Web Application Firewall (WAF)

• Los WAF pueden ser hardware o software, que

protegen contra la mayoria de ataques de la
clasificcion OWASP TOP TEN
 Runtime Application Self-Protection
(RASP)
• Forman parte de una tecnología emergente,
difundida por Gartner(empresa
estadounidense consultora especializada en
Tecnología Informática) como “una tecnología
de seguridad incorporada o vinculada en un
entorno de ejecución de aplicaciones para
controlar su ejecución y detectar y prevenir
ataques en tiempo real.
 Comparativa de la eficacia de
herramientas WAF y RASP frente a
ataques
 Comparativa de la eficacia de
herramientas WAF y RASP frente a
ataques
 Comparativa de la eficacia de
herramientas WAF y RASP frente a
ataques
• Actualmente, existen en el mercado diferentes
soluciones WAF (open source o gratuitas y
comerciales y RASP (comerciales).
• En comparativa de soluciones de protección WAF
y RASP con banco de pruebas (AWASP Benchmark
y Wvsep) se puede concluir lo siguiente:

• Las soluciones RASP presentan un alto índice de

precisión gracias a la presencia de prácticamente
nula de Fallos Positivos.
• Constrast Segurity logra mayor Precision
destacando por sobre otras soluciones.
• Por su parte las soluciones WAF analizadas generan
altos índices de Fallos positivos, mejoran una vez
modificada la configuración especifica aplicada a cada
solución del entorno y de la aplicación a proteger.
• Queda Claro la superioridad en Precisión y casi total
ausencia de FP proporcionadas por las soluciones RASP
y el resto de los índices de la solución Contrast
Segurity.
• AppDefender, puede considerarse una buena opción en
la protección de vulnerabilidades especificas como
SQLi, Redirect y XSS.
Constrast Segurity
Constrast Segurity
 Contrast Security
•
Contrast Security es el proveedor líder mundial de
tecnología de seguridad que permite que las aplicaciones
de software se protejan contra ataques cibernéticos,
anunciando la nueva era del software de autoprotección. La
instrumentación de seguridad profunda patentada de
Contrast es la tecnología más avanzada que permite una
evaluación altamente precisa y una protección permanente
de toda la cartera de aplicaciones, sin escaneos disruptivos
ni expertos de seguridad costosos. Solo Contrast tiene
sensores que trabajan activamente dentro de las
aplicaciones para descubrir vulnerabilidades, evitar
violaciones de datos y asegurar que toda la empresa se
desarrolle, las operaciones y la producción.
•
"Contrast Security tiene una de las soluciones
más elegantes que existen para la seguridad
de las aplicaciones. Podemos ver por qué
obtuvo un puntaje del 100% en el OWASP
Security Benchmark". - John Breeden II
• En relación a las aplicaciones WASF no se
aprecian grandes diferencias entre ellas pero
destaca ZAP de OWASP por lo que podría ser
una buena opción para la protección de
aplicaciones web de empresas o particulares
con presupuesto limitado.