28 septiembre, 2024

By  No comments

Bots y APIs - Webinar F5

Algunas notas del webinar educativo de F5 sobre la efectividad de los WAF en APIs


API Definición

Exponen capacidades de negocio, formas de conectar entre aplicaciones, pero que exponen internamente o externamente a terceros características de negocio

Las APIs traen información propia o que consumimos de terceros

Fuentes que interactúan con APIs: Edge, CDN, Public Cloud, Datacenter 

 

Algunas Estadísticas

  • +80% tráfico Internet proviene de APIs

  • Gartner (2023/2024) +50% se encuentra mal gestionados o no garantizado su seguridad 

  • Crecimiento del +700% próximos 5 años


Los WAF no fueron pensando para proteger APIs naturalmente, son insuficiente

 

Problemática que se observa

  • Dificultad de observacional de monitoreo en el comportamiento, en un ataque comienza con pequeños llamados.

  • No hay inventario actualizado de APIs

  • Estructuras predecibles (REST mas típico), el atacante entiendan la lógica de construcción con poco esfuerzo construyendo facilemente automatizaciones.


OSWASP TOP 10 de APIS (2023 - Security Risk)

API Vulnerabilities and Bots

  1. Broken authentication
    En ambos requieren construir automatizaciones para su ataque

    1.     Ataque de fueza bruta -> no son muy eficiente en su éxito , las herramientas son gratis o muy bajas en costo con un muy buen beneficio

    2.     Credetial stuffin -> lista de credenciales robados , un éxito mejor

  2. Unrestricted resource consumption
    No limito los request, me consumo los recursos si no controlo en forma adecuada. Perdida de la calidad de la experiencia de uso al usuario.

  3. Unrestricted access to sensitive business flows
    Comportamiento no pensado o adecuado, ej: agotamiento de entradas de un recital.
    Apuntan a Bots que automatizan la compra

  4. Broken object level authorization
    Se valide bien que yo sea quien soy

  5. Broken object property level authorization
    Tener acceso a lo que me corresponde, ej: posibilidad de ver información que no debería

  6. Broken function level authorization
    Puedo ejecutar un proceso que me permite automatizar en algo que no debería hacer

  7. Improper inventory
    Documentación actualizada y adecuada

  8. Security Misconfiguration
    Cosas configuradas por default, cuentas admin y/o sin clave, falta de seguir las mejores prácticas de seguridad

  9. Unsafe consumption
    Los desarrolladores confían más en los datos recibidos de API de terceros que en las aportaciones del usuario

  10. Server side request forgery
    Es cuando una API recupera recursos remotos sin validar correctamente la URL. Atacante puede manipular la aplicación para que envíe solicitudes maliciosas a destinos no previstos, incluso si están protegidos por un firewall o una VPN.

 

Cosas que ya no son efectivas (Countermeasures that Not Longer Work)

  • Fingerprint: ya no es efectivo, no tiene mucho sentido su lectura, se pueden emular fácilmente

  • CAPTCHA: tiene +20 años (desarrollada x Yahoo) , no es efectiva actualmente ya que se puede comprar resoluciones de captcha por bajo valor. Genera fricción con el usuario

  • Bloqueo de las IP origen: actores que usan VPN lo identificamos fácilmente pero  alquilan virtuales en AWS, Azure GCP, si lo bloqueamos bloqueamos otro porcentaje válido. Resiliencia al proxy, no funcionaria


Tres elementos claves para identificar bots

Según para F5

  • Signals: con JavaScript y Mobile SDK el F5 detecta comportamientos de internación (lo normal es que no hay saltos esporádicos, pausas, velocidad tipeo por segundos). Esto genera un un hash del usuario (fingerpint). Estos datos se envía como Telemtría

  • Ofuscación: ofusca la información de los formularios sin que modifique el código fuente, es dinámico

  • Machine Learning: Ciclo constante del modelo
    Prediction -> Anomaly Detection -> Anomaly Check -> Model Trainin .-> Testing -> vuelve a empezar

Concepto que usa F5: Standard Bot Defense que es el análisis de patrones específicos, va mas allá de las firmas del WAF para detectar Bots


Cosas interesantes de las Q&A

  • F5 tiene la solución de Distributed Cloud donde lo incluye

    • En nube o on-premise, tiene control central (única consola) para la gestión de los F5

  • DataDog  , bot que captura la experiencia del usuario

  • De un F5 puede enviar la telemetría y hay conectores especiales (ej SalesForce)

  • Concepto de WAAP ➡️  Web Aplication API Protection



0 comments:

Publicar un comentario