3 sep. 2018

WAF vs RASP para proteger aplicaciones web

El mercado de Web Application Firewalls (WAF) es un mercado maduro y está preparado para que se produzca una disrupción ya que, según estima Gartner en su análisis sobre este sector publicado a finales de 2017, si estos fabricantes no ofrecen capacidades mejoradas, es posible que los competidores en tecnologías afines como los de RASP (Runtime Application Self-Protection) les coman terreno. La consultora independiente sitúa entre los primeros puestos de fabricantes de WAF a Imperva, F5 y Akamai, seguidos de Fortinet, Barracuda y Radware.

Entre los principales problemas a los que se enfrenta esta tecnología están los altos costes de administración, la incapacidad de prevenir determinados tipos de ataques y la dificultad para adaptarse a infraestructuras cloud, lo que supone la invalidez para trabajar en entornos flexibles.

Sin embargo, según Gartner, la tecnología RASP puede dar solución a estos tres problemas. "Otros fabricantes han ofrecido aproximaciones nuevas para la protección de aplicaciones web como es el caso de la tecnología RASP que propone una tecnológica adecuada para los retos mencionados anteriormente".

La tecnología RASP está ganando cuota de mercado día a día, debido a que los productos son rápidos de implementar y ofrecen una cobertura completa frente a las principales amenazas. La consultora destaca en el informe a seis empresas expertas en RASP, cuatro de ellas norteamericanas –Micro Focus-HP Application Defender, Trend Micro-Immunio, Contrast Security y Prevoty– y dos europeas –Hdiv Security y Waratek–. Además, Hdiv Security es la única empresa española que aparece en el listado.

Tecnología WAF vs. soluciones RASP

La principal diferencia entre ambas tecnologías es que los WAFs, al estar fuera de las aplicaciones, inspeccionan el tráfico entrante en busca de patrones de ataque sin entender realmente qué hacen las aplicaciones con los datos de entrada, por lo que deben bloquear cualquier entrada que pueda causar un exploit, lo haga o no; produciendo un gran número de falsos positivos.

En cambio, la tecnología RASP, al estar integrada dentro de cada aplicación, es capaz de conocer sus puntos vulnerables y de proteger solamente las peticiones de entrada con datos de entrada maliciosos que se dirijan a estos puntos, siendo por tanto más eficientes que los WAFs.

Por otro lado, la tecnología RASP trabaja de manera autónoma, la solución es capaz de inferir la lógica de negocio de la propia aplicación y conocer lo que debe proteger. De esta manera, cuando recibe un dato de entrada, sabe perfectamente lo que tiene que hacer con él. Esto evita los problemas de administración y gestión de reglas que ocurren cuando el firewall está fuera de la aplicación. Por ejemplo, si ocurriera un fallo en la lógica de negocio, la tecnología WAF no sería capaz de proteger de manera efectiva la aplicación web. Por el contrario, las soluciones RASP permiten estar más alineado con el negocio, sin falsos negativos, con latencias significativamente menores a los WAFs y estructuras de coste notablemente mejores.

La propuesta RASP de Hdiv Security es un software que se integra en las aplicaciones del cliente para protegerlas, haciendo uso de validaciones positivas o whitelisting generadas en tiempo real y ofreciendo una cobertura completa de los principales riesgos a nivel aplicación. Gracias a esta tecnología, Hdiv Security garantiza los mismos niveles de seguridad en entornos cloAmazon EC2, Microsoft Azure, Google App Engine, contenedores Docker e infraestructuras cloud tanto PaaS como Cloud Foundry.

Tecnología RASP

Según Gartner, - RASP es conceptualmente similar a un WAF, pero lógicamente más cercano a la aplicación al convertirse en una parte integral del entorno de tiempo de ejecución de una aplicación (por ejemplo, la JVM). Como tal, RASP supervisa la ejecución desde el "interior" de una aplicación utilizando el entorno de tiempo de ejecución de la aplicación, obtiene controles cuando se cumplen las condiciones de seguridad especificadas y toma las medidas de protección necesarias.

Esto en sí mismo es una gran diferencia ya que un WAF se encuentra frente a la aplicación web real y no dentro de ella. Si un atacante puede pasar por alto los filtros de entrada del WAF, su aplicación corre el riesgo de ser hackeada, y en la mayoría de los casos es la única línea de defensa que protege su aplicación. RASP, por otro lado, supervisa constantemente la aplicación y puede configurarse para alertar o incluso bloquear un ataque a medida que se produce (en tiempo real). Esta es la parte más emocionante de la tecnología RASP porque una de las preocupaciones más frecuentes es la "necesidad de adelantarse a la evolución de las amenazas". Y la mejor manera de mantenerse al frente del juego es monitorear estas amenazas potenciales en tiempo real (y tener la capacidad de bloquearlas mientras se trabaja en un plan de remediación).

La tecnología RASP se integra dentro de la aplicación en sí:
  1. RASP se instala colocando un agente en la máquina virtual de Java o .NET Common Language Runtime. Esto se puede ver simplemente como otro archivo DL o archivo JAR para implementar con la aplicación y es muy similar a algunos agentes ya utiliozados hoy (New Relic, AppDynamics, etc.). El impacto en el rendimiento de la aplicación es mínimo - Línea de base: 3-5% de aumento en la latencia; bajo ataque: 4.6 - 8.9% de aumento en la latencia.
  2. WAF es un dispositivo de seguridad de red mientras que la tecnología RASP instrumenta el tiempo de ejecución de la aplicación para obtener visibilidad en todo el contexto.
  3. RASP ofrece detección más precisa, protección / bloqueo más seguro (en tiempo real, a medida que se produce el ataque)
  4. La codificación de entrada es irrelevante
  5. La tecnología RASP no necesita ajuste para identificar campos / parámetros relevantes
  6. Protección y detección fuera de la caja sin modo de aprendizaje.
  7. Cobertura de categoría más grande en comparación con un WAF (fuga de datos, falla de llamada de método, excepción no controlada, etc.).
  8. La tecnología RASP ofrece un tiempo más rápido para la remediación
El instituto SANS elaboró ​​un informe detallado que compara la tecnología WAF con RASP [PDF]. En este informe, el Instituto SANS hace referencia a la solución RASP de HPE específicamente (App Defender).

Fuente: CyberSecurity

2 comentarios:

  1. Y si el propio RASP es vulnerable, podría tomar el control tanto del RASP como del entorno de ejecución de la aplicación. Eso es una desventaja con respecto al WAF que, casualmente, no se menciona.

    No está mal el artículo pero me parece ligeramente sesgado.

    ResponderEliminar
  2. La ventaja del RASP de HdivSecurity es que al tener una Community Edition, su código base ha sido revisado por la comunidad desde hace 8 años, por lo que la situación que comentas es improbable.

    Sobre el posible sesgo en el artículo, este refleja la opinión del principal análista del mercado, que a su vez refleja la opinión de los clientes. Sin duda es mejor tener un WAF que no tener nada, pero los WAF distan de ser una solución incuestionable por los problemas expuestos por sus usuarios.

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!