Web Application Firewall basato su una decisione esterna per rilevare l'anomalia

2

Ho una conoscenza teorica del WAF ma non ho conoscenza degli strumenti sul mercato. Mi chiedo se ci siano WAF che basano le loro decisioni su una risposta da una risorsa esterna (vera o falsa) quando si ordina un traffico anomalo.

La mia idea era quella di creare un Machine Learning basato, ad esempio, per prendere questa decisione e il WAF lo avrebbe semplicemente consultato.

Grazie!

    
posta Alexandre Barreiro Neto 04.11.2018 - 15:12
fonte

3 risposte

1

Questa potrebbe non essere un'opinione popolare (cue comments) , ma Non sono un fan del Machine Learning utilizzato nel settore della sicurezza .

Sono sempre scettico quando sembra che l'approccio sia "Non sappiamo come risolvere questo problema, lo so, lanciamolo contro ML !!". Ovviamente ci sono nicchie all'interno della sicurezza in cui la ML sembra andare per il verso giusto, ad esempio rilevando malware e frodi finanziarie, ma anche lì, viene utilizzata con cautela.

Ricorda che ML fa parte del campo della statistica: la scienza di rilevare il comportamento del caso medio. In ML ti preoccupi di distinguere il cane medio dal gatto medio e non preoccuparti del 5% che si sbaglia. Nel frattempo, la sicurezza è il campo di rilevamento del comportamento contraddittorio nel caso peggiore. In sicurezza, il tuo sistema deve continuare a essere strong anche se l'hacker può eseguirne il reverse engineering e fornire l'input del caso peggiore.

Considera ora il documento: " SPIEGARE E RAFFORZARE ESEMPI DI ESPLORAZIONE " di Goodfellow, Shlens e Szegedy:

Several machine learning models, including neural networks, consistently misclassify adversarial examples—inputs formed by applying small but intentionally worst-case perturbations to examples from the dataset, such that the perturbed input results in the model outputting an incorrect answer with high confidence.

Ecco l'immagine principale di quel documento:

Seècosìfacile"hackerare" un classificatore di immagini (probabilmente il sottocampo di ML meglio studiato), allora cosa ti fa pensare che puoi creare un filtro WAF basato su ML che funzioni meglio contro gli hacker in contraddizione?

TL; DR : questo è stato il mio rant che ML non dovrebbe avere un posto in sicurezza a meno che non sia gente che veramente veramente sa cosa sta facendo.

    
risposta data 20.11.2018 - 18:54
fonte
0

L'utilizzo dell'ML come trigger WAF può rallentare significativamente i tempi di caricamento delle pagine e delle risorse e presenta un problema significativo quando si ridimensiona a una base di utilizzo più ampia.

Un WAF deve prendere una decisione prima che la richiesta venga elaborata, ciò significa che tutto quello che devi fare è la richiesta.

La maggior parte dei WAF analizza già la richiesta e cerca modelli che catturino molti attacchi comuni. Come addestreresti un sistema ML per riconoscere un attacco? È difficile separare ciò che un attacco è VS. nuova funzionalità che hai aggiunto al tuo sito.

    
risposta data 04.11.2018 - 18:35
fonte
0

Rodrigo Martinez ha fatto un apprendimento automatico PoC molto tempo fa, link per migliorare la valutazione positiva falsa.

La verifica ML non dovrebbe essere un problema per i siti di piccole dimensioni, ma poiché le richieste aumentano, questo potrebbe essere un no, l'introduzione di una latenza indesiderata in attesa di una risposta potrebbe non essere accettabile in molti casi.

ML potrebbe essere usato per migliorare la configurazione in esecuzione per prevenire simili richieste future e rintracciare strani comportamenti asincroni causati da un attacco, ML dovrebbe anche essere alimentato con altri dati come i flussi di rete e la creazione di processo / socket dei server coinvolti.

    
risposta data 20.11.2018 - 18:30
fonte

Leggi altre domande sui tag