[23/08/2023] Las reglas configuradas por el cliente son ahora las que más contribuyen al tráfico mitigado, a medida que las organizaciones adoptan firewall de aplicaciones web (WAF, por sus siglas en inglés) y mejoran la configuración y el bloqueo de sus aplicaciones. Así se desprende del Informe sobre seguridad de las aplicaciones de Cloudflare: Q2 2023, basado en el tráfico HTTP observado por la empresa entre abril y junio. La investigación también descubrió que las CVEs que datan de hace casi una década siguen siendo ampliamente explotadas para comprometer máquinas que pueden estar sin parches y ejecutando software vulnerable, mientras que las anomalías HTTP son el vector de ataque más común en los puntos finales API.
Los propietarios de aplicaciones confían en los bloqueos por geolocalización
En el transcurso de los dos últimos trimestres, Cloudflare ha observado que el tráfico mitigado por WAF ha superado al mitigado por DDoS, representando el primero aproximadamente el 57% de todas las mitigaciones. La mayor parte de este aumento ha sido impulsado por bloques de reglas personalizadas WAF en lugar de reglas gestionadas WAF, lo que indica que estas mitigaciones son generadas por reglas configuradas por el cliente para la lógica de negocio o propósitos relacionados, según la firma. Según Cloudflare, las organizaciones también están adoptando modelos de seguridad positivos al permitir el tráfico bueno conocido en lugar de bloquear únicamente el tráfico malo conocido.
Al revisar el uso de campos de reglas en las reglas personalizadas de WAF, Cloudflare descubrió que los propietarios de aplicaciones confían cada vez más en los bloqueos por geolocalización. De hecho, el 40% de todas las reglas personalizadas WAF desplegadas utilizan campos relacionados con la geolocalización para tomar decisiones sobre cómo tratar el tráfico. Aunque es poco probable que los controles de geolocalización detengan a un atacante sofisticado, son eficaces para reducir la superficie de ataque, señaló Cloudflare. Otra observación notable es el uso de campos relacionados con la gestión de bots en el 11% de las reglas personalizadas de WAF, una tendencia en constante aumento a medida que más clientes adoptan estrategias de clasificación basadas en aprendizaje automático para proteger sus aplicaciones, según la empresa.
Las antiguas CVE siguen siendo ampliamente explotadas, el tráfico API sigue creciendo
La anomalía HTTP es la categoría de ataque más común bloqueada por las reglas gestionadas WAF, contribuyendo con el 32% del tráfico mitigado por las reglas gestionadas WAF en general, según la investigación. SQLi pasó a la segunda posición (13%), superando a directory traversal (10%). Además, las antiguas CVE siguen siendo explotadas en masa, siendo Log4J y la inyección de código de Atlassian Confluence responsables de la gran mayoría del tráfico de ataques observado, según Cloudflare.
Filtrando el bloqueo por denegación de servicio (DoS), la empresa descubrió que la mayor parte del tráfico mitigado es atribuible a una regla: 100031/ce02fd. Esta regla tiene una descripción de Microsoft IIS - DoS, Anomalía:Encabezado:Rango - CVE:CVE-2015-1635 y pertenece a una CVE que data del 2015, y que afectó a varios componentes de Microsoft Windows que resultaron en la ejecución remota de código.
Cloudflare observó un crecimiento continuo en el tráfico de API, con un 58% del tráfico dinámico total clasificado como relacionado con API, un aumento del 3% en comparación con el primer trimestre. Además, según el informe, el 65% del tráfico global de API lo generan los navegadores. Mientras tanto, las anomalías HTTP siguen siendo el vector de ataque más común en los puntos finales de las API (64%), seguidas por los ataques de inyección SQLi (11%) y los ataques XSS (9%).
Según un informe de mayo del 2023 de la empresa de seguridad de API FireTail, ya se han expuesto más de 500 millones de registros a través de API vulnerables, y el 2023 va camino de ser un año récord en cuanto a violaciones de API.
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú