SAST o WAF: ¿qué parche usar?

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Los parches virtuales (VP) han sido una de las directrices más habituales en la protección de aplicaciones en los últimos años.

Realizado a nivel de un firewall de aplicaciones web, los parches virtuales permiten proteger las aplicaciones web contra la explotación de vulnerabilidades previamente definidas.

(Sin dudas un firewall de aplicaciones web, o WAF, se referirá a una solución dedicada que opera en un nodo separado entre una puerta de enlace externa y un servidor web).

Sintetizando, VP trabaja tomando los resultados de las pruebas de seguridad de aplicaciones estáticas (SAST) y usándolos para crear reglas para filtrar las solicitudes HTTP en el WAF.

La dificultad, además, es que SAST y WAF dependen de diferentes modelos de presentación de aplicaciones y diferentes métodos de toma de decisiones.

Como resultado, ninguna de las soluciones disponibles actualmente realiza un trabajo adecuado de integración de SAST con WAF.

SAST se basa en el modelo de caja blanca, que aplica enfoques formales para detectar vulnerabilidades en el código.

Mientras tanto, un WAF percibe una aplicación como una caja negra, por lo que utiliza la heurística para la detección de ataques.

Este estado de cosas hace que VP sea subóptimo para prevenir ataques cuando las condiciones de explotación para una vulnerabilidad van más allá del trivial

http_parameter = plain_text_attack_vector.

Examinemos el contexto, ¿y si pudiéramos hacer que SAST y WAF “se complementen” el uno con el otro? Piénselo detenidamente.

Quizás podría conseguir información sobre la estructura interna de una aplicación a través de SAST, pero luego poner esta información a disposición del WAF.

Además, podríamos detectar ataques a las vulnerabilidades de una manera comprobable, en lugar de simplemente adivinar.

El enfoque tradicional de parches virtuales automatizados para aplicaciones web implica proporcionar al WAF información sobre cada vulnerabilidad que se ha detectado con SAST.

 

Luis V. Sintes Martinez Analista de Seguridad – Vintegris