protección vulnerabilidades en aplicaciones webaplicaciones web a almacenar y servir, o reflejan el...
TRANSCRIPT
PRESENTED BY:
https://interact.f5.com/2018_SOAD?utm_source=F5LABS&utm_medium=f5&utm_campaign=CL-MULC-SOAD
7
Costo total anualizado del delito cibernéticoPenomon Institute, Cost of Cyber Crime Study
8
Industrias más frecuentemente vulneradasIBM Security Services
Web server Web App serverData
Firewall
Un atacante encuentra una
vulnerabilidad en una
aplicación web customizada
y envía un ataque vía puerto
80/443
Los servidores web
reciben el código
malicioso y lo envían al
servidor de App Web
El servidor de App Web
recibe el código
malicioso y lo envía al
servidor de bases de
datos
El servidor de bases de
datos ejecuta el código
malicioso y retorna
datos de las tablas de
información
El servidor de App Web
genera dinámicamente
una pagina con datos
confidenciales
El servidor web envía
los datos confidenciales
al atacante
11
OWASP Top 10 Application Security Risks - 2017
A1: Injection
A2: Broken Authentication
A3: Sensitive Data Exposure
A4: XML External Entities (XXE)
A5: Broken Access Control
A6: Security Misconfiguration
A7: Cross-Site Scripting (XSS)
A8: Insecure Deserialization
A9: Using Components with Known Vulnerabilities
A10: Insufficient Logging & Monitoring
Los firewalls de red
son utilizados para el
perímetro del
datacenter
Database server DataCGI/JavaScriptWeb server App server
La encripción SSL
es utilizada para
proteger los datos
en transito
La encripción SSL
es utilizada para
proteger los datos
en transito
Practicas de Server
hardening son
aplicadas
Parches en servidores
son mantenidos
rutinariamente
Application
developers
Los desarrolladores
agregan seguridad en
las aplicaciones
Database server DataCGI/JavaScriptWeb server App serverApplication
developers
SSL solo protege la
confidencialidad y la
integridad de los datos en
trafico
L7
L6
L5
L4
L3
L2
L1
L6
L5
L4
L3
L2
L1
L5
L4
L3
L2
L1
L4
L3
L2
L1
L3
L2
L1
L2
L1L1
Los firewalls de
red solo
protegen
ataques en la
capa 4
Los ataques de
aplicación toman lugar
en la capa 7
Los firewalls de red
son ¨ciegos¨ con el
trafico SSL
SSL en realidad ayuda a
garantizar que las
solicitudes maliciosas se
realicen en el servidor
web
El Hardening, parcheo, y la
segurización del código no
protegen contra ataques de día
cero
Database server DataCGI/JavaScriptWeb server App serverApp server
Los ataques de
aplicaciones pueden
desconectar los
servidores
Los ataques de
aplicaciones pueden
eliminar datos de bases
de datos y bases de datos
completas
Los ataques de aplicación
pueden exponer archivos
confidenciales del servidor
Los ataques de aplicación
pueden accede a datos
confidenciales
Se debe evitar que estos
ataques lleguen a la
aplicación web
WAF
POST /login.php HTTP/1.1Host: dvwa.vlab.f5demo.com\r\nConnection: keep-alive\r\nContent-Length: 44\r\nCache-Control: max-age=0\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9\r\nOrigin: https://dvwa.vlab.f5demo.com\r\nUpgrade-Insecure-Requests: 1\r\nUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.106 Safari/537.36\r\nContent-Type: application/x-www-form-urlencoded\r\n
WAF verifica el cumplimiento de RFC
WAF
WAF verifica los límites de longitud
POST /login.php HTTP/1.1Host: dvwa.vlab.f5demo.com\r\nConnection: keep-alive\r\nContent-Length: 44\r\nCache-Control: max-age=0\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9\r\nOrigin: https://dvwa.vlab.f5demo.com\r\nUpgrade-Insecure-Requests: 1\r\n
WAF
POST /login.php HTTP/1.1username=admin&password=P@ssw0rd!&Login=Login
WAF
GET /index.php HTTP/1.1
GET /index.asp HTTP/1.1
WAF
GET /login.php HTTP/1.1
GET /dvwa/sqli/sqlform.php HTTP/1.1
GET /instructions.php HTTP/1.1GET /index.php HTTP/1.1
WAF
WAF solo permite parámetros específicos
WAF
firmas de ataque
WAF
F5 libera actualizaciones cada
seis semanas o cuando sea
necesario
WAF MitigationA1:2017 Inyección
• Bloquea la inserción de cargas maliciosas:
JavaScript / SQL / Malware
• Descifra e inspecciona el tráfico de la
aplicación
RIESGO
Los datos de entrada no saneados o insuficientemente desinfectados pueden conducir inadvertidamente a la ejecución no autorizada de comandos, a la ex filtración de datos, a la eliminación de datos o a SQL, siendo un ejemplo clásico
• Aplica los valores de parámetros permitidos
predefinidos, la longitud y el uso preciso de
los metacaracteres
• Detecta y filtra patrones de ataque XSS
• Impone el uso preciso de metacaracteres
dentro del URI y nombres de parámetros
• Puede exigir valores de parámetros
permitidos predefinidos, longitud y uso
preciso de metacaracteres
A7:2017 Cross-Site Scripting (XSS)
RIESGO
Los atacantes fuerzan a las aplicaciones web a almacenar y servir, o reflejan el código malicioso de nuevo a la víctima para ser ejecutado dentro del contexto de confianza de un sitio que están visitando.
WAF Mitigation
=Botnet
Solicitudes
anónimas
Cross
Scripting
Atacante
Aplicacion
Labs
WAF
Firmas de ataques
• Bloquea los malos actores antes de que lleguen a tu centro de datos
• Cumple con las restricciones de las reglas en países o regiones
• Reducir la fuente de ataque
• Mitigar los patrones de tráfico anómalos de países específicos
•
•
•
Una tira de cuero con letras al azar es ilegible.
Pero envuélvelo en un palo de madera, y obtienes acceso a
su contenido.
HTTPS Apps
HTTPS
HTTPS Apps
Attacks
TLS 1.3
HTTP/2
Desire for privacy
PRIVATE
Proteja las aplicaciones web, sin importar dónde residan, mediante políticas consistentes en entornos híbridos junto
con las implementaciones de BIG-IP.
F5 BIG-IP WAF, IP Intelligence Subscription
43
Simplifique la implementación
y la administración
Defender aplicaciones y
sitios web
Cumplir con losestrictos
requisitos de cumplimiento
Para ayudar a los
administradores a
mantener las
aplicaciones
seguras
Cumplir con los
estrictos requisitos
y normas
Que ciertas industrias
deben mantener
Credential Protection
App-LayerDoS Protection
ProactiveBot Defense
OWASP Top 10
SSL/TLS Inspection
Scripting
OWASP Top 10
SSL/TLS Inspection
Scripting
OWASP Top 10
SSL/TLS Inspection
Scripting
Click “Fuse
my App”
iOS or Android
appPublicar la
aplicación
en
cualquier
lugar!
Elegir el SDK de F5
30 sec
FUSE MY APP
Mitigar Bots con el F5 Anti-Bot SDK Movil
Caso de uso: DoS Attacks
Communication
(signaling)
Core
On-Premises
Problema
Los ataques DoS están creciendo, los recursos de las compañias NO.
El tiempo de mitigación es lento debido a la iniciación manual y al ajuste de políticas difíciles.
Solución
Silverline Always On Protection con hardware local.
Mitigación con estrategia de defensa en capas y servicios en la nube.
F5 SOC monitoreo con portal.
Beneficios
El hardware en las instalaciones actúa de forma inmediata y automática.
Los servicios Silverline basados en la nube minimizan el riesgo de ataques más grandes.
DDoS Hybrid
Defender
Layer 3
DDoS Protection
Layer 7
DoS Protection
Advanced
WAF
DoS
Managed Services
SilverlineAlways On
Under Attack
Problema
Los delincuentes se están posesionando de la cuenta robando credenciales a través de malware.
Solución
Encriptación de credenciales a nivel de aplicación
Anti-bot SDK movil
Protección de relleno de credenciales
Protección de ataque de fuerza bruta
Beneficios
Evitar el uso de bases de datos de credenciales objeto de dumping.
Prevenir el robo de credenciales de usuario.
Proteger aplicaciones móviles.
Account Takeover
Protection
Users
USERNAME
Attackers
Mobile
Anti-Bot
Mobile SDK
Bots
Credential Encryption
Stolen Credential
Protection
Data Center
Interconnect
Cloud