protección vulnerabilidades en aplicaciones webaplicaciones web a almacenar y servir, o reflejan el...

PRESENTED BY:

https://interact.f5.com/2018_SOAD?utm_source=F5LABS&utm_medium=f5&utm_campaign=CL-MULC-SOAD

7

Costo total anualizado del delito cibernéticoPenomon Institute, Cost of Cyber Crime Study

8

Industrias más frecuentemente vulneradasIBM Security Services

Web server Web App serverData

Firewall

Un atacante encuentra una

vulnerabilidad en una

aplicación web customizada

y envía un ataque vía puerto

80/443

Los servidores web

reciben el código

malicioso y lo envían al

servidor de App Web

El servidor de App Web

recibe el código

malicioso y lo envía al

servidor de bases de

datos

El servidor de bases de

datos ejecuta el código

malicioso y retorna

datos de las tablas de

información

El servidor de App Web

genera dinámicamente

una pagina con datos

confidenciales

El servidor web envía

los datos confidenciales

al atacante

11

OWASP Top 10 Application Security Risks - 2017

A1: Injection

A2: Broken Authentication

A3: Sensitive Data Exposure

A4: XML External Entities (XXE)

A5: Broken Access Control

A6: Security Misconfiguration

A7: Cross-Site Scripting (XSS)

A8: Insecure Deserialization

A9: Using Components with Known Vulnerabilities

A10: Insufficient Logging & Monitoring

Los firewalls de red

son utilizados para el

perímetro del

datacenter

Database server DataCGI/JavaScriptWeb server App server

La encripción SSL

es utilizada para

proteger los datos

en transito

La encripción SSL

es utilizada para

proteger los datos

en transito

Practicas de Server

hardening son

aplicadas

Parches en servidores

son mantenidos

rutinariamente

Application

developers

Los desarrolladores

agregan seguridad en

las aplicaciones

Database server DataCGI/JavaScriptWeb server App serverApplication

developers

SSL solo protege la

confidencialidad y la

integridad de los datos en

trafico

L7

L6

L5

L4

L3

L2

L1

L6

L5

L4

L3

L2

L1

L5

L4

L3

L2

L1

L4

L3

L2

L1

L3

L2

L1

L2

L1L1

Los firewalls de

red solo

protegen

ataques en la

capa 4

Los ataques de

aplicación toman lugar

en la capa 7

Los firewalls de red

son ¨ciegos¨ con el

trafico SSL

SSL en realidad ayuda a

garantizar que las

solicitudes maliciosas se

realicen en el servidor

web

El Hardening, parcheo, y la

segurización del código no

protegen contra ataques de día

cero

Database server DataCGI/JavaScriptWeb server App serverApp server

Los ataques de

aplicaciones pueden

desconectar los

servidores

Los ataques de

aplicaciones pueden

eliminar datos de bases

de datos y bases de datos

completas

Los ataques de aplicación

pueden exponer archivos

confidenciales del servidor

Los ataques de aplicación

pueden accede a datos

confidenciales

Se debe evitar que estos

ataques lleguen a la

aplicación web

WAF

POST /login.php HTTP/1.1Host: dvwa.vlab.f5demo.com\r\nConnection: keep-alive\r\nContent-Length: 44\r\nCache-Control: max-age=0\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9\r\nOrigin: https://dvwa.vlab.f5demo.com\r\nUpgrade-Insecure-Requests: 1\r\nUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.106 Safari/537.36\r\nContent-Type: application/x-www-form-urlencoded\r\n

WAF verifica el cumplimiento de RFC

WAF

WAF verifica los límites de longitud

POST /login.php HTTP/1.1Host: dvwa.vlab.f5demo.com\r\nConnection: keep-alive\r\nContent-Length: 44\r\nCache-Control: max-age=0\r\nAccept: text/html,application/xhtml+xml,application/xml;q=0.9\r\nOrigin: https://dvwa.vlab.f5demo.com\r\nUpgrade-Insecure-Requests: 1\r\n

WAF

POST /login.php HTTP/1.1username=admin&password=P@ssw0rd!&Login=Login

WAF

GET /index.php HTTP/1.1

GET /index.asp HTTP/1.1

WAF

GET /login.php HTTP/1.1

GET /dvwa/sqli/sqlform.php HTTP/1.1

GET /instructions.php HTTP/1.1GET /index.php HTTP/1.1

WAF

WAF solo permite parámetros específicos

WAF

firmas de ataque

WAF

F5 libera actualizaciones cada

seis semanas o cuando sea

necesario

WAF MitigationA1:2017 Inyección

• Bloquea la inserción de cargas maliciosas:

JavaScript / SQL / Malware

• Descifra e inspecciona el tráfico de la

aplicación

RIESGO

Los datos de entrada no saneados o insuficientemente desinfectados pueden conducir inadvertidamente a la ejecución no autorizada de comandos, a la ex filtración de datos, a la eliminación de datos o a SQL, siendo un ejemplo clásico

• Aplica los valores de parámetros permitidos

predefinidos, la longitud y el uso preciso de

los metacaracteres

• Detecta y filtra patrones de ataque XSS

• Impone el uso preciso de metacaracteres

dentro del URI y nombres de parámetros

• Puede exigir valores de parámetros

permitidos predefinidos, longitud y uso

preciso de metacaracteres

A7:2017 Cross-Site Scripting (XSS)

RIESGO

Los atacantes fuerzan a las aplicaciones web a almacenar y servir, o reflejan el código malicioso de nuevo a la víctima para ser ejecutado dentro del contexto de confianza de un sitio que están visitando.

WAF Mitigation

=Botnet

Solicitudes

anónimas

Cross

Scripting

Atacante

Aplicacion

Labs

WAF

Firmas de ataques

• Bloquea los malos actores antes de que lleguen a tu centro de datos

• Cumple con las restricciones de las reglas en países o regiones

• Reducir la fuente de ataque

• Mitigar los patrones de tráfico anómalos de países específicos

•

•

•

Una tira de cuero con letras al azar es ilegible.

Pero envuélvelo en un palo de madera, y obtienes acceso a

su contenido.

HTTPS Apps

HTTPS

HTTPS Apps

Attacks

TLS 1.3

HTTP/2

Desire for privacy

PRIVATE

Proteja las aplicaciones web, sin importar dónde residan, mediante políticas consistentes en entornos híbridos junto

con las implementaciones de BIG-IP.

F5 BIG-IP WAF, IP Intelligence Subscription

43

Simplifique la implementación

y la administración

Defender aplicaciones y

sitios web

Cumplir con losestrictos

requisitos de cumplimiento

Para ayudar a los

administradores a

mantener las

aplicaciones

seguras

Cumplir con los

estrictos requisitos

y normas

Que ciertas industrias

deben mantener

Credential Protection

App-LayerDoS Protection

ProactiveBot Defense

OWASP Top 10

SSL/TLS Inspection

Scripting

OWASP Top 10

SSL/TLS Inspection

Scripting

OWASP Top 10

SSL/TLS Inspection

Scripting

Click “Fuse

my App”

iOS or Android

appPublicar la

aplicación

en

cualquier

lugar!

Elegir el SDK de F5

30 sec

FUSE MY APP

Mitigar Bots con el F5 Anti-Bot SDK Movil

Caso de uso: DoS Attacks

Communication

(signaling)

Core

On-Premises

Problema

Los ataques DoS están creciendo, los recursos de las compañias NO.

El tiempo de mitigación es lento debido a la iniciación manual y al ajuste de políticas difíciles.

Solución

Silverline Always On Protection con hardware local.

Mitigación con estrategia de defensa en capas y servicios en la nube.

F5 SOC monitoreo con portal.

Beneficios

El hardware en las instalaciones actúa de forma inmediata y automática.

Los servicios Silverline basados en la nube minimizan el riesgo de ataques más grandes.

DDoS Hybrid

Defender

Layer 3

DDoS Protection

Layer 7

DoS Protection

Advanced

WAF

DoS

Managed Services

SilverlineAlways On

Under Attack

Problema

Los delincuentes se están posesionando de la cuenta robando credenciales a través de malware.

Solución

Encriptación de credenciales a nivel de aplicación

Anti-bot SDK movil

Protección de relleno de credenciales

Protección de ataque de fuerza bruta

Beneficios

Evitar el uso de bases de datos de credenciales objeto de dumping.

Prevenir el robo de credenciales de usuario.

Proteger aplicaciones móviles.

Account Takeover

Protection

Users

USERNAME

Attackers

Mobile

Anti-Bot

Mobile SDK

Bots

Credential Encryption

Stolen Credential

Protection

Data Center

Interconnect

Cloud