Sala Auditorium | 18 settembre 2024 | 13:40 - 14:00
The rise and fall of ModSecurity and the Core Rule Set (ovvero come evadere i WAF tramite degli attacchi adversarial)
I Web Application Firewall (WAF) rappresentano oggi una componente importante nella strategia di difesa delle applicazioni Web e delle API, poiché queste ultime sono continuamente soggette a scansioni automatizzate delle vulnerabilità e a tentativi di attacco. Un contributo importante alla popolarità dei WAF è stato fornito principalmente da ModSecurity e dal Core Rule Set, che sono indiscutibilmente tra i progetti open-source AppSec più rilevanti. L'impatto del Core Rule Set, sviluppato all'interno dell'omonimo progetto della OWASP Foundation, è stato tale da fornire la protezione di base per quasi tutte le soluzioni WAF commerciali oggi presenti sul mercato.
Tuttavia, recenti ricerche hanno evidenziato come chi attacca possa automatizzare e rendere specifica per un particolare WAF la strategia di evasione, creando automaticamente payload evasivi in grado di bypassare le regole. In questo lavoro l'attaccante è agevolato dal fatto che la messa a punto del Core Rule Set negli ambienti di produzione sia il risultato di un processo manuale ed empirico, in cui le regole che possono interferire con le applicazioni e i servizi vengono progressivamente disattivate.
In questo intervento illustreremo come grazie al supporto del machine learning le regole del CRS possano essere meglio sfruttate, trovando un miglior compromesso tra falsi positivi e capacità di rilevazione, rendendo così più difficile la vita degli attaccanti.
In primo luogo, proporremo un modo per introdurre una componente di apprendimento automatizzare il processo di ottimizzazione e garantire un migliore adattamento del set di regole alle caratteristiche del traffico in ingresso alle applicazioni.
In secondo luogo, considerato che i WAF operano per loro natura in ambiente ostile (sono cioè continuo oggetto di tentativi di evasione) mostreremo come la robustezza contro questo tipo di attacchi possa essere ottenuta attraverso modelli di apprendimento automatico consapevoli degli attacchi adversarial.