SlideShare una empresa de Scribd logo

WAF de AZURE

Enrique Gustavo Dutra
Enrique Gustavo Dutra

Como proteger aplicaciones Web y moviles con WAF de AZURE

Software
1 de 23
Descargar para leer sin conexión
TW: @egdutra E-mail: edutra@puntonetsoluciones.com.ar Web: www.puntonetsoluciones.com.ar
AGENDA ✓El mundo cambió… ✓Introducción a WAF ✓¿Por que usar el WAF? ✓Aspectos de desarrollo Seguro – OWASP ✓Infraestructura al rescate
El mundo cambió…
El mundo cambió…
Web Application Firewall (WAF) ✓ Proporciona protección centralizada de sus aplicaciones web frente a vulnerabilidades y exploits comunes. ✓ Las aplicaciones web son cada vez más objeto de ataques maliciosos que aprovechan las vulnerabilidades más conocidas.
Web Application Firewall (WAF)
Azure Application Gateway + WAF ✓ Proporciona protección centralizada de sus aplicaciones web contra vulnerabilidades y exploits comunes. ✓ WAF en Application Gateway se basa en Core Rule Set (CRS) 3.1, 3.0 o 2.2.9 del Open Web Application Security Project (OWASP). ✓ Se actualiza automáticamente para incluir protección contra nuevas vulnerabilidades, sin necesidad de configuración adicional.
Web Application Firewall (WAF) https://coreruleset.org/ Current version: 3.3.0 — July 1, 2020
Azure Application Gateway + WAF ✓ Dos modos: - Modo detección. - Modo prevención.
Azure Application Gateway + WAF - Beneficios ➢ Proteja sus aplicaciones web de vulnerabilidades y ataques web sin modificar el código back-end. ➢ Proteja múltiples aplicaciones web al mismo tiempo. Una instancia de Application Gateway puede albergar hasta 40 sitios web que están protegidos por un firewall de aplicaciones web. ➢ Cree políticas WAF personalizadas para diferentes sitios detrás del mismo WAF. ➢ Proteja sus aplicaciones web de bots maliciosos con el conjunto de reglas de reputación de IP (vista previa).
Azure Application Gateway + WAF - Monitoreo ➢ Supervise los ataques contra sus aplicaciones web mediante un registro WAF en tiempo real. El registro está integrado con Azure Monitor. ➢ El WAF de Application Gateway está integrado con Azure Security Center. Security Center proporciona una vista central del estado de seguridad de todos sus recursos de Azure. ➢ Integrado a Azure Sentinel (Log Analytics Workspace).
¿Por qué desarrollar seguro? ✓ Publicar aplicaciones Web, Web services, móviles sin seguridad -> NO NEGOCIABLE. ✓ Excusa: no nos pagan por desarrollar seguro ✓ Software seguro = CALIDAD
En los últimos meses detectamos: ✓Framework desarrollo instalado en producción. ✓Ausencia de ambientes desarrollo / testing. ✓Ausencia de validaciones en formularios Web. ✓Fallas en validación/autenticación. ✓Software con ”hardcode”. ✓Ausencia de conexiones cifradas. ✓Configuración Web que permite SQL Injection. ✓Usuarios de prueba en producción. ✓Métodos en los URL (Alert(), Prompt(),Confirm()) ✓Datos sensibles en base de datos : ✓GDPR ✓PCI-DSS, HIPAA, etc.
Desarrollo inseguro ✓ No siempre podemos asegurar - index.php?r=ctacte%2Ftasasadmin%2Fgrabar - u2skj"><input type=text autofocus onfocus=alert(1)//b3hwjgwe9 ✓ Ver ejemplo (DEMO)
Desarrollo seguro – marcos de referencia ✓S-SDLC (Secure Software Development Life Cycle). ✓MS SDL (Microsoft Security Development Livecycle). ✓OWASP (Open Web Application Security Project). ✓NIST 800-64 y 800-95. ✓IEEE. ✓(BSIMM) Building Security In Maturity Model.
Desarrollo seguro – marcos de referencia ✓MS SDL (Microsoft Security Development Livecycle).
Desarrollo seguro – OWASP Open Web Application Security Project ✓ Promueve el desarrollo de software seguro ✓ Orientada a la prestación de servicios orientados a la Web ✓ Se centra principalmente en el "back-end" mas que en cuestiones de diseño Web ✓ Un foro abierto para el debate ✓ Un recurso gratuito para cualquier equipo de desarrollo de software
Desarrollo seguro – OWASP
Desarrollo seguro – OWASPMatrizdeRiesgo
Infraestructura al rescate (WAF)
Infraestructura al recate (WAF)
https://docs.microsoft.com/en-us/azure/web-application- firewall/ https://docs.microsoft.com/en-us/azure/web-application- firewall/ag/ag-overview
WAF de AZURE

Recomendados

Protección de Sitios Web con WAF Lógico
Protección de Sitios Web con WAF LógicoProtección de Sitios Web con WAF Lógico
Protección de Sitios Web con WAF LógicoJosé Moreno
 
Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Fabio Cerullo
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Securinf.com Seguridad Informatica - Tecnoweb2.com
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
 
Owasp top 10_2007_spanish
Owasp top 10_2007_spanishOwasp top 10_2007_spanish
Owasp top 10_2007_spanishTommy Clive
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolfosoSSS
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019Santiago Rodríguez Paniagua
 

Recomendados

Protección de Sitios Web con WAF Lógico
Protección de Sitios Web con WAF LógicoProtección de Sitios Web con WAF Lógico
Protección de Sitios Web con WAF LógicoJosé Moreno
 
Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Owasp top 10 2010 final (spanish)
Owasp top 10 2010 final (spanish)Fabio Cerullo
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Completo conferencia seguridad_web_software_libre_2015
Completo conferencia seguridad_web_software_libre_2015Securinf.com Seguridad Informatica - Tecnoweb2.com
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
 
Owasp top 10_2007_spanish
Owasp top 10_2007_spanishOwasp top 10_2007_spanish
Owasp top 10_2007_spanishTommy Clive
 
Owasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolOwasp top 10_-_2013_final_-_español
Owasp top 10_-_2013_final_-_españolfosoSSS
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019Santiago Rodríguez Paniagua
 
Antivirus
AntivirusAntivirus
AntivirusKhalid Habibi del Rio
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASPzekivazquez
 
OWASP
OWASPOWASP
OWASPConferencias FIST
 
Owasp Top10 Spanish
Owasp Top10 SpanishOwasp Top10 Spanish
Owasp Top10 SpanishFabio Cerullo
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
 
Practica 3
Practica 3Practica 3
Practica 3AntnCarrasco
 
Avast 2015
Avast 2015 Avast 2015
Avast 2015 antibiruscomparativa24
 
¿Qué es OWASP?
¿Qué es OWASP?¿Qué es OWASP?
¿Qué es OWASP?Yolanda Corral
 
Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Peter Concha
 
Estudio sobre el uso de WordPress en 2016
Estudio sobre el uso de WordPress en 2016Estudio sobre el uso de WordPress en 2016
Estudio sobre el uso de WordPress en 2016Webempresa.com
 
Presentación1
Presentación1Presentación1
Presentación1Roberto Cabrera
 
Menú
MenúMenú
MenúMariaJoCalderonA
 
Seguridad en wordpress
Seguridad en wordpressSeguridad en wordpress
Seguridad en wordpressEnrique de la Hoz
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones webSaul Mamani
 
Analisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPAnalisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPEnrique Gustavo Dutra
 
Samm owasp
Samm owaspSamm owasp
Samm owaspSoftware Guru
 
Cloud + Docker - La arquitectura MELI usando AWS en la nube.
Cloud + Docker - La arquitectura MELI usando AWS en la nube.Cloud + Docker - La arquitectura MELI usando AWS en la nube.
Cloud + Docker - La arquitectura MELI usando AWS en la nube.melidevelopers
 
Menos Buffer Overflows, más SQL Injections
Menos Buffer Overflows, más SQL InjectionsMenos Buffer Overflows, más SQL Injections
Menos Buffer Overflows, más SQL InjectionsBonsai Information Security
 
KEMP's Web Application Firewall Pack [Español]
KEMP's Web Application Firewall Pack [Español]KEMP's Web Application Firewall Pack [Español]
KEMP's Web Application Firewall Pack [Español]Kemp
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3tantascosasquenose
 
Dev ops best practices - spanish v4
Dev ops best practices - spanish v4Dev ops best practices - spanish v4
Dev ops best practices - spanish v4Vemn1
 
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...TestingUy
 

Más contenido relacionado

La actualidad más candente

Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASPzekivazquez
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
 
Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Peter Concha
 
Estudio sobre el uso de WordPress en 2016
Estudio sobre el uso de WordPress en 2016Estudio sobre el uso de WordPress en 2016
Estudio sobre el uso de WordPress en 2016Webempresa.com
 

La actualidad más candente (13)

Antivirus
AntivirusAntivirus
Antivirus
 
Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASP
 
OWASP
OWASPOWASP
OWASP
 
Owasp Top10 Spanish
Owasp Top10 SpanishOwasp Top10 Spanish
Owasp Top10 Spanish
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10
 
Practica 3
Practica 3Practica 3
Practica 3
 
Avast 2015
Avast 2015 Avast 2015
Avast 2015
 
¿Qué es OWASP?
¿Qué es OWASP?¿Qué es OWASP?
¿Qué es OWASP?
 
Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206
 
Estudio sobre el uso de WordPress en 2016
Estudio sobre el uso de WordPress en 2016Estudio sobre el uso de WordPress en 2016
Estudio sobre el uso de WordPress en 2016
 
Presentación1
Presentación1Presentación1
Presentación1
 
Menú
MenúMenú
Menú
 
Seguridad en wordpress
Seguridad en wordpressSeguridad en wordpress
Seguridad en wordpress
 

Similar a WAF de AZURE

In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones webSaul Mamani
 
Analisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPAnalisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPEnrique Gustavo Dutra
 
Cloud + Docker - La arquitectura MELI usando AWS en la nube.
Cloud + Docker - La arquitectura MELI usando AWS en la nube.Cloud + Docker - La arquitectura MELI usando AWS en la nube.
Cloud + Docker - La arquitectura MELI usando AWS en la nube.melidevelopers
 
KEMP's Web Application Firewall Pack [Español]
KEMP's Web Application Firewall Pack [Español]KEMP's Web Application Firewall Pack [Español]
KEMP's Web Application Firewall Pack [Español]Kemp
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3tantascosasquenose
 
Dev ops best practices - spanish v4
Dev ops best practices - spanish v4Dev ops best practices - spanish v4
Dev ops best practices - spanish v4Vemn1
 
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...TestingUy
 
Asegúr@IT 7 - Forefront UAG 2010
Asegúr@IT 7 - Forefront UAG 2010Asegúr@IT 7 - Forefront UAG 2010
Asegúr@IT 7 - Forefront UAG 2010Chema Alonso
 
Instructivo universidad del prsente año.pdf
Instructivo universidad del prsente año.pdfInstructivo universidad del prsente año.pdf
Instructivo universidad del prsente año.pdfe1725612426
 
Seguridadappswebfrcu2008 1227940522216168-8 (1)
Seguridadappswebfrcu2008 1227940522216168-8 (1)Seguridadappswebfrcu2008 1227940522216168-8 (1)
Seguridadappswebfrcu2008 1227940522216168-8 (1)Alejandro Zapata Marquez
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Jose Gratereaux
 
Microsoft Technet - Microsoft Forefront
Microsoft Technet - Microsoft ForefrontMicrosoft Technet - Microsoft Forefront
Microsoft Technet - Microsoft ForefrontChema Alonso
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 
Modulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANModulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANsrkamote
 
Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"Alonso Caballero
 

Similar a WAF de AZURE (20)

In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones web
 
Analisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPAnalisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASP
 
Samm owasp
Samm owaspSamm owasp
Samm owasp
 
Cloud + Docker - La arquitectura MELI usando AWS en la nube.
Cloud + Docker - La arquitectura MELI usando AWS en la nube.Cloud + Docker - La arquitectura MELI usando AWS en la nube.
Cloud + Docker - La arquitectura MELI usando AWS en la nube.
 
Menos Buffer Overflows, más SQL Injections
Menos Buffer Overflows, más SQL InjectionsMenos Buffer Overflows, más SQL Injections
Menos Buffer Overflows, más SQL Injections
 
KEMP's Web Application Firewall Pack [Español]
KEMP's Web Application Firewall Pack [Español]KEMP's Web Application Firewall Pack [Español]
KEMP's Web Application Firewall Pack [Español]
 
Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3Curso basicoseguridadweb slideshare3
Curso basicoseguridadweb slideshare3
 
Dev ops best practices - spanish v4
Dev ops best practices - spanish v4Dev ops best practices - spanish v4
Dev ops best practices - spanish v4
 
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
Charla evento TestinUY 2015 - Enfoque Práctico para Construir Aplicaciones si...
 
Asegúr@IT 7 - Forefront UAG 2010
Asegúr@IT 7 - Forefront UAG 2010Asegúr@IT 7 - Forefront UAG 2010
Asegúr@IT 7 - Forefront UAG 2010
 
Instructivo universidad del prsente año.pdf
Instructivo universidad del prsente año.pdfInstructivo universidad del prsente año.pdf
Instructivo universidad del prsente año.pdf
 
Vulnerabilidades de un sistema informático
Vulnerabilidades de un sistema informáticoVulnerabilidades de un sistema informático
Vulnerabilidades de un sistema informático
 
Seguridadappswebfrcu2008 1227940522216168-8 (1)
Seguridadappswebfrcu2008 1227940522216168-8 (1)Seguridadappswebfrcu2008 1227940522216168-8 (1)
Seguridadappswebfrcu2008 1227940522216168-8 (1)
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5
 
El Universo Java (2007)
El Universo Java (2007)El Universo Java (2007)
El Universo Java (2007)
 
Microsoft Technet - Microsoft Forefront
Microsoft Technet - Microsoft ForefrontMicrosoft Technet - Microsoft Forefront
Microsoft Technet - Microsoft Forefront
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP Guatemala
 
Modulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANModulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LAN
 
Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"
 

Más de Enrique Gustavo Dutra

[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azureEnrique Gustavo Dutra
 
Presentacion de Seguridad - MVP Conf 2019
Presentacion de Seguridad - MVP Conf 2019Presentacion de Seguridad - MVP Conf 2019
Presentacion de Seguridad - MVP Conf 2019Enrique Gustavo Dutra
 
201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]Enrique Gustavo Dutra
 
Como proteger la empresa de Ransomware
Como proteger la empresa de RansomwareComo proteger la empresa de Ransomware
Como proteger la empresa de RansomwareEnrique Gustavo Dutra
 
Implementación Segura en red de MS Windows 10.1
Implementación Segura en red de MS Windows 10.1Implementación Segura en red de MS Windows 10.1
Implementación Segura en red de MS Windows 10.1Enrique Gustavo Dutra
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
1 Hack Para los Chicos - 2016 - Presentación
1 Hack Para los Chicos - 2016 - Presentación1 Hack Para los Chicos - 2016 - Presentación
1 Hack Para los Chicos - 2016 - PresentaciónEnrique Gustavo Dutra
 
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint ManagerPresentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint ManagerEnrique Gustavo Dutra
 
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBMPresentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBMEnrique Gustavo Dutra
 

Más de Enrique Gustavo Dutra (12)

[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure
 
Hacking applications that use IoT
Hacking applications that use IoT Hacking applications that use IoT
Hacking applications that use IoT
 
2020 enero Argentesting
2020 enero Argentesting2020 enero Argentesting
2020 enero Argentesting
 
Presentacion de Seguridad - MVP Conf 2019
Presentacion de Seguridad - MVP Conf 2019Presentacion de Seguridad - MVP Conf 2019
Presentacion de Seguridad - MVP Conf 2019
 
Presentacion de NETConf.UY 2018
Presentacion de NETConf.UY 2018Presentacion de NETConf.UY 2018
Presentacion de NETConf.UY 2018
 
201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]201705 v1 hack_paraloschicos_ransom [autoguardado]
201705 v1 hack_paraloschicos_ransom [autoguardado]
 
Como proteger la empresa de Ransomware
Como proteger la empresa de RansomwareComo proteger la empresa de Ransomware
Como proteger la empresa de Ransomware
 
Implementación Segura en red de MS Windows 10.1
Implementación Segura en red de MS Windows 10.1Implementación Segura en red de MS Windows 10.1
Implementación Segura en red de MS Windows 10.1
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
 
1 Hack Para los Chicos - 2016 - Presentación
1 Hack Para los Chicos - 2016 - Presentación1 Hack Para los Chicos - 2016 - Presentación
1 Hack Para los Chicos - 2016 - Presentación
 
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint ManagerPresentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
Presentacion IBM AKTIO Punto Net Soluciones SRL - Endpoint Manager
 
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBMPresentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
Presentacion IBM AKTIO Punto Net Soluciones SRL - APPSCAN IBM
 

WAF de AZURE

  • 2. AGENDA ✓El mundo cambió… ✓Introducción a WAF ✓¿Por que usar el WAF? ✓Aspectos de desarrollo Seguro – OWASP ✓Infraestructura al rescate
  • 5. Web Application Firewall (WAF) ✓ Proporciona protección centralizada de sus aplicaciones web frente a vulnerabilidades y exploits comunes. ✓ Las aplicaciones web son cada vez más objeto de ataques maliciosos que aprovechan las vulnerabilidades más conocidas.
  • 7. Azure Application Gateway + WAF ✓ Proporciona protección centralizada de sus aplicaciones web contra vulnerabilidades y exploits comunes. ✓ WAF en Application Gateway se basa en Core Rule Set (CRS) 3.1, 3.0 o 2.2.9 del Open Web Application Security Project (OWASP). ✓ Se actualiza automáticamente para incluir protección contra nuevas vulnerabilidades, sin necesidad de configuración adicional.
  • 8. Web Application Firewall (WAF) https://coreruleset.org/ Current version: 3.3.0 — July 1, 2020
  • 9. Azure Application Gateway + WAF ✓ Dos modos: - Modo detección. - Modo prevención.
  • 10. Azure Application Gateway + WAF - Beneficios ➢ Proteja sus aplicaciones web de vulnerabilidades y ataques web sin modificar el código back-end. ➢ Proteja múltiples aplicaciones web al mismo tiempo. Una instancia de Application Gateway puede albergar hasta 40 sitios web que están protegidos por un firewall de aplicaciones web. ➢ Cree políticas WAF personalizadas para diferentes sitios detrás del mismo WAF. ➢ Proteja sus aplicaciones web de bots maliciosos con el conjunto de reglas de reputación de IP (vista previa).
  • 11. Azure Application Gateway + WAF - Monitoreo ➢ Supervise los ataques contra sus aplicaciones web mediante un registro WAF en tiempo real. El registro está integrado con Azure Monitor. ➢ El WAF de Application Gateway está integrado con Azure Security Center. Security Center proporciona una vista central del estado de seguridad de todos sus recursos de Azure. ➢ Integrado a Azure Sentinel (Log Analytics Workspace).
  • 12. ¿Por qué desarrollar seguro? ✓ Publicar aplicaciones Web, Web services, móviles sin seguridad -> NO NEGOCIABLE. ✓ Excusa: no nos pagan por desarrollar seguro ✓ Software seguro = CALIDAD
  • 13. En los últimos meses detectamos: ✓Framework desarrollo instalado en producción. ✓Ausencia de ambientes desarrollo / testing. ✓Ausencia de validaciones en formularios Web. ✓Fallas en validación/autenticación. ✓Software con ”hardcode”. ✓Ausencia de conexiones cifradas. ✓Configuración Web que permite SQL Injection. ✓Usuarios de prueba en producción. ✓Métodos en los URL (Alert(), Prompt(),Confirm()) ✓Datos sensibles en base de datos : ✓GDPR ✓PCI-DSS, HIPAA, etc.
  • 14. Desarrollo inseguro ✓ No siempre podemos asegurar - index.php?r=ctacte%2Ftasasadmin%2Fgrabar - u2skj"><input type=text autofocus onfocus=alert(1)//b3hwjgwe9 ✓ Ver ejemplo (DEMO)
  • 15. Desarrollo seguro – marcos de referencia ✓S-SDLC (Secure Software Development Life Cycle). ✓MS SDL (Microsoft Security Development Livecycle). ✓OWASP (Open Web Application Security Project). ✓NIST 800-64 y 800-95. ✓IEEE. ✓(BSIMM) Building Security In Maturity Model.
  • 16. Desarrollo seguro – marcos de referencia ✓MS SDL (Microsoft Security Development Livecycle).
  • 17. Desarrollo seguro – OWASP Open Web Application Security Project ✓ Promueve el desarrollo de software seguro ✓ Orientada a la prestación de servicios orientados a la Web ✓ Se centra principalmente en el "back-end" mas que en cuestiones de diseño Web ✓ Un foro abierto para el debate ✓ Un recurso gratuito para cualquier equipo de desarrollo de software
  • 19. Desarrollo seguro – OWASPMatrizdeRiesgo