¿Necesita un firewall de aplicación web (WAF) en la nube?

Towne Besel

a shield icon with a flame overlay and a brick wall background

 

Su aplicación es fundamental para la entrega de su solución o servicio y la experiencia del usuario es clave. Además, los clientes tienen poca capacidad de atención, por lo que, si su aplicación no se carga lo suficientemente rápido u otra solución es más atractiva, los usuarios acudirán a la competencia.

Las empresas gastan millones de dólares y trabajan de forma diligente para captar la atención de sus usuarios. Además, deben garantizar la seguridad de la información recopilada acerca de sus clientes, de los datos que generan los servicios y la seguridad de los sistemas de datos implementados para ofrecer la solución. Con toda la inversión, ¿cómo garantiza que su aplicación es segura y que se entregará a tiempo, con la experiencia del usuario que espera?

Un área clave que las personas pasan por alto es el firewall de aplicaciones web (WAF) basado en la nube. Sin un WAF, es posible que su aplicación ya sea vulnerable a estos vectores de ataque:

  • Exploits web
  • Abuso de API
  • Ataques de disponibilidad
  • Bots, raspadores y rastreadores

 

"Pero tengo AWS, Azure o GCP. ¿Aún necesito un WAF en la nube? ¡Sí! Los proveedores de nube se destacan por ofrecer soluciones informáticas para que sus clientes implementen aplicaciones. Pero proteger esas aplicaciones es su responsabilidad.

Además, cada proveedor tiene su propia solución que funciona solo para su plataforma. En contraposición, las soluciones WAF en la nube se especializan en asegurar de manera integral su aplicación al proveer una solución única para todos sus ambientes, sin importar la escala, la complejidad o el proveedor de nube con el que realice la implementación.

Echemos un vistazo a cómo los WAF en la nube protegen su aplicación y mantienen sus datos seguros.

 

Exploits web

Los atacantes muy especializados trabajan para descubrir las debilidades en el código que ejecutan las aplicaciones en Internet. Una vez que se descubren las vulnerabilidades, desarrollan exploits de día cero que se pueden usar contra las aplicaciones que ejecutan el código vulnerable.

Por lo general, estos hackers venden exploits en la web oscura y en otros canales para divertirse y sacar provecho. Los hackers maliciosos luego analizan toda la Internet en busca de aplicaciones vulnerables. Una vez que las descubren, pueden usar las herramientas disponibles en la web oscura para robar sus datos y su propiedad intelectual y hurtar los datos de sus clientes, la información de la tarjeta de crédito o demás información personal de identificación (PII).

Lo que empeora esta situación son los exploits de uso generalizado que son fáciles de buscar y no requieren ninguna habilidad en cuanto a su ejecución. Incluso si su empresa tiene protección de punto de conexión y detección de intrusiones, su aplicación todavía podría ser vulnerable a ataques web.

Implementar un WAF en la nube es una solución simple para proteger sus aplicaciones contra exploits web, incluidas las diez principales amenazas de la organización Open Web Application Security Project (OWASP), que incluyen script entre sitios, configuraciones erróneas de seguridad y ataques de inyección SQL. 

 

Abuso de API

Los hackers no solo buscan las vulnerabilidades en sus aplicaciones web, sino que también apuntan a los sistemas que brindan soporte a su aplicación. En el desarrollo de aplicaciones más moderno, la comunicación entre sistemas está impulsada por una interfaz de programación de aplicaciones (API). Y en 2020, el 91 % de las empresas experimentaron un incidente de seguridad con la API.

Las API se usan para que se comuniquen las máquinas y los programas entre sí y posibilitan la entrega rápida que esperan los usuarios. Así como confiamos en que una aplicación entregue un servicio o una solución, las aplicaciones y las aplicaciones móviles dependen de las API para brindar información valiosa a sus sistemas de soporte. Los ataques a las API son cada vez más populares.

Al implementar un WAF en la nube, puede proteger sus aplicaciones móviles de ataques contra sus sistemas de soporte y API vitales, tal como falta de recursos, limitación de tasas, pérdida de autenticación y otras diez amenazas principales de la OWASP para las API.

 

Ataques de disponibilidad

Las aplicaciones también son vulnerables a los ataques contra la disponibilidad. Por ejemplo, con los ataques de denegación de servicio (DoS), los hackers lanzan ataques masivos que inundan sus aplicaciones y son capaces de invadir incluso la solución mejor diseñada. Esto puede degradar o, por lo general, incluso perjudicar la experiencia de los usuarios.

Lo que empeora esto son los diversos estilos de DoS que se pueden usar. Si usted tiene sus implementaciones en las instalaciones, entonces su ancho de banda de Internet o su punto de agregación de red podrían verse sobrepasados por un ataque volumétrico que sature la red con tráfico fraudulento como es el caso de las inundaciones SYN o los ataques de amplificación de DNS.

Muchas empresas han descubierto una manera de migrar los ataques DDoS volumétricos al adoptar una transformación digital y migrar a un proveedor de nube como AWS, Azure o Google Compute. Estos proveedores ofrecen grupos de seguridad que les permiten a los usuarios bloquear puertos o protocolos no deseados, similares a un firewall con estado. Esta estrategia evitará que las inundaciones de tráfico fraudulento lleguen a su aplicación, pero no bloquea el tráfico en los puertos o protocolos de los que depende su aplicación. Los adversarios han descubierto técnicas para lanzar ataques contra los puertos y protocolos requeridos con solicitudes de aplicaciones fraudulentas.

Este ataque se denomina DDoS de aplicaciones, ya que el blanco es la aplicación en vez de la red. Los clientes en las instalaciones tienen muy pocas soluciones para defenderse cuando se usan en combinación ataques de DDoS volumétricos y de aplicaciones.

Con un WAF en la nube, su aplicación estará protegida de los ataques de DDoS volumétricos y de aplicaciones.  Las migraciones de DDoS de WAF en la nube están disponibles para ambientes en las instalaciones, en la nube o híbridos.

 

Bots, raspadores y rastreadores

Una vez que haya implementado y protegido su aplicación, puede concentrarse en captar la atención de su cliente, ¿es así? Lamentablemente, no.

Los estafadores buscan sacar cualquier ventaja que puedan obtener, y su servicio o solución no es diferente. Las industrias, desde la venta de calzado hasta las salas de conciertos, se han visto afectadas por "bots maliciosos", que son programas escritos para comprar todos los productos del artículo más vendido antes que cualquier consumidor pueda hacerlo. Más tarde, los estafadores revenden los artículos a un precio mucho más alto.

Además, un competidor malicioso que quiere socavar su negocio puede escribir un "raspador" para monitorear los cambios a su sitio, incluidas las ofertas o ventas que tiene. Con estos programas, los estafadores pueden robarle sus clientes al ofrecerles artículos similares por un precio más económico. Dada la opción entre dos artículos similares, los clientes elegirán el de menor precio.

Para sacar ventaja de la competencia, las empresas invierten mucho en optimización de motores de búsqueda (SEO) y en marketing a fin de tener mejores resultados en lugares como Google. Las tecnologías y tácticas que se usan para mantener el mejor resultado son de propiedad privada de cada organización y forman la base de su propiedad intelectual. El uso de robots.txt es una de las mejores prácticas de la industria y una gran solución para que los rastreadores bien intencionados sepan cuándo indexar su sitio y si deben hacerlo, pero los rastreadores maliciosos y los adversarios escriben programas para robar su SEO y otros secretos comerciales que se usan para mantener los mejores resultados de búsqueda.

Mediante el uso de un WAF en la nube, puede bloquear los bots, raspadores y rastreadores para que no lleguen a su aplicación. El efecto será menos tráfico no deseado, un menor costo en su infraestructura, un mayor retorno sobre su inversión de marketing y una mejor experiencia general del cliente.

 

Cómo puede ayudar Rackspace Technology

En Rackspace Technology, nuestros clientes aprovechan nuestra solución Managed Cloud WAF para proteger sus aplicaciones en ambientes en la nube, en las instalaciones e híbridos. Con Managed Cloud WAF, nuestros expertos proveen todo desde la seguridad hasta la entrega de aplicaciones, lo que permite que nuestros usuarios se concentren en su empresa. Managed Cloud WAF es una manera fácil de implementar una solución de seguridad a escala mundial en todos los ambientes multi-cloud e híbridos.

Dé el próximo paso hacia la protección de sus datos. Realice nuestra autoevaluación de seguridad rápida de 15 preguntas y acceda a una consulta profesional con un experto en la nube. Este revisará sus resultados, responderá preguntas y realizará recomendaciones en cuanto a las mejores prácticas para abordar todas las deficiencias identificadas en la seguridad.

 

Conozca su puntuación de riesgo de ciberseguridad.