PRESENTED BY:

https://interact.f5.com/2018_SOAD?utm_source=F5LABS&utm_medium=f5&utm_campaign=CL-MULC-SOAD
7

Costo total anualizado del delito cibernético

Penomon Institute, Cost of Cyber Crime Study
8

Industrias más frecuentemente vulneradas

IBM Security Services
 Un atacante encuentra una Los servidores web El servidor de App Web
vulnerabilidad en una reciben el código recibe el código
aplicación web customizada
malicioso y lo envían al malicioso y lo envía al
y envía un ataque vía puerto
80/443 servidor de App Web servidor de bases de
datos

Data
Firewall Web server Web App server

El servidor web envía
los datos confidenciales
al atacante
El servidor de App Web
genera dinámicamente
una pagina con datos
confidenciales
El servidor de bases de
datos ejecuta el código
malicioso y retorna
datos de las tablas de
información
11
OWASP Top 10 Application Security Risks - 2017
A1: Injection
A2: Broken Authentication
A3: Sensitive Data Exposure
A4: XML External Entities (XXE)
A5: Broken Access Control
A6: Security Misconfiguration
A7: Cross-Site Scripting (XSS)
A8: Insecure Deserialization
A9: Using Components with Known Vulnerabilities
A10: Insufficient Logging & Monitoring
La encripción SSL
es utilizada para
proteger los datos Los firewalls de red
en transito son utilizados para el
perímetro del
datacenter

Los desarrolladores La encripción SSL

agregan seguridad en es utilizada para
las aplicaciones proteger los datos
en transito Parches en servidores
son mantenidos
rutinariamente
Practicas de Server
hardening son
aplicadas

Application
developers Web server CGI/JavaScript App server Database server Data
 Los ataques de
aplicación toman lugar
en la capa 7 SSL solo protege la
L7 confidencialidad y la
integridad de los datos en
L6
trafico
L5
L4 Los firewalls de red
L3 son ¨ciegos¨ con el
Los firewalls de trafico SSL
red solo L2
protegen L1 SSL en realidad ayuda a
El Hardening, parcheo, y la
ataques en la garantizar que las
segurización del código no
capa 4 solicitudes maliciosas se
protegen contra ataques de día
realicen en el servidor
cero
web

Application
developers Web server CGI/JavaScript App server Database server Data
 Los ataques de aplicación
pueden accede a datos
confidenciales
Los ataques de
aplicaciones pueden
eliminar datos de bases
Los ataques de aplicación de datos y bases de datos
pueden exponer archivos completas
confidenciales del servidor
Los ataques de
aplicaciones pueden
Se debe evitar que estos
desconectar los
ataques lleguen a la
servidores
aplicación web

Web server CGI/JavaScript App server Database server Data

WAF
WAF verifica el cumplimiento de RFC

WAF

POST /login.php HTTP/1.1

Host: dvwa.vlab.f5demo.com\r\n
Connection: keep-alive\r\n
Content-Length: 44\r\n
Cache-Control: max-age=0\r\n
Accept: text/html,application/xhtml+xml,application/xml;q=0.9\r\n
Origin: https://dvwa.vlab.f5demo.com\r\n
Upgrade-Insecure-Requests: 1\r\n
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/47.0.2526.106 Safari/537.36\r\n
Content-Type: application/x-www-form-urlencoded\r\n
WAF verifica los límites de longitud

WAF

POST /login.php HTTP/1.1

Host: dvwa.vlab.f5demo.com\r\n
Connection: keep-alive\r\n
Content-Length: 44\r\n
Cache-Control: max-age=0\r\n
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9\r\n
Origin: https://dvwa.vlab.f5demo.com\r\n
Upgrade-Insecure-Requests: 1\r\n
 WAF

POST /login.php HTTP/1.1

username=admin&password=P@ssw0rd!&Login=Login
 WAF

GET /index.php HTTP/1.1

GET /index.asp HTTP/1.1

 WAF

GET /login.php HTTP/1.1

GET /dvwa/sqli/sqlform.php HTTP/1.1
GET /instructions.php HTTP/1.1
GET /index.php HTTP/1.1
WAF solo permite parámetros específicos

WAF
 firmas de ataque

WAF
F5 libera actualizaciones cada
seis semanas o cuando sea
necesario
A1:2017 Inyección
RIESGO
Los datos de entrada no
saneados o insuficientemente
desinfectados pueden conducir
inadvertidamente a la ejecución
no autorizada de comandos, a la
ex filtración de datos, a la
eliminación de datos o a SQL,
siendo un ejemplo clásico
WAF Mitigation
• Descifra e inspecciona el tráfico de la
aplicación
• Bloquea la inserción de cargas maliciosas:
JavaScript / SQL / Malware
• Aplica los valores de parámetros permitidos
predefinidos, la longitud y el uso preciso de
los metacaracteres
A7:2017 Cross-Site
Scripting (XSS) WAF Mitigation
• Detecta y filtra patrones de ataque XSS

RIESGO • Impone el uso preciso de metacaracteres

dentro del URI y nombres de parámetros
Los atacantes fuerzan a las
• Puede exigir valores de parámetros
aplicaciones web a almacenar y permitidos predefinidos, longitud y uso
servir, o reflejan el código malicioso preciso de metacaracteres
de nuevo a la víctima para ser
ejecutado dentro del contexto de
confianza de un sitio que están
visitando.
 Labs
= Botnet Firmas de
ataques

Atacante

WAF

Solicitudes Aplicacion
anónimas

Cross
Scripting
• Bloquea los malos actores antes de que lleguen a tu
centro de datos
• Cumple con las restricciones de las reglas en países o
regiones
• Reducir la fuente de ataque
• Mitigar los patrones de tráfico anómalos de países
específicos
•

•
•
Una tira de cuero con letras al azar es ilegible.
Pero envuélvelo en un palo de madera, y obtienes acceso a
su contenido.
 HTTPS
Apps

HTTPS
 HTTPS
Apps

Attacks
 PRIVATE

Desire for privacy

TLS 1.3

HTTP/2
 F5 BIG-IP WAF, IP Intelligence Subscription
Proteja las aplicaciones web, sin importar dónde residan,
mediante políticas consistentes en entornos híbridos junto
con las implementaciones de BIG-IP.
43

Simplifique la Cumplir con los

Defender
implementación estrictos
aplicaciones y
y la requisitos de
sitios web
administración cumplimiento

Para ayudar a los

Cumplir con los administradores a Que ciertas industrias
estrictos requisitos mantener las deben mantener
y normas aplicaciones
seguras
OWASP OWASP Proactive
Top 10 Top 10 Bot Defense

SSL/TLS SSL/TLS Credential

Inspection Inspection Protection

App-Layer
Scripting Scripting
DoS Protection
Mitigar Bots con el F5 Anti-Bot SDK Movil

30 sec

FUSE MY APP

iOS or Android Elegir el Click “Fuse Publicar la

app SDK de F5 my App” aplicación
en
cualquier
lugar!
 Problema
Caso de uso: DoS Attacks Los ataques DoS están creciendo, los
recursos de las compañias NO.
DoS El tiempo de mitigación es lento
Managed Services debido a la iniciación manual y al
ajuste de políticas difíciles.

Solución
Silverline Always On Protection con
Silverline Under hardware local.
Always On Attack

Mitigación con estrategia de defensa

Communication
(signaling)
en capas y servicios en la nube.
F5 SOC monitoreo con portal.
Layer 3 Layer 7
DDoS Protection DoS Protection Beneficios
El hardware en las instalaciones
actúa de forma inmediata y
automática.
Los servicios Silverline basados en
Core la nube minimizan el riesgo de
DDoS Hybrid Advanced
Defender WAF
ataques más grandes.
On-Premises
 Problema
Los delincuentes se están
posesionando de la cuenta
robando credenciales a través de
Anti-Bot malware.
Mobile SDK

Credential Encryption Solución

Stolen Credential
Protection Encriptación de credenciales a
Mobile nivel de aplicación
Anti-bot SDK movil
USERNAME

Protección de relleno de
credenciales
Users
Protección de ataque de fuerza
bruta
Data Center
Attackers Interconnect
Cloud
Beneficios
Evitar el uso de bases de datos de
Account Takeover credenciales objeto de dumping.
Protection
Bots Prevenir el robo de credenciales de
usuario.
Proteger aplicaciones móviles.