OpiniónSeguridad

El WAF está muerto, DevOps lo mató

Mario García, director general de Check Point Software para España y Portugal

La tecnología avanza cada día más rápido y las herramientas mejoran tan velozmente que requieren de un gran esfuerzo para estar al día. Además, muchas de estas aplicaciones se van quedando obsoletas y pierdan su utilidad. Ese es el caso de los Web Application Firewalls (WAF) que, hasta ahora, han sido las apps encargadas de garantizar la seguridad del servidor web mediante el análisis de las peticiones HTTP / HTTPS y modelos de tráfico relacionados.

Las últimas dos décadas han convertido al WAF en una pieza omnipresente de un sistema de seguridad

Las últimas dos décadas han convertido al WAF en una pieza omnipresente de un sistema de seguridad. Cualquier empresa con alguna aplicación web -la mayoría de las grandes empresas- dispone de un WAF instalado para proteger sus datos y contenidos de las brechas de seguridad. Para salvaguardar las aplicaciones web, se ha evolucionado hacia la simple instalación de un WAF en la misma. Sin embargo, la realidad es que, hoy en día, con el ciclo de vida de las apps actuales que permite a los DevOps sacar actualizaciones con una frecuencia mucho mayor, no se puede seguir el ritmo de los WAF tradicionales y su mantenimiento se ha vuelto complejo y requiere mucho trabajo.

Ante esta situación, ¿qué deben hacer los profesionales de la ciberseguridad? ¿Qué evitará que las aplicaciones web se conviertan en la puerta de entrada a la infraestructura de una empresa? Sabiendo que los DevOps van a seguir generando e implementando código nuevo, ¿cómo se puede saber si merece la pena mantener ese WAF o si, por el contrario, se ha quedado obsoleto? Lo primero que hay que analizar es lo que se necesita para que su WAF se mantenga actualizado con la velocidad de DevOps.

El contexto es el rey

Mientras que la seguridad de la red consistía en supervisar las conexiones estáticas que utilizan los mismos protocolos entre sí, los WAF se diseñaron para proteger las aplicaciones web que son claramente diferentes entre sí. Cada aplicación es única y cada pieza de código es distinto y tiene sus propios matices y vulnerabilidades. Incluso antes de la introducción del almacenamiento en la nube y de la vertiginosa velocidad de DevOps, los WAF se reconocían como una solución de seguridad "mediocre". Inevitablemente, el uso de una solución que se sitúa delante de la aplicación, en lugar de hacerlo online, significa que el análisis contextual es imposible y sin él es imposible automatizar la evolución del WAF en paralelo a la de la aplicación. 

Las mejoras del Machine Learning sólo han logrado resolver este problema hasta cierto punto. Aunque los WAF más sofisticados necesitan "sólo" un mes para que la aplicación esté configurada y aprenda a crear un perfil base (baseline), es demasiado tiempo para que una app esté completamente desprotegida. Si el WAF necesita tiempo para actualizarse y crear una línea de base cada vez que el contenido o el código cambian, hay una gran cantidad de trabajo que debe realizar el administrador para reducir las alertas y crear excepciones.

Automatizar o eliminar

Con los cambios e implementaciones continuos, no es posible que un WAF tradicional proteja una aplicación web de ciberataques sin que haya intervención humana. La realidad es que la mayoría de los WAF están en modo detección y resulta demasiado peligroso permitir que se éstos bloqueen conexiones porque los altos volúmenes de avisos crearán una sobrecarga de operación. Tal vez un administrador pueda hacer algunos ajustes menores para que las vulnerabilidades de la aplicación estén protegidas y en modo prevención, pero el resto de la aplicación estará protegida por el WAF en modo detección, utilizando patrones de coincidencia y otras técnicas rudimentarias. Esto se traduce en una solución de seguridad que no puede auto desplegarse para protegerse de nuevos ciberataques a medida que la aplicación evoluciona. 

Actuar con rapidez o rendirse a la realidad

La tecnología de la nube se basa en la agilidad. Lo que en 2015 tardaba dos semanas en crearse, ahora se hace en cuestión de segundos. Aprovechando los nuevos microservicios, se puede cambiar radicalmente una aplicación en pocos minutos. En este nuevo entorno es absurdo plantearse el uso de una solución de seguridad de aplicaciones estándar que se base en el aprendizaje o en configuraciones manuales.

Cada vez que un programador retoca el código y lo envía a la web, es un movimiento unilateral realizado sin consultar con el personal de seguridad. Si se utiliza un WAF que se basa en la suposición de que cualquier dispositivo en su entorno es de carácter genérico, el WAF es defectuoso y es hora de jubilarlo y sustituirlos por tecnologías modernas de protección que sean capaces de reaccionar, de forma automática, a los cambios y actualizaciones de la aplicación y su arquitectura sin necesidad de intervención humana.

Computing 803