Inicio  ·  Blog

Blog Advanced WAF:

Firewall Avanzado de Aplicaciones Web (AWAF)

¿Por qué necesitan las organizaciones un AWAF?

Hoy en día, las empresas están ampliando sus negocios mediante el uso de aplicaciones basadas en la web y alojadas en la nube, por lo que contar con un firewall avanzado de aplicaciones web (AWAF) robusto y ágil para protegerlas de las amenazas de seguridad no es un lujo, sino una necesidad.

A medida que estas aplicaciones basadas en la web y en la nube se extienden con mayor rapidez, los ataques se vuelven cada vez más sofisticados y frecuentes, amenazando los datos y las operaciones críticas de las empresas. Esto hace que sea mucho más difícil para los administradores y los equipos de seguridad mantenerse al día sobre los últimos ataques y las medidas de protección. 

Al mismo tiempo, deben cumplir con los estrictos requisitos de cumplimiento para el comercio en línea (por ejemplo, el estándar de seguridad de datos de la industria de las tarjetas de pago); proteger las aplicaciones web críticas para el negocio de ataques comunes como la inyección SQL, los ataques DDoS y los ataques multifacéticos de día cero; y permitir el intercambio seguro de datos a través de entornos tradicionales y en la nube.

¿Qué se necesita para desplegar un firewall avanzado de aplicaciones web ?

Las empresas pueden emplear una combinación de técnicas para garantizar una cobertura de detección precisa que no bloquee el tráfico legítimo. Tradicionalmente, la configuración WAF más utilizada ha sido un modelo de seguridad negativa, que permite todas las transacciones excepto las que contienen una amenaza o ataque.

La seguridad negativa utiliza firmas y reglas diseñadas para detectar amenazas y ataques conocidos. La base de datos de reglas de firmas será bastante importante, ya que el conocimiento de los ataques se ha acumulado a lo largo de los años. 

Se trata de un gran modelo de protección inmediata, que bloquea las amenazas más conocidas, como las inyecciones web, las 10 principales amenazas de OWASP o las secuencias de comandos en sitios cruzados (XSS).

En los años recientes, los modelos de seguridad positiva se han hecho más populares. Este enfoque bloquea todo el tráfico, permitiendo sólo las transacciones que se sabe que son válidas y seguras. El enfoque positivo se basa en una estricta validación del contenido y análisis estadístico, que puede ser más eficaz para prevenir las amenazas de día cero y la manipulación de vulnerabilidades. Para ser realmente eficaz, un enfoque de seguridad positiva requiere un profundo conocimiento de la aplicación y de sus usos previstos.

Desafíos

Múltiples pasos entrelazados que hay que emprender

Tanto los modelos positivos como los negativos son capaces de lograr el delicado equilibrio entre seguridad y funcionalidad. Sin embargo, ni un modelo de seguridad positivo ni uno negativo pueden ofrecer por sí solos la solución más económica en cada situación o entorno. 

Cuando se combina con los requisitos de la empresa, un enfoque positivo y negativo integrado puede permitir a las organizaciones obtener el mayor rendimiento de la inversión de cualquier implementación de políticas de seguridad.

Tomar las decisiones apropiadas para un despliegue AWAF que satisfaga mejor los objetivos de la empresa puede ser un reto. La necesidad de tiempo y recursos suele competir con la necesidad de conocimientos adecuados y confianza en el uso del producto seleccionado.

Hay múltiples pasos que un cliente tendrá que llevar a cabo al planificar y entregar un proyecto de implementación de servicios AWAF:

  • Construir la estrategia AWAF más adecuada y conseguir que la aprueben todas las partes internas interesadas.
  • Utilizar eficientemente el producto AWAF para implementar el conjunto correcto de políticas y parámetros.
  • Planificar el despliegue del servicio AWAF, a menudo en varios cientos de aplicaciones.
  • Planificar las operaciones diarias del servicio y la gestión del ciclo de vida en producción.

Cada paso ofrece desafíos comunes

  • Tener en cuenta las limitaciones: los requisitos (o expectativas) de seguridad de la empresa y del negocio no siempre tienen en cuenta las limitaciones técnicas, operativas y de recursos. La tentación es entonces tratar de cumplir un objetivo de alto nivel diseñando una estrategia muy sofisticada antes de asegurarse que la organización ha puesto en marcha todo lo necesario para que ese objetivo sea alcanzable. En muchos casos puede ser necesaria una evaluación y un análisis neutral de la situación para resolver esta cuestión.
  • Equilibrio entre disponibilidad y seguridad: mantener un adecuado equilibrio entre la disponibilidad de las aplicaciones, requerida por los propietarios de las empresas, y el nivel de protección requerido por el equipo de seguridad no siempre es fácil de conseguir. Por ejemplo, los propietarios de las empresas no quieren bloqueos de sus aplicaciones debido a falsos positivos o políticas WAF demasiado restrictivas. También en este caso, una evaluación y un análisis imparciales y formados de la situación pueden ayudar a las organizaciones a encontrar el equilibrio adecuado y a preparar planes de mitigación para abordar los posibles impactos en la producción.
  • Practicar en contexto: asistir a la formación del proveedor de software o aprobar la certificación del producto es muy recomendable, pero nunca ahorrará el esfuerzo de practicar dentro del contexto, los objetivos y las limitaciones reales de la empresa.
  • Calidad de la información: una de las cuestiones que los clientes se plantean con mucha frecuencia es cómo asegurar un gran número de aplicaciones. Sin embargo, a menudo el volumen en sí mismo no es el principal problema, mientras que la calidad y la integridad de la información disponible para cada aplicación sí obstaculizan un proyecto WAF y deberían llevar a consideraciones adicionales de la estrategia de diseño e implementación. 
  • Experiencia en la implantación de WAF: esto será de gran ayuda para descubrir los criterios relevantes y establecer la caracterización y agrupación de las aplicaciones; también será muy útil para adaptar el diseño general del servicio WAF y la estrategia de implantación. 
  • Garantizar la viabilidad y el soporte: a menudo, los clientes se olvidan de incluir consideraciones por adelantado de los pasos posteriores para garantizar la viabilidad y el soporte. Generalmente, este es el error más frecuente que se comete (es decir, diseñar y planificar la solución sin estudiar las implicaciones de los modelos de diseño e implementación seleccionados cuando se opere esa solución a largo plazo en un entorno de producción). 
  • Subestimación de los recursos: un ejemplo común es la subestimación de los recursos necesarios para mantener políticas WAF muy sofisticadas mientras todo el entorno se enfrenta a cambios regulares de todas las partes: amenazas, mitigaciones, lanzamientos de aplicaciones, etc.

La solución F5 en políticas AWAF

Los servicios profesionales de F5 en servicio AWAF personalizan la solución para su entorno

El amplio conjunto de funciones de F5, como los múltiples métodos de despliegue (incluido el creador de políticas de tráfico real), el aprendizaje manual y las funciones avanzadas, como la integración de escáneres de vulnerabilidad, firmas de ataque, prevención de fuerza bruta, aplicación de geolocalización, detección de bots, mitigación de ataques DDoS, etc., permiten realizar configuraciones rápidas y adaptadas a todo tipo de necesidades. Estas configuraciones pueden escalarse y mejorarse para hacer frente a la evolución del mundo de la seguridad ante amenazas y satisfacer los requisitos más exigentes de los clientes.

Los ingenieros de F5 crearon específicamente el servicio de firewall avanzado de aplicaciones web para los clientes que compraron y aprovisionaron el módulo Advanced WAF BIG-IP, pero que aún no han desplegado un servicio AWAF eficaz (por ejemplo, con pocas políticas sólo en modo transparente).

El servicio Advanced AWAF Launchpad puede proporcionar el beneficio de la experiencia y los conocimientos de un ingeniero experto en seguridad de F5 para ayudar a los clientes a superar los problemas de casos de uso específicos y participar en un proyecto de implementación de Advanced WAF con éxito.

Alcance del servicio de implantación de WAF

El servicio implica la colaboración entre un ingeniero experto en seguridad de F5 y los equipos de seguridad, infraestructura, red y gestión de aplicaciones del cliente.

El doble objetivo del servicio es desarrollar una estrategia de implementación de políticas de AWAF avanzado que se ajuste a los objetivos utilizando las mejores prácticas de F5, y transferir conocimientos y experiencia que puedan ser puestos en práctica directamente por el cliente.

Enfoque de la prestación del servicio de gestión de AWAF avanzado

El servicio consiste en un compromiso de dos días mediante los cuales se impartirán la teoría y la práctica de las funcionalidades, las implementaciones y los requisitos de gestión de AWAF avanzado para garantizar que los clientes tengan la confianza y la capacidad de implementar soluciones eficaces de AWAF avanzado para una seguridad óptima de las aplicaciones.

Paso 1: Estrategia de diseño y despliegue de AWAF avanzado

El primer día del compromiso comienza con una sesión de trabajo en la que participan los arquitectos de seguridad, diseñadores, ingenieros, operaciones y otras partes interesadas a cargo de la gestión de la política de seguridad de AWAF avanzado.

El consultor de F5 impulsará la recopilación de datos y el análisis imparcial del contexto y los objetivos existentes, proporcionará recomendaciones y mejores prácticas; también llevará a cabo reflexiones exhaustivas para desarrollar una estrategia de diseño e implementación de alto nivel. Al final de ese primer día, el Consultor F5 preparará un informe en el que se destacarán las conclusiones y recomendaciones.

Paso 2: Creación e implementación de la política de firewall avanzado de aplicaciones web

Este paso consiste en crear una política y aplicarla a un servidor virtual para cubrir una aplicación web determinada. Puede realizarse de una sola vez o puede dividirse en sub tareas separadas para adaptarse a la estrategia de implementación de políticas seleccionada.

Por ejemplo, la implementación de una política en un banco de pruebas de un cliente con el método de despliegue rápido puede realizarse en una sola sesión. Por otro lado, la generación de una política utilizando el Constructor de Políticas Automático (es decir, donde el tráfico «real» está disponible para ser inspeccionado durante un período prolongado) puede dividirse en dos partes:

  • Una subtarea para configurar la política básica.
  • Otra posterior para realizar el ajuste de la política y la transición al modo de bloqueo.

Firewall Avanzado de Aplicaciones Web

El apoyo en vivo de un consultor calificado con conocimientos y experiencia pertinentes ha demostrado ser muy a menudo la mejor solución para poner un proyecto de despliegue de servicios AWAF en el camino correcto y ayudar a los propietarios de un firewall avanzado de aplicaciones web a tomar decisiones adecuadas y eficientes.


Fuente artículo: Advanced Web Application Firewall (WAF) Launchpad

Otros contenidos de nuestro blog que pueden interesarte:

Cómo mitigar las vulnerabilidades de las aplicaciones

Actualmente, las aplicaciones no sólo permiten la transformación digital de un negocio, sino que son, a su vez, el negocio. Para mantener la agilidad al tiempo que se acelera la velocidad de comercialización, las organizaciones han adoptado el desarrollo ágil y han...

Las cinco prácticas de ciberseguridad que toda empresa debería adoptar

En general, las organizaciones deben implementar las prácticas de ciberseguridad necesarias para mitigar el riesgo y cumplir con los requisitos de cumplimiento. Hemos hablado de cómo mitigar las ciberamenazas conocidas y previsibles. Sin embargo, ¿cuál es el listón...

Guía práctica para elegir el WAF adecuado para tu empresa

A pesar de los grandes esfuerzos colectivos que ha realizado la industria tecnológica para reforzar las prácticas de desarrollo de aplicaciones seguras, la mitad de estas siguen siendo vulnerables a los ataques. Violaciones de datos confirmadas El informe Verizon 2018...

OWASP Top 10, cómo evitar las principales amenazas de seguridad en aplicaciones web

Hay una razón por la que el OWASP Top 10 ha recibido tanta atención últimamente. Es la misma razón por la que seguimos escuchando hablar de importantes brechas de seguridad y de datos a diestro y siniestro. La seguridad de aplicaciones web es difícil, muy difícil. Por...

El ROI oculto de la seguridad en la nube

Seguro que ya habéis escuchado esto antes: empresas de todos los tamaños están experimentando la transformación digital, trasladando aplicaciones y servicios a la nube en un esfuerzo por impulsar la productividad y acelerar la innovación y todo esto con la finalidad...

Proteja sus APIs y Aplicaciones donde quiera que se alojen

Todas las organizaciones quieren lo mismo de sus aplicaciones: el mejor rendimiento para sus usuarios y una seguridad excepcional para evitar pérdidas y daños. Es un concepto sencillo, pero ofrecer una seguridad integral que no ralentice la...

Actualizar la seguridad a la velocidad del negocio

En el vertiginoso mundo actual, los cambios en las empresas deben producirse en un abrir y cerrar de ojos o tendrán un importante impacto negativo. Algunos cambios están impulsados por la necesidad del negocio, otros por el entorno y la seguridad. Por ejemplo, la...

Las tres fases de la transformación digital

En los últimos años, las empresas de todos los sectores industriales se han embarcado en un viaje de transformación digital de una forma u otra. Las empresas están aprovechando la proliferación de tecnologías digitales para definir nuevos modelos de negocio o...

La mitad del malware del mundo está ahora encriptado

Lo que no puedes ver podría estar perjudicando a tu organización y el cifrado es un importante punto ciego. Según F5 Labs más del 80% del tráfico mundial de Internet está encriptado y la falta de visibilidad del tráfico encriptado supone una importante amenaza para la...

El estado de la estrategia de las aplicaciones 2021: La eficacia de la automatización

La automatización es un componente crítico de la transformación digital, ya que es la automatización de las tareas a través de las aplicaciones lo que constituye el foco de la primera fase para la digitalización empresarial. La transformación digital de los flujos de...

¿Necesitas información personalizada sobre Advanced WAF?

Nuestros asesores podrán ofrecerte una solución a medida de tus necesidades

Contactar con un asesor