Resumen técnico: Servicio de protección de API y aplicaciones web de Citrix

Introducción

Las empresas siguen migrando sus aplicaciones web y API a la nube para brindar un mejor soporte al trabajo desde casa de los empleados, impulsado por la pandemia. Al mismo tiempo, siguen siendo compatibles con aplicaciones web críticas para el negocio alojadas en las instalaciones o en nubes privadas. Junto con el crecimiento de estos servicios orientados a Internet, ha habido un aumento de las amenazas transmitidas por Internet.

Los malos actores continúan desarrollando nuevas formas de comprometerlos para apoyar sus actividades ilícitas. La protección de las aplicaciones contra ataques requiere una rápida identificación de las amenazas y el lanzamiento de contramedidas El servicio Citrix Web App and API Protection (CWAAP) proporciona una postura de seguridad coherente y una protección integral para aplicaciones monolíticas locales o microservicios en la nube.

Información general

El servicio CWAAP protege contra sus intentos de exfiltrar, manipular o destruir aplicaciones web, API y datos empresariales en línea. Incluye un conjunto integral de tecnología para mitigar el riesgo de las operaciones críticas para el negocio.

  • Web Application Firewall: abreviatura de firewall de aplicaciones web, los orígenes de “WAF” están en la protección de sitios web alojados en las instalaciones. Sin embargo, en la era de la nube, el alcance de los WAF se amplía a entornos de nube híbrida o de nube pública con superficies de ataque más amplias que proteger. La protección también se extiende a las API que utilizan los sistemas nativos de la nube para comunicarse entre funciones distribuidas que funcionan de forma independiente en contenedores. También conocida como microservicios, esta forma de desarrollo es más eficiente en muchos sentidos que la arquitectura monolítica tradicional, pero por naturaleza se aloja principalmente en la nube y, por lo tanto, las API son vulnerables a los ataques.
  • Protección DDOS: la protección contra denegación de servicio distribuido (DDOS) protege contra los ataques originados en Internet que buscan interrumpir el acceso a los servicios en la nube. Los ataques DDOS, que suelen ser iniciados por actores maliciosos a través de ejércitos de BOT, se centran en consumir los recursos disponibles hasta el punto en que se interrumpe o deniega

GORRA

Protección WAF

Alojado en la nube o en las instalaciones, Citrix WAF protege contra ataques conocidos y desconocidos, incluidas las amenazas de capa de aplicación y de día cero. Incluye protecciones contra los 10 principales riesgos de seguridad de aplicaciones web, definidos por la Fundación OWASP, en su esencia, y amplía aquellos con definiciones de seguridad y contramedidas cada vez mayores de múltiples fuentes de investigación de amenazas.

Las grandes empresas pueden tener cientos o miles de aplicaciones en línea que deben protegerse. Por lo tanto, hacer coincidir los ataques contra flujos de aplicaciones web únicos a diferentes aplicaciones a escala es un desafío. Citrix WAF automatiza la protección contra ataques transmitidos por Internet manteniendo el tráfico en la nube o en el perímetro local. Detecta y mitiga las incesantes amenazas en línea durante todo el día. Esto permite que las operaciones de seguridad se centren más en actividades de seguridad estratégicas y aborden las vulnerabilidades en otras partes de la infraestructura

Citrix WAF funciona en un modelo de ataque tanto positivo como negativo. El modelo positivo identifica las amenazas de día cero mediante la búsqueda de patrones de actividad anormales. El modelo negativo identifica las firmas de ataque previamente documentadas.

Modelo de seguridad negativa

Los defectos de inyección, como la inyección de SQL y LDAP, han sido los favoritos de los piratas informáticos, junto con los ataques de scripts entre sitios. Otras protecciones contra ataques web incluyen:

Núcleo

  • Inyección HTML SQL: proporciona defensas contra la inyección de código SQL no autorizado que podría dañar la seguridad.
  • Scripting HTML entre sitios: examina tanto los encabezados como los cuerpos POST de las solicitudes de los usuarios para detectar posibles ataques de scripts entre sitios.
  • Etiquetado de formularios de falsificación de solicitudes entre sitios (CSRF): etiqueta cada formulario web enviado por un sitio web protegido a los usuarios con un FormID único e impredecible y, a continuación, examina los formularios web devueltos por los usuarios para asegurarse de que el FormID suministrado es correcto.
  • Comprobación de desbordamiento de búfer: detecta los intentos de provocar un desbordamiento de búfer, como URL, cookies o encabezados que son más largos que la longitud configurada.

Avanzado

  • Consistencia de cookies: examina las cookies devueltas por los usuarios para verificar que coinciden con las cookies que el sitio web protegido estableció para ese usuario. Si se encuentra una cookie modificada, se elimina de la solicitud antes de que la solicitud se reenvíe al servidor web.
  • Coherencia de campos: examina los formularios web devueltos por los usuarios en respuesta a las solicitudes HTML y verifica que no se hayan realizado cambios no autorizados en la estructura.
  • Formato de campo: verifica los datos que envían los usuarios, incluidos la longitud y el tipo.
  • Content-Type: garantiza que los encabezados Content-Type sean de ambos “application/x-www-form-urlencoded”, “multipart/form-data,” or “text/x-gwt-rpc” tipos. Se bloquea cualquier solicitud que tenga cualquier otro tipo de contenido designado.
  • HTTP RFC: inspecciona el tráfico entrante para verificar el cumplimiento del protocolo HTTP RFC y descarta cualquier solicitud con violaciones de RFC.
  • Denegar URL: examina y bloquea las conexiones a las URL a las que suelen acceder los piratas informáticos y el código malicioso.
  • Límite de cuerpo POST: limita la carga útil de la solicitud (en bytes) inspeccionada en busca de firmas.

XML

  • Inyección XML SQL: examina y bloquea las solicitudes de los usuarios con SQL inyectado en las cargas XML.
  • XML XSS: examina y bloquea las solicitudes de los usuarios con ataques de secuencias de comandos entre sitios en cargas XML.
  • Formato XML: examina y bloquea las solicitudes entrantes que no están bien formadas o que no cumplen con la especificación de los documentos XML correctamente formados.
  • Error SOAP XML: examina las respuestas de los servicios web protegidos y filtra los errores SOAP XML. Esto evita la filtración de información confidencial a los atacantes.
  • Interoperabilidad de servicios web: examina y bloquea las solicitudes y respuestas que no cumplen con el estándar WS-I y que podrían no interactuar correctamente con la aplicación XML.

Modelo de seguridad positiva

Citrix WAF admite un modelo de protección positiva con reglas de aprendizaje que se basan en el modelo negativo mediante la creación de un perfil de tráfico permitido. La heurística avanzada analiza el tráfico para identificar el comportamiento estándar y hacer recomendaciones para ajustar las contramedidas. Esto ayuda a garantizar la protección contra ataques de día cero que no se abordan en las firmas existentes.

Administración de DDOS

Los ataques DDOS se centran en la interrupción mediante el consumo de recursos. Hay tres grupos principales de ataques DDOS:

  1. Ataques basados en el volumen: intentan interrumpir el servicio regular al abrumar los sitios con una avalancha de tráfico. Estas incluyen inundaciones de UDP o ICMP que intentan superar el ancho de banda disponible, lo que impide que las solicitudes legítimas de los usuarios lleguen al sitio de destino.
  2. Ataques basados en protocolos: céntrese en la capa de transporte y aproveche las operaciones del protocolo. Por lo general, los paquetes se “falsifican” o se envían con información de encabezado IP falsa para provocar una respuesta al consumo de recursos del sitio. Un ejemplo típico es un ataque “SYN”. Con este tipo de ataque, el host del actor dañino, o un BOT, envía una solicitud para establecer una sesión de capa TCP. En última instancia, se requiere una sesión TCP para que los usuarios legítimos establezcan una sesión HTTP para usar el servicio web. Sin embargo, el host de inicio nunca responde al SYN ACK del sitio y, sin embargo, envía más SYN, lo que consume constantemente memoria en el servicio web mientras espera para establecer sesiones TCP.
  3. Ataques a la capa de aplicación: estos ataques se centran en la capa de aplicación y buscan superar los recursos o aprovechar las vulnerabilidades del servidor web. Los ataques intentan obtener respuestas ilícitas y excesivas del sitio mediante la manipulación de la comunicación del protocolo con GET o POST diseñados.

La solución DDoS de Citrix proporciona una solución holística para los compradores de protección DDOS. Es un servicio de gestión de ataques DDoS siempre activo. Cuenta con una de las redes de depuración más grandes del mundo con 14 POP y 12 Tbps de capacidad que protege las aplicaciones de ataques DDoS volumétricos a gran escala.

Administración

CWAAP se configura y administra a través de un portal SaaS flexible. El portal de servicios de CWAAP, al que se puede acceder a través de un navegador, permite a los administradores de seguridad configurar las protecciones contra ataques, supervisar la actividad de los ataques a través de un panel o informar sobre eventos.

Configurar

CWAAP se configura con la ayuda de Citrix mediante uno de estos dos métodos:

  • DNS: el uso de DNS es el método más común y sencillo. Los clientes dirigen sus registros del sitio A a una configuración de dominio de Citrix CWAAP para su sitio. Con este método, los clientes mantienen el control y pueden programar una transición rápida con una configuración de TTL bajo para el registro.
  • BGP: el uso de BGP requiere que los clientes transfieran el control de su bloque de enrutamiento pertinente a Citrix. Luego, Citrix anuncia la ruta en nombre del cliente y el tráfico a los sitios de destino sin el bloqueo se dirige al CWAAP para su inspección.

Configuración

Las políticas de WAF de CWAAP y las reglas personalizadas se pueden configurar a través del portal SaaS:

  • Políticas de WAF: hay tres conjuntos principales de políticas y, cuando se detectan, los administradores pueden configurarlas para bloquear, registrar o ambos. Las políticas principales son los tipos de ataques más comunes, como la inyección de SQL, el scripting entre sitios y el desbordamiento de búfer. Los ataques avanzados son más complejos que utilizan cookies o que intentan aprovechar el protocolo HTTP, mientras que el último grupo pertenece a los ataques específicos de XML. Un equipo de investigación de Citrix desarrolla continuamente firmas para identificar los ataques y se actualizan automáticamente cuando se publican.
  • Políticas de respuesta: los administradores pueden configurar reglas personalizadas para descartar, registrar o redirigir las conexiones en función de parámetros específicos, como el nombre de host, la dirección IP de origen o el puerto de destino.
  • Controles de red: los administradores pueden configurar las ACL para bloquear rangos de direcciones IP específicos o tráfico de países específicos.
  • Alertas: los administradores pueden configurar alertas personalizadas cuando se supera la cantidad de tráfico dentro de un intervalo determinado de un parámetro específico, como el mismo ASN, país o agente de usuario.
  • Fuentes de confianza: los administradores pueden configurar una lista de fuentes fiables que omiten las políticas de inspección.
  • Activos: los administradores configuran el sitio o los sitios de destino a los que deben aplicarse estas políticas configuradas.

GORRA

Supervisión

El portal CWAAP ofrece a los administradores de Citrix la capacidad de supervisar las protecciones CWAAP de forma centralizada. El panel principal proporciona una vista agregada del volumen del sitio, incluido el tráfico total, desglosado por tráfico limpio y tráfico mitigado.

También incluye un registro detallado de los ataques, incluidos el volumen, la duración y las contramedidas implementadas.

GORRA

Resumen

El uso por parte de las empresas de los servicios en la nube y las aplicaciones móviles sigue impulsando el crecimiento del tráfico web y de API nativo de la nube, al tiempo que mantienen algunas aplicaciones web críticas para el negocio en las instalaciones. Con este crecimiento de las aplicaciones y API en línea, son cada vez más vulnerables a los ataques persistentes que vienen con el alojamiento en la Internet pública. El servicio Citrix Web App and API Security está en constante evolución para anticiparse a estos ataques complejos. Incluye un conjunto avanzado de tecnología basado en el aprendizaje automático y la inteligencia artificial para proteger estos servicios empresariales críticos en la nube y en las instalaciones.

Referencias

Obtenga más información en Citrix® Web App and API Protection™

Resumen técnico: Servicio de protección de API y aplicaciones web de Citrix