Sai
Buenas preguntas: no hay buenas respuestas (vea mis respuestas específicas a continuación en negrita) 🙁
Configurar un WAF es sorprendentemente difícil en comparación con un Firewall o un sistema IPS.
- ¿Las contraseñas binarias son difíciles de hackear?
- ¿Cuál es el método de cifrado más seguro disponible?
- ¿Por qué no puede Microsoft hacer que el sistema operativo Windows sea tal que no se requiera instalar un software antivirus de terceros?
- Mi computadora portátil está bloqueando una aplicación por configuración de seguridad. ¿Cómo activo esa aplicación? Explica paso a paso.
- ¿Por qué GPG / PGP no ha visto una mejor adopción del usuario?
Los programas de autoaprendizaje no son el “remedio completo” que afirman los vendedores.
El ROI depende de muchos factores.
Fondo
En el otoño de 2012 hice un análisis bastante extenso del mercado WAF con el propósito de integrar WAF en nuestra línea de productos de inteligencia de seguridad de productos. http://www.criticalwatch.com/sol…
Me sorprendió saber que los principales proveedores de firewall como Cisco y Juniper no estaban en / habían dejado el mercado WAF.
Obtuve versiones de prueba (dispositivos virtuales) de varios proveedores para que pudiéramos descubrir con qué WAF sería mejor integrarse.
Para cada vendedor hice una boleta de calificaciones para el WAF.
- Fortinet FortiWeb
- F5 ASM
- Radware AppWall
- Barracuda WAF: falta de API en ese momento.
- Cisco ACE WAF: producto no evaluado fin de vida útil
- Imperva – Rechazada para participar
Esto es lo que aprendí:
Muchos proveedores de WAF tratan su oferta de WAF como un producto “yo también”, un producto que necesitan tener pero que no forma parte de su estrategia principal. El producto WAF tendría un soporte menor / inferior, falta de API o pobre, tendría una documentación pobre, etc., todas las características de un producto que al proveedor realmente no le importa.
Para todos los WAF probados, los configuré para proteger el sitio web vulnerable http://demo.testfire.net, luego ejecuté una serie de escaneos de aplicaciones web a través de los WAF en esta configuración:
- Predeterminado fuera de la caja
- Modo de bloqueo predeterminado: todas las protecciones listas para usar están activadas. (Detección de firma SQLi, etc.
Luego configuré manualmente los cortafuegos para intentar bloquear todas las vulnerabilidades en el sitio web con el fin de aprender lo que se necesitaba para que nuestro producto Security Intelligence pudiera proteger automáticamente un sitio web.
De mis notas
“FortiWeb es fácil de poner en funcionamiento con un nivel de protección razonablemente alto, sin embargo, una vez que desea acceder a configuraciones avanzadas, el obstáculo para comenzar es desalentador”. 
“Radware viene con todas las protecciones activadas de fábrica, solo las configuraciones son para desactivar las protecciones”. 
“En comparación con Fortinet FortiWeb, el F5 ASM es mucho más difícil de poner en marcha la configuración inicial, sin embargo, una vez que se supera ese obstáculo, la configuración avanzada es solo un poco más difícil. El F5 hará NADA (mucho más que los otros WAF)”.
También aprendí que, en comparación con un firewall o un IPS, configurar un WAF es sorprendentemente difícil.
Es tan difícil que muchos proveedores insistieron en vender varios días de consultoría de configuración con cada WAF.
Es tan difícil que muchas personas usan nuestro optimizador WAF principalmente por su capacidad de simplificar la configuración WAF.
re: ¿ Aprender nuevas reglas dinámicamente?
Los proveedores intentan aliviar el dolor de la configuración utilizando modos de aprendizaje automático. La idea es que el WAF aprenderá cómo se ve el tráfico normal (línea de base) y luego se configurará para bloquear cualquier cosa que no se vea como el tráfico normal.
Es mucho más fácil decirlo que hacerlo.
Si usa su tráfico regular de Internet como línea de base, el WAF aprenderá que algunos de los ataques más comunes son parte de la línea de base debido al constante aluvión de botnets en cada sitio web.
Si utiliza su procedimiento de prueba interno como línea de base, es probable que a) no lleguen a las esquinas del tráfico permitido, lo que restringe el uso legítimo (falsos positivos) ob) ejecute sus pruebas habituales de detección de errores y ejecute tráfico ilegal como parte de la línea de base, creando así falsos negativos.
La mejor solución es ejecutar repetidamente una gran cantidad de escáneres de aplicaciones web en su sitio web y luego configurar manualmente el WAF para bloquear rápidamente las vulnerabilidades como un espacio intermedio mientras el sitio web se está reparando en el back-end.
¿Qué WAF detecta un ataque más rápido?
Probé reglas estáticas: el WAF se bloquea o no, no hay tiempo de aceleración.
Ninguno de los WAF que probé tenía detección estadística de abmormalidad, ¡y cuidado !: es fácil para un atacante volar por debajo del radar de estos sistemas.
En cuanto al ROI de un WAF .
Calcula el ROI contra la alternativa
¿Es más barato comprar un WAF que perder todas las tarjetas de crédito de sus clientes? Depende de la cantidad de tarjetas de crédito que almacene.
¿Es más barato comprar un WAF que arreglar el sitio web?
Depende de la complejidad de su sitio web y la agilidad de su equipo de desarrollo.
¿Es mejor comprar WAF A barato en lugar de WAF B caro?
Depende de tus necesidades.
¡El F5 ASM era mucho más costoso que los competidores evaluados, y se nota! La documentación, la API y el soporte eran inmaculados, las capacidades de WAF eran prácticamente ilimitadas. Mi favorito personal
Una pena que Imperva se negó a jugar.
Algunos WAF vienen con su propio escáner de aplicaciones Wep, que no tienen ningún valor.
Todos los WAF llegaron como dispositivos virtuales, excelentes para pruebas, demasiado lentos para la producción.
Me intriga la idea de WAF basado en la nube: no he tenido la oportunidad de probar ninguno
Perdón por la larga respuesta: estos son problemas complejos.
