Conjunto de reglas OWASP
El conjunto de reglas básicas de OWASP para WAF contiene reglas genéricas de detección de ataques. Las reglas OWASP protegen contra muchas categorías de ataques comunes, incluida la inyección de SQL, los scripts entre sitios y la inclusión de archivos locales. CIS proporciona, pero no resuelve, estas reglas.
OWASP es un estándar del sector que proporciona una buena línea base de seguridad. Para obtener más información, consulte:
- OWASP en GitHub
- OWASP.org
- Documentación del conjunto de reglas básicas de OWASP
- Registro de cambios del conjunto de reglas básicas de OWASP
Gestión de OWASP
En función del manejo de WAF en CIS, puede estar en una versión diferente de OWASP. OWASP v2.x utiliza umbrales de sensibilidad y OWASP v3.x utiliza niveles de paranoia. Las zonas creadas a partir del 8 de mayo de 2024 utilizarán OWASP v3.x. Las zonas creadas antes de esa fecha utilizan OWASP v2.x y se migrarán antes del 14 de febrero de 2025, a menos que se migre manualmente antes.
Visión general del paquete OWASP
El conjunto de reglas básicas de OWASP ModSecurity asigna una puntuación a cada solicitud en función del número de reglas OWASP que se activan. El conjunto de reglas de CIS se basa en la versión de OWASP 3.3.
Nivel de paranoia
Los ajustes del nivel de paranoia forman parte del conjunto de reglas básicas. El nivel de paranoia (PL) ayuda a definir cuán agresivo es el conjunto de reglas básicas.
| Nivel de paranoia | Descripción |
|---|---|
| PL 1 | Proporciona un conjunto de reglas que raramente desencadenan una falsa alarma, aunque se pueden producir falsas alarmas en función de la configuración local. |
| PL 2 | Proporciona reglas adicionales que detectan más ataques, pero las reglas adicionales también pueden activar nuevas falsas alarmas sobre solicitudes de HTTP legítimas. |
| PL 3 | Proporciona más reglas para determinados ataques especializados. El riesgo de falsas alarmas aumenta. |
| PL 4 | Proporciona reglas que son tan agresivas que detectan casi todos los posibles ataques. Este nivel de paranoia señala mucho tráfico legítimo como malicioso. |
Umbral de sensibilidad
Una solicitud puede desencadenar un conjunto de reglas OWASP que tienen una puntuación de gravedad asociada desde alta hasta baja. La puntuación final se calcula en función de todas las reglas desencadenadas. Tras calcular la puntuación final, CIS la compara con el umbral de sensibilidad seleccionado al principio y, a continuación, bloquea, impugna o registra la solicitud en función de la opción seleccionada.
Se recomienda establecer la sensibilidad OWASP en low (baja) inicialmente y después revisar los falsos positivos antes de aumentar la sensibilidad. Si lo establece en high, compruebe los registros en CIS, y ajuste
el conjunto de reglas OWASP para que funcione para su aplicación.
Tenga en cuenta que sólo puede activar o desactivar las reglas OWASP, a diferencia de las reglas en los conjuntos de reglas de CIS, que se pueden configurar para Desactivar, Simular, Desafiar o Bloquear.
La puntuación de sensibilidad necesaria para desencadenar el WAF para una sensibilidad específica es la siguiente:
| Puntuación de sensibilidad | Umbral de desencadenante |
|---|---|
| Bajo | 60 y superior |
| Medio | 40 y superior |
| Alto | 25 y superior |
Con una sensibilidad alta, las cargas de archivos grandes activan el WAF. ( 2.x solamente)
Para solicitudes Ajax, en su lugar se aplican las puntuaciones siguientes:
| Puntuación de sensibilidad | Umbral de desencadenante |
|---|---|
| Bajo | 120 y superior |
| Medio | 80 y superior |
| Alto | 65 y superior |
Revise el registro de eventos (de seguridad) para ver la puntuación final, así como las reglas individuales activadas.
Gestión de paquetes OWASP
El conjunto de reglas básicas de OWASP ModSecurity contiene varias reglas del proyecto OWASP. CIS no redacta ni elabora las reglas de OWASP. Haga clic en el nombre de un conjunto de reglas en Grupo para ver las descripciones de las reglas. A diferencia del conjunto de reglas gestionado por CIS, las reglas de OWASP específicas están activadas o desactivadas.
Para gestionar los umbrales de OWASP, establezca el nivel de paranoia en la sección Paquete: Conjunto de reglas básicas de OWASP ModSecurity. Establecer el nivel de paranoia en P1 desactiva todo el paquete OWASP,
incluidas todas sus reglas. Determinar el nivel de paranoia adecuado depende de la industria y las operaciones de su empresa. Por ejemplo, una configuración de P1 es adecuada para la carga de archivos de gran tamaño.
La regla ID 981176 se muestra cuando una petición es bloqueada por OWASP. Además, algunas reglas OWASP listadas en el registro de actividad no aparecen en la lista de reglas bajo Package: OWASP ModSecurity Core Ruleset porque no se recomienda desactivar esas reglas.
En los registros y eventos de seguridad muestreados, la regla asociada a las peticiones mitigadas por el conjunto de reglas del núcleo OWASP de Cloudflare es la última regla de este conjunto de reglas gestionado: 949110: Inbound Anomaly Score Exceeded.
En el panel de CIS, los usuarios pueden ver las puntuaciones de las reglas individuales que contribuyen a la puntuación final de la amenaza de solicitud expandiendo la subsección de contribuciones a la puntuación OWASP. Del
mismo modo, se puede ver una lista de ID de reglas en el campo score_rules de la respuesta de la API GraphQL.