Información general

Agregar controles de seguridad, como WAF, a una aplicación web aumenta los riesgos de introducir falsos positivos. Los falsos positivos se producen cuando se bloquean las solicitudes legítimas de los usuarios, lo que no es un efecto secundario deseable del uso de un firewall de aplicaciones web (WAF). La administración de los falsos positivos incluye diseñar reglas que los minimicen, detectar su aparición y mitigarlos en la aplicación o en el WAF. AWS WAF simplifica la administración de los falsos positivos gracias a la flexibilidad de su lenguaje de reglas y a los detalles disponibles en los registros generados.

Técnicas de mitigación de falsos positivos en AWS WAF

Diseño de reglas de WAF con pocos falsos positivos

Para reducir los bajos niveles de positivos al usar AWS WAF, configure cuidadosamente las reglas de su ACL web. En primer lugar, ajuste el umbral de detección de las reglas. Por ejemplo, esta publicación del blog proporciona orientación sobre la configuración de los umbrales de detección que limitan la velocidad. Otro ejemplo consiste en configurar la sensibilidad de detección de las reglas de inyección de código SQL (SQLi). En segundo lugar, habilite las reglas más relevantes en la parte principal de sus aplicaciones de la manera más específica. Por ejemplo, habilite las reglas de SQLi solo si la aplicación usa una base de datos SQL y reduzca su alcance a las URL que interactúan con esta base de datos. En tercer lugar, responda a las solicitudes coincidentes con acciones matizadas. Con este enfoque, solo configura una acción de bloqueo para las solicitudes cuando tenga gran certeza de que se trata de una solicitud maliciosa. Cuando tenga dudas sobre si bloquear una solicitud, considere una de las siguientes estrategias de respuesta matizadas:

  • Contabilice la solicitud y deje que fluya en sentido ascendente hasta su aplicación, pero incluya un encabezado generado por el WAF en la solicitud reenviada a su aplicación. A continuación, la aplicación puede responder de forma diferente en función del valor del encabezado, por ejemplo, puede activar la autenticación multifactor con intentos de inicio de sesión sospechosos. También puede aumentar de forma dinámica la gravedad de la respuesta del WAF en función del nivel de amenaza actual. Por ejemplo, OLX cambia de forma dinámica la respuesta a las IP sospechosas en función del nivel de riesgo de su aplicación. En el modo de bajo riesgo, permite que pase más tráfico a su aplicación, lo que minimiza los falsos positivos. En el modo de alto riesgo, prefiere reducir los falsos negativos en lugar de los falsos positivos bloqueando todas las IP sospechosas.
  • Responda con un CAPTCHA o con desafíos silenciosos, que solo bloquearán la solicitud si el navegador no supera el desafío.

Reglas administradas por Amazon

AWS WAF proporciona una lista de grupos de reglas administradas por Amazon (AMR) que se pueden agregar a su ACL web de WAF. Las AMR están diseñadas para bloquear las amenazas más críticas y de mayor impacto, así como también para minimizar los falsos positivos.

Para administrar mejor los falsos positivos, las AMR le ofrecen las siguientes posibilidades de configuración:

  • Puede deshabilitar las actualizaciones automáticas de las AMR y, en su lugar, utilizar una versión específica y actualizar a esta. Esto le daría la oportunidad de probar las actualizaciones para detectar falsos positivos antes de habilitar la última versión.
  • Las AMR emiten etiquetas cuando se evalúan. En lugar de usar las reglas de bloqueo predeterminadas de las AMR, puede configurarlas para que contabilicen y utilicen las etiquetas emitidas en combinación con otras reglas del WAF para bloquear las solicitudes con un nivel de confianza más alto. Por ejemplo, puede utilizar la AMR de la lista de reputación de IP de Amazon en modo de recuento y, a continuación, crear una regla posterior basada en las etiquetas emitidas por esta AMR para fijar un límite de velocidad con un umbral muy bajo. Las etiquetas generadas por la AMR se describen en la documentación de WAF.

Lo mismo se aplica al grupo de reglas administrado creado por Shield Avanzado cuando se ha suscrito a este servicio y ha habilitado la mitigación automática de ataques DDoS en la capa de aplicaciones. Como se describe en la documentación, Shield Avanzado coloca reglas de bloqueo en el WAF solo si tiene gran certeza de que la regla solo coincide con la firma del ataque, según los patrones de tráfico históricos.

Identificación de falsos positivos

La siguiente guía le permite identificar los falsos positivos cuando se producen:

  • Incluya la detección de falsos positivos en sus procesos de lanzamiento de software o en los procesos de cambio de infraestructura, por ejemplo, probando las reglas de WAF en entornos de desarrollo y ensayo y, a continuación, validándolas en modo de recuento en producción antes del despliegue final. La documentación de AWS WAF proporciona directrices para implementar las reglas de Bot Control y las reglas de prevención de apropiación de cuentas en la producción de forma segura.
  • Configure alarmas en las métricas de CloudWatch emitidas por las reglas de WAF. Se le notificará cuando una regla coincida con el tráfico en niveles anormales. Por ejemplo, esto podría ocurrir tras un cambio en el código de la aplicación, identificado erróneamente como un ataque, que se propagó a la producción.
  • Habilite el registro de WAF y audite periódicamente el tráfico bloqueado para identificar el tráfico legítimo que se ha bloqueado. En casos de uso sencillos, puede utilizar el panel de solicitudes de muestra de la consola de AWS WAF.
  • Actualice su aplicación para permitir que los usuarios informen de respuestas 403 inesperadas. Por ejemplo, cuando se implementa WAF con CloudFront, puede hacer que la solicitud devuelva la página de error personalizada de CloudFront en lugar de la página de error 403, ya que esta permite que el usuario le informe del problema.

Excluir los falsos positivos del alcance de la regla

Cuando se identifica un falso positivo, puede actualizar sus reglas de WAF para agregar exclusiones y mitigar el falso positivo. Con las reglas personalizadas, las exclusiones se pueden expresar de forma sencilla mediante la lógica AND/OR. Por ejemplo, aplique reglas de SQLi si la IP de la solicitud no forma parte de una lista de IP permitidas y la URL de la solicitud no es una de las URL excluidas. Con las AMR, puede crear exclusiones mediante instrucciones de reducción del alcance. Tenga en cuenta la siguiente documentación para administrar los falsos positivos específicos de las AMR del Control de bots de AWS WAF.

Recursos

¿Le resultó útil esta página?