Tengo un conocimiento teórico sobre WAF pero no tengo conocimiento de las herramientas en el mercado. Me pregunto si hay WAF que basen su toma de decisiones a través de una respuesta de un recurso externo (verdadero o falso) al clasificar un tráfico anómalo.
Mi idea fue crear un Aprendizaje automático basado, por ejemplo, para tomar esta decisión y la WAF solo lo consultaría.
¡Gracias!
Esto puede no ser una opinión popular (comentarios de referencia) , pero no soy un fanático de Machine Learning que se utiliza en la industria de la seguridad .
Siempre soy escéptico cuando parece que el enfoque es "No sabemos cómo resolver este problema. ¡Lo sé! ¡¡Vamos a lanzar ML !!". Por supuesto, hay nichos dentro de la seguridad donde ML parece estar funcionando bien, por ejemplo, detectando malware y fraude financiero, pero incluso allí, se usa con precaución.
Recuerde que el LD es parte del campo de las estadísticas: la ciencia de detectar el comportamiento promedio de los casos. En ML te preocupas por diferenciar al perro promedio del gato promedio, y no te preocupes por el 5% que se equivoca. Mientras tanto, la seguridad es el campo de detección del comportamiento adverso del peor caso. En seguridad, su sistema necesita continuar siendo sólido, incluso si el atacante puede realizar ingeniería inversa y proporcionar el peor caso posible.
Ahora considere el documento: " EXPLICANDO Y APROBANDO EJEMPLOS ADVERSARIALES " por Goodfellow, Shlens, and Szegedy:
Varios modelos de aprendizaje automático, incluidas las redes neuronales, clasifican erróneamente de forma sistemática Ejemplos adversos: insumos formados por la aplicación pequeña pero intencionalmente. perturbaciones en el peor de los casos a los ejemplos del conjunto de datos, de modo que la entrada perturbada resulta en el modelo dando como resultado una respuesta incorrecta con alta confianza.
Aquí está el gráfico central de ese documento:
Siestanfácil"hackear" un clasificador de imágenes (posiblemente el subcampo de ML mejor investigado), ¿qué te hace pensar que puedes construir un filtro WAF basado en ML que funcione mejor contra hackers adversarios?
TL; DR : Esta ha sido una queja de que ML no debería tener un lugar en seguridad a menos que sea por personas que realmente realmente saben lo que están haciendo.
El uso de ML como activador WAF podría ralentizar significativamente los tiempos de carga de recursos y páginas, y presentar un problema importante al escalar a una base de uso mayor.
Un WAF tiene que llegar a una decisión antes de que la solicitud sea procesada, esto significa que todo lo que tiene que seguir es la solicitud.
La mayoría de los WAF ya analizan la solicitud y buscan patrones que detecten muchos ataques comunes. ¿Cómo entrenarías un sistema de LD para reconocer un ataque? Es difícil separar lo que es un ataque VS. Nueva funcionalidad que ha agregado a su sitio.
Rodrigo Martínez hizo un PoC de aprendizaje automático hace mucho tiempo, enlace para mejorar la calificación de falso positivo.
La verificación de LD no debería ser un problema para los sitios pequeños, pero a medida que las solicitudes se amplíen, esto podría ser un fracaso, introducir la latencia no deseada en espera de una respuesta puede no ser aceptable en muchos casos.
ML podría usarse para mejorar la configuración en ejecución para evitar solicitudes futuras similares y rastrear comportamientos asíncronos extraños causados por un ataque, ML también debería alimentarse con otros datos como los flujos de red y la creación de procesos / socket de los servidores involucrados.
Lea otras preguntas en las etiquetas waf machine-learning