RASP: un nuevo enfoque en la protección de aplicaciones

La gran mayoría de sistemas web, grandes o pequeños, reciben numerosos ataques a diario. Por el mero hecho de estar en internet, las aplicaciones están expuestas a un flujo constante de ataques que buscan dañar de alguna forma las aplicaciones y servicios.

Las motivaciones detrás de estos ataques son variadas, pero las razones principales son económicas (extorsión, robo de datos, u operativa fraudulenta) y políticas (manipulación y prevención de la información). Pero una gran parte de los ataques son completamente indiscriminados, sin motivo alguno. Esta misma variedad se puede observar en los perfiles de los atacantes, desde grupos altamente profesionalizados auspiciados por gobiernos, a perfiles más amateur, como los script-kiddies, que se limitan a usar herramientas automáticas pre-empaquetadas por otros actores. En resumen, a pesar de que a priori un sistema pueda considerarse “de bajo riesgo,” es necesario contar una estrategia de protección de ataques.

Dado que es virtualmente imposible construir a mano un sistema 100% inmune a este tipo de ataques, el mercado de Seguridad de Aplicaciones ofrece varias opciones para automatizar la protección de estos ataques.

Una de las opciones tradicionales con más cuota de mercado, es el firewall de aplicación o WAF (Web Application Firewall). La idea es que todo el tráfico destinado a la aplicación pase por un filtro externo que valida las peticiones comparándolas con patrones conocidos sospechosos.

Este enfoque tiene ventajas atractivas, al tener una posición externa, no hay problemas de compatibilidad con el sistema protegido. Los WAFs son efectivos para los ataques de denegación de servicio, tipo DDoS, y para aplicaciones estáticas que reciben ataques básicos pueden ser suficiente. No todo son ventajas, el enfoque perimetral hace que el WAF no tenga ninguna información de la arquitectura de la aplicación. Es decir, defienden el sistema de forma externa intentando adivinar la tipología del dato recibido y las posibles consecuencias que ese dato pueda tener en el lado servidor.  Este enfoque externo obliga a los WAFs a tomar decisiones sin tener el contexto completo de la aplicación, lo que significa que es imposible defender de forma adecuada con un WAF de ciertos tipos de ataque, algunos muy importantes, en el OWASP Top 10, como Insecure Deserialization.

Esta diferencia, que puede parecer un tecnicismo, tiene consecuencias muy tangibles. Uno de los peores incidentes de seguridad, la brecha de Equifax, estuvo en parte causada por una vulnerabilidad de Insecure Deserialization. Un WAF no puede parar estos ataques.

RASP: Cuando la defensa perimetral no es suficiente

Como respuesta a la sofisticación de aplicaciones y ataques, la industria de seguridad ha propuesto un nuevo enfoque de protección, que complementa la defensa perimetral de un WAF. Este nuevo enfoque se basa en la idea de integrar la protección en las propias aplicaciones, y que por tanto se defiendan por sí mismas. Hablamos de la tecnología RASP (Runtime Application Self Protection).

Mientras que un WAF podría ser equivalente a ponerse guantes y mascarilla para prevenir una gripe, un RASP es más parecido a vacunarse.

Esta técnica de vacuna se basa en la idea de instrumentar (es decir, añadir sensores internos) la aplicación protegida. Gracias a estos sensores de seguridad, el RASP analiza la respuesta de la aplicación a cada petición, y en tiempo real, decide si la petición puede causar problemas al sistema. Las ventajas son numerosas. Primero, la precisión aumenta ya que la visibilidad que confieren los sensores permite tomar decisiones con mucha más información. Por ejemplo, ciertos ataques relacionados con el control de acceso (OWASP Top 10 2017 Broken Access Control) pueden ser protegidos por un RASP, debido al enfoque integrado en la aplicación, donde podemos entender el origen y la tipología del dato que es enviado al cliente.

Segundo, la inmunidad otorgada por el RASP hace que las aplicaciones estén protegidas allá donde vayan, y por ejemplo, los despliegues en entornos de cloud dinámicos, tan populares hoy en día, son inmediatos. Otra ventaja es que un RASP puede corregir defectos en tiempo real y por ejemplo, reemplazar porciones de código inseguro, con código seguro. Por último, una vez configurada, una plataforma RASP es muy estable y sencilla de administrar. No requiere gestión directa, lo que abarata la operación, y simplifica las necesidades organizativas de los equipos de explotación, incluso cuando las aplicaciones añaden funcionalidad o nuevos tipos de ataque son identificados.

En definitiva, el enfoque de protección integrado dentro de la aplicación permite la implementación de técnicas avanzadas, que no son aplicables desde enfoques meramente perimetrales basados en elementos de red en frente de las aplicaciones.

La instrumentación que introducen los RASP requiere compatibilidad con el sistema protegido, y cada RASP debe estar construido con una tecnología particular en mente. Por ejemplo, si la aplicación está programada en lenguaje Java, el RASP debe estar diseñado para sistemas Java.

Los expertos recomiendan RASP

Debido a estas ventajas, analistas expertos en la seguridad IT como Gartner y Forrester Research, recomiendan complementar la protección de sistemas perimetrales (WAFs) con sistemas más avanzados como RASP. En definitiva, los responsables de la gestión de aplicaciones complejas disponen de una herramienta más en el abanico de opciones para garantizar que los sistemas operan inmunes a acciones que buscan desestabilizar, robar, o corromper su funcionalidad.

¿Qué es Hdiv Security?

Hdiv Security es un pionero en el mercado de protección de aplicaciones desde el año 2008, es el primer producto que ofrece protección durante el ciclo completo de desarrollo de software contra los bugs de seguridad o errores de sintaxis, a la vez que protege de los fallos en la lógica de negocio. La plataforma unificada de Hdiv simplifica la adopción de filosofías de desarrollo DevSecOps. Las soluciones de Hdiv (RASP y IAST) son utilizadas actualmente por instituciones gubernamentales, bancos, industria aeroespacial, y empresas del ranking Fortune 500. Es una empresa de capital privado y su sede está en San Sebastián (España).