Los firewalls de aplicaciones web (WAF) se han convertido en una primera línea fundamental de defensa de las aplicaciones. Sin embargo, configurarlos y administrarlos en entornos híbridos locales y de varias nubes puede volverse abrumador y arriesgado rápidamente.
En el peor de los casos, cada nube termina con sus propias herramientas WAF, una receta para la inconsistencia. Por ejemplo, una persona configura un WAF en la nube privada, mientras que otra persona tiene la responsabilidad del WAF nativo de la nube pública: dos productos diferentes con diferentes capacidades de protección e informes, mantenidos como seguridad independiente.
Cuando se trata de la protección de aplicaciones web, el ritmo acelerado de DevOps y la digitalización posterior a Covid solo se ha sumado a este escenario ya complejo. Estos impulsores del mercado han introducido una ola de innovación y cambio. Los responsables de seguridad y los ingenieros de redes se enfrentan a nuevas arquitecturas, como contenedores de microservicios y Kubernetes. Las empresas se están reinventando y digitalizando los servicios para satisfacer las necesidades cambiantes de los clientes y las nuevas formas en que se realiza el trabajo.
En muchos casos, estos rápidos avances se dan sin tener la experiencia de seguridad adecuada internamente y sin saber cómo será el entorno de la aplicación en el futuro cercano. Los profesionales de la seguridad y los ingenieros de redes intentan mantenerse al día, pero no siempre comprenden los riesgos que plantean estos entornos cambiantes.
Uno de los problemas resultantes, al que a menudo no se le presta suficiente atención, es la sensación fingida de seguridad que las organizaciones tienen en su firewall de aplicaciones web y herramientas de protección de aplicaciones. La mayoría de las veces, vemos organizaciones que confían ciegamente en estas herramientas de seguridad sin darse cuenta de los ataques que pasan desapercibidos.
Los ciberataques prosperan con una defensa inconsistente y fragmentada. Según el Informe sobre delitos en Internet del FBI de 2021, solo en los EE. UU., la oficina recibió más de 840 000 quejas e informó daños cibernéticos por un total de $6900 millones (consulte la Figura 1).
Figura 1: Quejas y daños por delitos cibernéticos
Las aplicaciones son uno de los principales objetivos. El informe IBM Cost of Data Breach 2021 reveló que más del 50 % de las filtraciones de datos en 2021 se debieron a atacar vulnerabilidades en esta capa. Otros datos de IBM muestran que las violaciones de datos y los registros y contenidos robados pueden causar pérdidas sustanciales a las organizaciones que se estiman en cientos de miles de dólares por cada ataque de pirata informático y un promedio de $ 4,24 millones por cada incidente de violación de datos (consulte la Figura 2).
Figura 2: Costo total promedio de una violación de datos, medido en millones de dólares estadounidenses
Sin duda, cuando están mal configurados, los WAF pueden convertirse rápidamente en una responsabilidad costosa. Sin embargo, cuando se configuran correctamente, los WAF son una defensa eficaz contra las infracciones.
Las buenas noticias . . . Los WAF o la protección de aplicaciones web y API (WAAP) se han convertido en un requisito previo de seguridad para casi todas las organizaciones importantes. Hoy en día, existe una mayor conciencia general sobre la seguridad y la necesidad de tomar medidas para proteger una empresa, los clientes y los datos y registros de los usuarios de las amenazas cibernéticas.
Las malas noticias . . . Con demasiada frecuencia, los WAF se tratan como una casilla de verificación para satisfacer a los oficiales de cumplimiento y burócratas. Esto lleva a las empresas a utilizar herramientas de protección de aplicaciones inadecuadas o comprar soluciones WAF o WAAP «suficientemente buenas» pero no las configuran correctamente. En muchos casos, las organizaciones carecen de la experiencia para equilibrar sus necesidades comerciales y de seguridad. Les preocupa que los falsos positivos bloqueen el tráfico legítimo, por lo que establecen sus WAF en niveles mínimos de protección. Muchos de ellos incluso los operan en un modo sin bloqueo o en modo de monitoreo, frustrando efectivamente su propósito.
Los WAF mal configurados o las pilas de seguridad desatendidas causan más daños que beneficios. Brindan a las organizaciones una falsa sensación de seguridad, lo que las hace menos atentas a los ataques y las infracciones. De hecho, la mayoría de las organizaciones no están sintonizadas con la verdadera realidad de su postura de seguridad y dónde están expuestas al riesgo. He aquí por qué:
No todos los WAF se crean de la misma manera: muchas soluciones WAF no brindan un nivel sólido de seguridad listo para usar. La verdad es que algunos de ellos nunca lo harán, y algunos simplemente requieren una gran cantidad de configuración manual para que estén a la altura.
No todos los WAF están bien configurados: muchas organizaciones carecen de la experiencia necesaria para configurar correctamente un WAF. En algunos casos, la parte interesada a cargo del WAF puede ser un ingeniero de redes de TI experimentado con buenos conocimientos técnicos, pero sin una comprensión lo suficientemente amplia de las amenazas a la seguridad cibernética o las vulnerabilidades de la organización. Como resultado, por temor a que los falsos positivos bloqueen el tráfico legítimo, los WAF se establecen en un nivel de seguridad mínimo y altamente vulnerable.
La mayoría de los ataques de aplicaciones exitosos pasan desapercibidos: con la protección DDoS, es muy fácil saber cuándo una organización está siendo atacada y si su servicio funciona correctamente. Por el contrario, los ataques exitosos de piratería y bots que no son DDoS pueden pasar desapercibidos durante días, semanas o meses, ya que no afectan de inmediato el rendimiento del sitio web. En consecuencia, muchas empresas continúan operando sin saber que han sido pirateadas y que los datos de los usuarios se han visto comprometidos. De hecho, muchas organizaciones no descubren que han sido violadas hasta que reciben un correo electrónico de rescate o cuando aparecen listas de sus datos de usuario en la web. En pocas palabras, no sabes lo que no sabes.
Nunca es demasiado pronto para hacer un inventario serio de una infraestructura de seguridad. Si las empresas descubren que alguno de los siguientes escenarios se aplica a su negocio, es hora de revisar su estrategia WAF.
Si la aplicación atiende a más de 1000 personas al día, lo más probable es que la organización esté en el punto de mira de los piratas informáticos.
Si el WAF está configurado solo en modo de supervisión o no bloquea ningún tráfico, entonces no está haciendo su trabajo y el riesgo de un ataque a la aplicación es alto.
Si una organización no ha actualizado sus políticas de seguridad de WAF o no ha ejecutado un descubrimiento de API durante más de 10 días, lo más probable es que sus aplicaciones sean vulnerables.
Casi el 60% del tráfico de Internet es generado por bots, de los cuales la mitad proviene de bots malos. Entonces, si la solución WAAP no bloquea ningún bot, ¡entonces algo no está bien!
Si un WAF va a servir como una línea de defensa efectiva para cualquier organización, es importante tener en cuenta estas reglas del camino:
No use un WAF solo en modo de monitoreo/aprendizaje.
Capacite a los expertos en seguridad internos sobre los productos de protección de aplicaciones en su pila de seguridad y adopte flujos de trabajo de rutina. No aplique una mentalidad de establecer y olvidar. Las cosas cambian demasiado rápido. Las organizaciones deben revisar constantemente los informes y análisis.
Si una organización no tiene la experiencia y los conocimientos de seguridad internos adecuados, utilice soluciones de protección de aplicaciones que ofrezcan servicios gestionados. Esto ahorrará una gran cantidad de recursos en la contratación, capacitación y financiamiento de profesionales de seguridad internos.
Nunca confíe en los productos de seguridad existentes, incluso si parecen ser efectivos. Ejecute pruebas de penetración y análisis de vulnerabilidades cada año.
Si algo no parece estar bien con el rendimiento del tráfico, es probable que algo no esté bien.
Evite el uso de múltiples soluciones de protección de aplicaciones en diferentes entornos. En su lugar, busque una única solución integral que ofrezca un nivel constante de seguridad, control y visibilidad en toda la red.
Para comprender mejor los riesgos de seguridad que exponen a su empresa a filtraciones de datos y pérdidas financieras, Radware ofrece un análisis de vulnerabilidad de aplicaciones GRATUITO. Application Vulnerability Analyzer de Radware aprovecha los registros del servidor de su sitio web para descubrir posibles riesgos de seguridad que podrían afectar a su organización. Utiliza una variedad de algoritmos de Radware y herramientas analíticas para identificar vulnerabilidades, configuraciones incorrectas y más.
¿Te interesa conocer más sobre la solución? Da click aquí