Perché dovrei usare la whitelist su un WAF?

11

Stavo studiando WAF diversi, da open-source (come ModSecurity e NAXSI) a soluzioni commerciali (Imperva, Citrix, Fortinet, ecc.). Molte persone affermano che avere un WAF basato su whitelist è molto più efficiente della lista nera.

Fondamentalmente capisco perché una lista nera può essere obsoleta (anche se nel caso dei bot può essere abbastanza buona) e in che modo una lista bianca risolve questi problemi. Ma è difficile trovare una spiegazione dettagliata del perché le whitelist dovrebbero essere utilizzate al posto delle blacklist.

Domanda: Perché dovrei usare la whitelist invece della blacklist con un WAF?

Spiegazioni e / o collegamenti a documenti sarebbero i benvenuti.

    
posta Quentin Mollard 21.01.2015 - 14:21
fonte

4 risposte

25

La lista nera è buona se hai conoscenza onnisciente di ogni singola vulnerabilità che potrebbe mai esistere per un singolo prodotto. Suppongo che tu non abbia una conoscenza infinita, quindi saresti in una lotta costante per mettere al sicuro le prossime minacce.

Una lista bianca è buona se si dispone del comportamento e degli input previsti per un prodotto. Per esempio. ti aspetti che gli utenti visitino il sito e immettano numeri in una casella di testo. Si limita l'input della casella di testo solo ai numeri, quindi tutti i possibili exploit che coinvolgono lettere e simboli sono esplicitamente disabilitati.

Le whitelist possono proteggerti dal futuro. Le blacklist possono proteggerti dal passato.

    
risposta data 21.01.2015 - 14:46
fonte
2

Se sei in grado di progettare e mantenere una whitelist che descrive esattamente tutti gli input legali che tutte le tue applicazioni ospitate potrebbero ricevere, allora ti offre una sicurezza supplementare poiché avrà una migliore capacità di bloccare attacchi sconosciuti.

Se non si soddisfa il prerequisito sopra riportato, una lista nera potrebbe essere una scelta migliore:

  • L'elenco è già disponibile, sarà più veloce da implementare,
  • L'elenco verrà gestito dal fornitore / comunità upstream, è sufficiente assicurarti di aggiornarlo regolarmente per essere sicuro che funzioni come previsto e trarre vantaggio dall'esperienza e dalle conoscenze di una grande azienda / comunità (più persone sono coinvolte, meno possibilità ci sono per la lista di contenere un errore),
  • Una blacklist contenente tutti i pattern noti per essere utilizzata almeno da strumenti automatici ti offrirà maggiore sicurezza di una whitelist troppo permissiva in cui alcuni canali di input sono stati persi o resi troppo permissivi per evitare di bloccare i dati complessi (i cookie di Google Analytics sembrano sii un esempio classico)

Nel complesso, una lista bianca ben gestita e correttamente gestita porterà effettivamente una maggiore sicurezza. Tuttavia, poiché è specifico, tutto il lavoro si basa solo su di te. Quando non sei capace o sicuro di fare e mantenere la lista, una lista nera generale fatta e mantenuta da una società / comunità upstream può essere una scelta migliore.

    
risposta data 21.01.2015 - 16:12
fonte
2

In questo post ospite sul nostro blog di John Stauffacher , un esperto di fama mondiale nella sicurezza delle applicazioni Web e autore di Web Application Firewall: un approccio pratico ... John consiglia ...

The best approach to web application security is to whitelist the good rather than to blacklist the bad.

Why? It is far simpler to enumerate all that is good within your application than it would be to continually update all of the bad that could possibly be thrown at your application. Your routes, cookies, parameters (and their values) are all known to your organization. Using this information you can create a proposed ‘whitelist’ of all the correct points of entry, cookies, parameters, and values for your application. This whitelist can become your baseline for the application, and any traffic that deviates from this baseline can be considered bad traffic.

A whitelisting approach is far more secure and efficient than continuously enumerating ‘the bad’ in your Web traffic. The bad changes on a daily basis. Web teams that rely on blacklisting find themselves behind the eight ball, chasing the latest zero-day threat and spending countless hours listing every attack vector known to man, writing and updating rules in their WAF and driving themselves crazy. In the end, their WAF becomes a list of attack signatures that looks into the past and fails to stop new threats.

So while the initial process of establishing a whitelist requires a bit more upfront time than blacklisting, you gain a more proactive and robust WAF security stance that doesn’t have to play catch-up with every zero-day threat that comes down the pike.

Include whitelisting as part of your standard Web application security practice, and make sure to update your list on a regular basis. You’ll be glad you did.

    
risposta data 04.09.2015 - 21:43
fonte
1

La whitelist non offrirà prestazioni migliori? La whitelist per un dato WAF sarà piuttosto breve - mentre la lista nera per tutte le minacce su Internet è molto lunga. Quindi il tempo e l'amp; La CPU presa per verificare che un input esista nella whitelist sarà molto più piccola e il carico sul WAF sarà più piccolo e le prestazioni dell'applicazione saranno più alte.

    
risposta data 22.01.2015 - 00:12
fonte

Leggi altre domande sui tag