¿Por qué debo usar la lista blanca en un WAF?

11

Estaba estudiando diferentes WAF, desde código abierto (como ModSecurity y NAXSI) hasta soluciones comerciales (Imperva, Citrix, Fortinet, etc.). Muchas personas afirman que tener un WAF basado en listas blancas es mucho más eficiente que la lista negra.

Básicamente entiendo por qué una lista negra puede ser obsoleta (incluso si en el caso de los bots puede ser bastante buena), y cómo una lista blanca resuelve esos problemas. Pero es difícil encontrar una explicación detallada de por qué se deben usar las listas blancas en lugar de las listas negras.

Pregunta: ¿Por qué debería usar la lista blanca en lugar de la lista negra con un WAF?

Las explicaciones y / o los enlaces a los artículos serían bienvenidos.

    
pregunta Quentin Mollard 21.01.2015 - 14:21
fuente

4 respuestas

25

La inclusión en listas negras es buena si tiene un conocimiento omnisciente de cada una de las vulnerabilidades que podrían existir para un solo producto. Supongo que usted no tiene un conocimiento infinito, por lo que estaría en una lucha constante para poner en una lista negra las siguientes amenazas.

Una lista blanca es buena si tiene el comportamiento esperado y las entradas para un producto. P.ej. espera que los usuarios visiten el sitio e ingresen los números en un cuadro de texto. Restrinja la entrada del cuadro de texto solo a números, por lo que todas las posibles vulnerabilidades relacionadas con letras y símbolos se rechazan explícitamente.

Las listas blancas pueden protegerlo del futuro. Las listas negras pueden protegerte del pasado.

    
respondido por el Ohnana 21.01.2015 - 14:46
fuente
2

Si puede diseñar y mantener una lista blanca que describe exactamente todas las entradas legales que posiblemente todas sus aplicaciones alojadas puedan recibir, entonces le ofrece una seguridad adicional ya que tendrá una mejor capacidad para bloquear ataques desconocidos.

Si no cumple con los requisitos previos anteriores, una lista negra puede ser una mejor opción:

  • La lista ya está disponible, será más rápido de implementar,
  • El proveedor / la comunidad ascendente mantendrá la lista; solo debe asegurarse de actualizarla periódicamente para estar seguro de que debería funcionar como se espera y beneficiarse de la experiencia y el conocimiento de una gran empresa / comunidad cuanto menos posibilidades haya de que la lista contenga un error),
  • Una lista negra que contiene todos los patrones que se sabe que se utilizan al menos por herramientas automatizadas le brindará más seguridad que una lista blanca demasiado permisiva donde se omitieron algunos canales de entrada o se hicieron demasiado permisivos para evitar el bloqueo de datos complejos (las cookies de Google Analytics parecen Ser un ejemplo clásico).

En definitiva, una lista blanca bien hecha y correctamente mantenida traerá mejor seguridad. Sin embargo, como es específico, todo el trabajo depende solo de usted. Cuando no puede o no confía en hacer y mantener la lista, una lista negra general realizada y mantenida por una empresa / comunidad ascendente puede ser una mejor opción.

    
respondido por el WhiteWinterWolf 21.01.2015 - 16:12
fuente
2

En esta publicación de invitado en nuestro blog por John Stauffacher , un experto de renombre mundial en seguridad de aplicaciones web y el autor de Firewalls de aplicaciones web: un enfoque práctico ... John recomienda ...

  

El mejor enfoque para la seguridad de las aplicaciones web es agregar a la lista blanca lo bueno   en lugar de poner en la lista negra a los malos.

     

¿Por qué? Es mucho más simple enumerar todo lo que es bueno dentro de su   aplicación de lo que sería actualizar continuamente todo lo malo que   posiblemente podría ser lanzado en su aplicación. Tus rutas, cookies,   los parámetros (y sus valores) son conocidos por su organización.   Con esta información, puede crear una "lista blanca" propuesta de todos   Los puntos de entrada, las cookies, los parámetros y los valores correctos para su   solicitud. Esta lista blanca puede convertirse en su línea de base para el   aplicación, y cualquier tráfico que se desvíe de esta línea de base puede ser   considerado mal tráfico.

     

Un enfoque de listas blancas es mucho más seguro y eficiente que   Enumerar continuamente "lo malo" en su tráfico web. El malo   Cambios a diario. Los equipos web que confían en la lista negra encuentran   ellos mismos detrás de la bola ocho, persiguiendo la última amenaza de día cero   y pasar innumerables horas enumerando cada vector de ataque conocido por el hombre,   Escribiendo y actualizando las reglas en su WAF y volviéndose locos.   Al final, su WAF se convierte en una lista de firmas de ataque que parece   en el pasado y no detiene nuevas amenazas.

     

Entonces, mientras que el proceso inicial de establecimiento de una lista blanca requiere una   un poco más adelantado que en las listas negras, obtienes un resultado más proactivo y   Una sólida postura de seguridad de WAF que no tiene que ponerse al día con   Cada amenaza de día cero que viene por el lucio.

     

Incluir listas blancas como parte de la seguridad de su aplicación web estándar   Practica y asegúrate de actualizar tu lista regularmente. Usted va a   estar contento de que hiciste.

    
respondido por el Elias Terman 04.09.2015 - 21:43
fuente
1

¿Una lista blanca no va a dar un mejor rendimiento? La lista blanca para cualquier WAF será bastante corta, mientras que la lista negra para todas las amenazas en Internet es muy larga. Por lo tanto, el tiempo y amp; La CPU tomada para comprobar que existe una entrada en la lista blanca será mucho más pequeña y la carga en el WAF será menor y el rendimiento de su aplicación será mayor.     

respondido por el brendan 22.01.2015 - 00:12
fuente

Lea otras preguntas en las etiquetas