterprise. El modelo de autoservicio utilizado por la compañía permite a los clientes configurar rápida y fácilmente las configuraciones mediante asistentes. Por lo tanto, los clientes valoran la facilidad de uso.
Cloudflare (San Francisco, 700 empleados) está desarrollando protección DDoS y ofertas de CDN. Cloudflare es un proveedor con un ancho de banda de 15 Tbps y 152 centros de datos en todo el mundo. Esta infraestructura no solo admite aplicaciones de alto rendimiento, sino que también proporciona las funciones de seguridad más avanzadas.
La reciente incorporación de Cloudflare Workers permite a los clientes alojar aplicaciones web en la infraestructura de Cloudflare, lo que debería ser atractivo para las organizaciones pequeñas. El proveedor también proporciona un botón de fácil acceso "Estoy bajo ataque". Esto incluye automáticamente un conjunto de defensas y es conveniente para la respuesta de emergencia.
Cloudflare solo ofrece WAF como un servicio en la nube. Para organizaciones con restricciones en servicios en la nube y organizaciones que requieren dispositivos físicos o virtuales locales, el producto no es adecuado.
Cloudflare WAF en el sitio del vendedor
Cortafuegos de aplicaciones Citrix NetScaler
Citrix NetScaler AppFirewall es una buena opción para los clientes de Citrix que valoran los dispositivos WAF de alto rendimiento. NetScaler Web App Firewall está diseñado para el segmento gubernamental, las grandes y medianas empresas en vista de la capacidad de NetScaler de escalar llamadas para grandes organizaciones. NetScaler Web App Firewall viene como una máquina virtual, así como un complejo de hardware, así como un servicio en la nube.
Las capacidades de descifrado de NetScaler TLS y la integración con los módulos de seguridad de hardware (HSM) Thales y SafeNet son a menudo características clave de la evaluación comparativa cuando la organización planea crecer aún más.
Citrix (CTXS, Santa Clara, California, más de 9.600 personas) está desarrollando la cartera de NetScaler ADC, que incluye hardware (MPX), software (VPX), contenedorizado (CPX) y multiinstancia (SDX). Todas estas opciones de ADC ofrecen WAF (NetScaler AppFirewall) y red privada virtual (VPN) Secure Sockets Layer (SSL) como módulos. WAF también está disponible como un producto independiente.
Citrix vende principalmente AppFirewall como un complemento para clientes que están interesados principalmente en sus funciones ADC o en entornos de alto rendimiento. El ancho de banda de Citrix Web Application Firewall varía de 500 Mbps a 44 Gbps.
Los clientes aprecian el soporte que reciben de los integradores de sistemas y proveedores de servicios. También aprecian las mejoras en la capacidad de administración a través de la API. La mayoría de los clientes Citrix usan NetScaler AppFirewall como una opción de software en la parte superior del dispositivo físico ADC.
Citrix NetScaler Application Firewall protege contra ataques como la inyección SQL, XSS, contra el cambio de parámetros de forma ocultos (parámetros de solo lectura (ocultos)) y otros ataques. Existe la función de evitar fugas de datos, que previene el robo de datos de tarjetas de crédito y otros datos confidenciales, filtros y bloques, si es necesario, la información transmitida.
Citrix NetScaler AppFirewall en el sitio del proveedor
Firewall de aplicaciones web Silverline de F5 Networks
F5 WAF se utiliza principalmente como una opción de software, Application Security Manager (ASM), que está integrado en la plataforma F5 Big-IP. F5 (Seattle, WA, 4.300 empleados) es conocida por sus líneas de productos ADC (Big-IP y Viprion). La línea de hardware de los dispositivos de hardware Big-IP F5 también puede usar la versión de software completa con una versión limitada (pero actualizable) que actuará como una solución de seguridad independiente (por ejemplo, WAF independiente).
Bajo la marca Silverline F5, proporciona protección basada en la nube contra WAF y DDoS. Hay dos opciones de servicio disponibles: Silverline Managed WAF y WAF Express autoservicio con un complemento Silverline Threat Intelligence. Todos los servicios de Silverline se basan en la tecnología Big-IP.
Silverline WAF protege las aplicaciones de ataques basados en inyección SQL, ataques de día cero, JSON, OWASP Top Ten y otros archivos adjuntos. Una ventaja importante de Silverline WAF es su función de autoaprendizaje que emplea las tecnologías iRules e iApps para la reconfiguración en línea de acuerdo con con los detalles de nuevas amenazas.
F5 es compatible con AWS, Azure, Google Cloud, OpenStack y VMware Cloud. El soporte multicloud de gestión unificada se dirige a las organizaciones que crean una arquitectura híbrida.
Silverline WAF ofrece soporte 24x7 de expertos en seguridad. El producto brinda la oportunidad de reducir los costos operativos mediante el uso de recursos especiales del Centro de seguridad de redes F5 para administrar las políticas WAF. La función de monitoreo proactivo incorporado de F5 Networks emplea soluciones especializadas externas para proteger las aplicaciones de nuevos ataques. La solución genera informes de acceso a través del portal del cliente.
Firewall de aplicaciones web Silverline de F5 Networks en el sitio web del proveedor
Fortinet fortiweb
Fortinet FortiWeb: un cortafuegos para aplicaciones web de Fortinet (Sunnyvale, California, 5000 empleados, alrededor de 1000 personas en el campo de la investigación y el desarrollo) se centra en empresas medianas y grandes, así como en proveedores de servicios de Internet.
El producto viene en forma de hardware o dispositivo virtual, así como un servicio en la nube (a partir de 2017). Con los servicios de seguridad de FortiGuard Labs, FortiWeb proporciona análisis de amenazas robustos y protección contra las últimas vulnerabilidades en aplicaciones, bots y URL sospechosas. Además, debido a dos mecanismos de detección de amenazas basados en tecnología de aprendizaje automático basada en inteligencia artificial y probabilidades estadísticas para detectar anomalías y amenazas individuales, las aplicaciones web están protegidas de riesgos cibernéticos complejos: inyección SQL, scripting entre sitios, desbordamiento de búfer, cambios maliciosos de cookies, fuentes de amenazas y ataques DoS.
FortiWeb está disponible como un dispositivo físico o virtual (FortiWeb-VM) (ocho modelos, de 25 Mbps a 20 Gbps), así como FortiWeb Cloud en plataformas AWS y Azure IaaS, lo que hizo que el producto fuera asequible para empresas medianas.
Las suscripciones de FortiWeb incluyen reputación de IP, antivirus, actualizaciones de seguridad (firmas y modelos de aprendizaje automático), protección de credenciales y un entorno limitado basado en la nube (FortiSandbox). FortiWeb es una buena opción para proteger los servicios de intercambio de archivos, ya que ofrece amplias capacidades e integración para la detección de malware, y también puede integrarse con las soluciones de sandbox de Fortinet.
La compatibilidad completa de todos los productos Fortinet entre sí hace posible escalar el sistema de forma rápida y sencilla. El alto grado de automatización de las operaciones y la simplicidad de su soporte reducen la cantidad de errores causados por el factor humano. Además, esta característica le permite reducir el número de empleados del departamento de seguridad de la información.
Fortinet FortiWeb en el sitio del vendedor
Cortafuegos de aplicaciones web Imperva SecureSphere
Las soluciones Imperva WAF están diseñadas para su uso en el sector público, así como en grandes y medianas empresas. SecureSphere se puede suministrar con dispositivos físicos y virtuales. También está disponible como un servicio en la nube y un servicio en la nube: WAF Incapsula en AWS y Microsoft Azure. Imperva (Redwood Shores, CA) también ofrece conjuntos de reglas administradas para AWS WAF.
El ancho de banda máximo admitido del modelo anterior alcanza los 10 Gb / s. Además de HTTP / HTTPS, hay soporte para estándares web WebSockets, XMS y JSON. Los productos son interesantes para el uso simultáneo de varias tecnologías de protección cibernética a la vez: protocolos de monitoreo de comportamiento anormal, perfiles dinámicos, análisis a través de firmas, sesiones de seguimiento. Todos los productos Imperva brindan soporte de calidad calificado por el cliente.
El firewall de aplicaciones web de Imperva consta de dos módulos principales:
SecureSphere Web Application Firewall: proteja las aplicaciones web de ataques cibernéticos;
ThreatRadar: una base de datos de reputación (ThreatRadar le permite bloquear rápidamente el tráfico proveniente de fuentes sospechosas, incluso antes de la implementación de cualquier efecto dañino).
Imperva ofrece licencias flexibles para organizaciones que usan aplicaciones locales y en la nube. Esto permite al fabricante centrarse en una gama más amplia de casos de uso y organizaciones, así como gestionar mejor la transición de un dispositivo WAF a un servicio en la nube WAF.
Los clientes de SecureSphere informan que la consola de administración sigue siendo compleja cuando se usan características más avanzadas, y la implementación a menudo requiere servicios profesionales para una implementación efectiva.
Para una protección efectiva, se utilizan mecanismos basados en las firmas del sistema gratuito de prevención de intrusiones Snort de código abierto, así como las firmas SQL patentadas generadas por el centro de investigación ADC (Application Defense Center). En términos de tolerancia a fallas, hay soporte para la agrupación de Active-Active y Active-Passive.
SecureSphere WAF está equipado con un sniffer no incorporado, un servidor proxy transparente y un servidor proxy inverso, tiene un excelente soporte SSL. Por lo tanto, el producto proporciona descifrado SSL pasivo, soporte para sesiones instaladas en certificados de cliente, terminación y determinación (es decir, análisis de tráfico SSL sin terminación).
También es importante que el desarrollo contenga módulos de hardware que aceleren el procesamiento SSL.Para crear un modelo de seguridad de referencia, aquí se usa un método para clasificar reglas y aplicar firmas detalladas (usando reglas de firewall, creando firmas y procesando violaciones de protocolos). Para adaptar WAF a una aplicación modificada, es posible cambiar el perfil de las aplicaciones web creadas en modo de aprendizaje automático. Al mismo tiempo, hay una configuración manual del perfil de las aplicaciones web.El generador de informes implementado en SecureSphere WAF proporciona informes a los administradores del sistema de acuerdo con los requisitos de los estándares de seguridad de la información. También existe la oportunidad de generar sus propios informes personalizados (incluidos los programados) y exportarlos a varios formatos.Firewall de aplicaciones web Imperva SecureSphere en el sitio web del proveedor
Calculadora de costos Firewall de aplicaciones web Imperva SecureSphere en ROI4CIO
Conclusiones
Existe la opinión de que en el futuro las estadísticas del delito cibernético superarán las estadísticas de delitos fuera de la red. Y ahora no vale la pena descuidar la protección contra los ataques, estas inversiones dan sus frutos en su totalidad. La solución WAF es un ladrillo pequeño pero importante en su línea de defensa contra intrusos.Autores: Natalia Zorba, Victoria Sholoyko, para ROI4CIO