fbpx
ISO 9001:2015 - ISO 27001:2013
Estamos para ASESORARTE:     ventas@thinknetworks.pe     +51 - 1 - 619 0800

Esta página esta en:

La Seguridad sin una ESTRATEGIA en desarrollo solo es correctiva. Conoce nuestra metodología.
 

Web Aplication Firewall (WAF)

¿Por qué implementar un firewall de aplicaciones web (WAF)?

Considerando el incremento en los ataques web, un firewall de aplicaciones web (WAF) nos permite proteger las aplicaciones web de HTTP y fallas de seguridad basadas en aplicaciones web.

Estos sistemas WAF tienen un conocimiento específico de las vulnerabilidades de aplicaciones web y HTTP y filtran o bloquean estos ataques sin exponer los servidores o aplicaciones web.

Se implementa un WAF entre servidores de aplicaciones y enrutadores de borde de red y firewalls. El firewall de la aplicación web funciona como una barrera flexible que filtra todo el acceso a la aplicación, inspeccionando el tráfico entrante y saliente. Está específicamente diseñado para mitigar los ataques sin bloquear usuarios legítimos y sin ralentizar el rendimiento de la aplicación.

Un firewall de aplicación web difiere de un firewall de red tradicional en su capacidad para inspeccionar datos a nivel de aplicación, por ejemplo, al validar la entrada de campo de formulario o proteger las cookies de la aplicación. Un firewall de red y un firewall de aplicación web generalmente se implementan juntos y proporcionan niveles complementarios de seguridad.

Vectores de amenazas

Las aplicaciones pueden ser vulnerables a muchas amenazas que los firewalls de red normales no detectan. El impacto de estos ataques puede ser bastante severo. El Proyecto de seguridad de aplicaciones web abiertas (OWASP) ha compilado una lista de los 10 riesgos principales que aún amenazan muchas implementaciones de aplicaciones web. El OWASP Top 10 de 2010 es prácticamente idéntico a la versión OWASP Top 10 de 2017 ; Los ataques más comunes no han cambiado significativamente a lo largo de los años. Aquí hay unos ejemplos:

Inyección:

Los ataques de inyección SQL utilizan un formulario web u otro mecanismo para enviar comandos SQL o comandos que contienen caracteres especiales SQL. Al enviar estos comandos SQL, el atacante puede activar la base de datos SQL de back-end para ejecutar los comandos inyectados y permitir que usuarios no autorizados obtengan información confidencial de la base de datos.

Cross-site scripting (XSS):

Los ataques XSS explotan un servidor web que no valida los datos procedentes de otro sitio. XSS puede permitir al atacante obtener información confidencial o comprometer un servidor web.

Exposición de datos confidenciales:

Si las aplicaciones web no protegen los datos confidenciales , como los números de tarjeta de crédito o los números de Seguro Social (SSN), los atacantes pueden realizar robos de identidad, fraudes con tarjetas de crédito u otros delitos.

Falsificación de solicitudes entre sitios (CSRF):

Los ataques CSRF obligan a un usuario a enviar una solicitud HTTP, incluida la cookie de sesión de la víctima, a una aplicación web vulnerable. Para la aplicación web vulnerable, esto parece ser una solicitud legítima de la víctima.

Cómo pueden ayudar las redes A10

Los controladores de entrega de aplicaciones (ADC) A10 Thunder incluyen un WAF con todas las funciones que bloquea los ataques web antes de que puedan llegar a las aplicaciones vulnerables. Implementado como un proxy frente a los servidores web, Thunder ADC inspecciona las solicitudes y respuestas web y puede bloquear, desinfectar o registrar actividades maliciosas.

El WAF permite una pila de defensa completa con otros mecanismos de seguridad A10 para proteger las aplicaciones web, garantizar la vulnerabilidad de los códigos y evitar la fuga de datos; esto ayuda a cumplir con la normativa de seguridad, como los requisitos del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS).

La función WAF de A10 está diseñada para reconocer muchas de las amenazas actuales, con flexibilidad para personalizar las comprobaciones de las amenazas emergentes. El WAF está estrechamente integrado con otras características de seguridad A10 dentro del Sistema Operativo Core Avanzado (ACOS).

En lugar de integrar el código WAF de terceros, como hacen muchos otros proveedores, A10 ha desarrollado el WAF específicamente para ACOS. Este enfoque da como resultado una solución de seguridad altamente escalable y de alto rendimiento que es simple de configurar.

Conozca más de ésta solución de A10 Networks  ¡AQUÍ!

¿Te interesa esta SOLUCIÓN?

No pierdas más tiempo, solicita tu CONSULTORIA DE NEGOCIO

Partners que intervienen en esta Solución

A10 A10

© Copyright 2019 – Think Networks Perú SAC – Todos los derechos reservados.

Encuéntranos en: