Cuando los WAF salen mal



Los firewalls de aplicaciones website son empresas cada vez más decepcionantes en la actualidad. Este es el por qué.

Aunque los cortafuegos de aplicaciones net (WAF) son un elemento básico establecido de las estrategias de seguridad de aplicaciones empresariales, el hecho es que la mayoría de las organizaciones luchan para aprovecharlas al máximo.

Una nueva encuesta realizada la semana pasada indica que un número significativo de ataques a aplicaciones internet omiten el WAF, las organizaciones luchan por ajustarlos y no están bien integrados en funciones de seguridad más amplias. Esto solo sirve para reforzar las advertencias hechas por analistas y otros estudios durante los últimos 18 meses de que los mecanismos de protección WAF deben evolucionar y no pueden ser el único pilar para un programa AppSec.

los último estudio viene a través del Consejo de Seguridad Internacional de Neustar, que encontró que cuatro de cada 10 profesionales de seguridad informaron que al menos la mitad de los ataques de la capa de aplicación presionados contra ellos terminan pasando por alto el WAF. Uno de cada 10 impactantes dijo que es más como el 90% de los ataques de las defensas WAF.

Mientras tanto, uno de cada tres profesionales de seguridad dijo que alrededor del 50% de las solicitudes de pink realizadas en los últimos 12 meses han sido etiquetadas como falsas positivas. Eso coincide con los hallazgos del estudio de que una proporción related de organizaciones está teniendo dificultades para ajustar adecuadamente sus WAF. Aproximadamente el 30% informó que tienen dificultades para alterar las políticas WAF para protegerse contra las nuevas amenazas de la capa de aplicación. Además, el 40% de las organizaciones no pueden integrar completamente sus WAF en otras aplicaciones de seguridad o funciones de seguridad más amplias.

Estos resultados hacen eco de un Estudio de 2019 realizado por el Instituto Ponemon eso demostró que el 60% de las organizaciones no estaban satisfechas con sus WAF. Ese estudio encontró de manera related a organizaciones que luchan con un porcentaje significativo de ataques en la capa de aplicaciones que eluden el WAF, así como las luchas administrativas por la carga del ajuste y los falsos positivos. Ponemon Institute descubrió que la organización promedio empleaba a 2.5 administradores de seguridad, que pasaban 45 horas por semana procesando alertas WAF y otras 16 horas por semana escribiendo nuevas reglas para WAF.

Lo que los WAF no están atrapando
Los problemas desenterrados por estos estudios definitivamente han llegado al radar de las firmas de analistas, lo que indica que el mercado WAF se debe a algunas sacudidas considerables en el futuro cercano.

«Las organizaciones quieren más de sus proveedores de WAF, y el grado de retroalimentación negativa de las referencias proporcionadas por el proveedor advierte que, a menos que los proveedores se adapten rápidamente, el mercado de WAF está listo para la interrupción». de acuerdo con Sandy Carielli, analista principal de Forrester Investigation, quien dirigió la investigación de mercado más reciente de la firma en el mercado WAF esta primavera.

El informe de Forrester muestra que las organizaciones están luchando particularmente ya que sus implementaciones actuales de WAF no pueden manejar una gama más amplia de ataques de aplicaciones, particularmente ataques del lado del cliente, ataques basados ​​en API y ataques controlados por bot.

En el frente de la API (interfaz de programación de aplicaciones), por ejemplo, un número creciente de falsificaciones de solicitudes del lado del servidor (SSRF) son posibles debido a cómo las arquitecturas en la nube usan API de metadatos y webhooks.

«El WAF no necesariamente se puede implementar en línea para monitorear las solicitudes HTTP salientes hechas por la aplicación web. Muchas compañías SaaS ofrecen algún tipo de producto de enlace web que realiza una solicitud http en nombre del usuario y no puede diferenciarse fácilmente de un Ataque de SSRF «, explicó Jayant Shukla, CTO y cofundador de K2 Cyber ​​Security, en un análisis a principios de este año de la violación de Funds A person de 2019, que comenzó con un ataque de SSRF que aprovechó una debilidad en el WAF de la organización. «Estos factores exponen las limitaciones fundamentales que enfrentan las WAF al tratar de defenderse de los ataques de la SSRF».

Las heridas de AppSec se muestran a través de curitas WAF
Muchos expertos creen que las luchas con los WAF indican más debilidades sistémicas en la estrategia y ejecución de AppSec. Por ejemplo, un estudio de Radware el otoño pasado supuso que los WAF son uno de varios productos, como RASP y productos de revisión de código, que constituyen un enfoque de «espagueti en la pared» en el que las organizaciones lanzan productos a un problema que requiere Un cambio más elementary en la forma en que las organizaciones desarrollan y remedian el program.

Durante muchos años, un número cada vez mayor de organizaciones ha utilizado WAF como sustituto para tener un programa AppSec que funciona y que mejora continuamente la postura de seguridad del computer software basado en la priorización basada en el riesgo. En lugar de usar un WAF como respaldo a medida que se realizan mejoras, lo ponen como una medida de defensa de primera línea. El problema es, como muestran los estudios de Neustar y Ponemon, un WAF afectado por la rapidez con que el equipo puede crear reglas para frustrar nuevas técnicas de ataque.

Al final del día, la insatisfacción con los WAF puede ser que muchas organizaciones simplemente están depositando demasiadas esperanzas en ellos. En cambio, algunos expertos dicen que simplemente debería verse como un obstáculo para los atacantes mientras una organización trabaja en la reparación del código.

«Si va a utilizar un WAF, no protegerá sus productos de ataques indefinidamente». dijo Tim Jarrett, director senior de gestión de productos de Veracode. «Así que united states el tiempo que un WAF te da sabiamente averigua dónde están las vulnerabilidades subyacentes en tu aplicación y arréglalas».

Contenido relacionado:

Ericka Chickowski se especializa en cobertura de tecnología de la información e innovación empresarial. Se ha centrado en la seguridad de la información durante la mayor parte de una década y escribe regularmente sobre la industria de la seguridad como colaboradora de Dark Looking at. Ver biografía completa

Lectura recomendada:

Más thoughts





Enlace a la noticia authentic