Conjunto de regras OWASP
O conjunto de regras principais do OWASP para WAF contém regras genéricas de detecção de ataques. As regras OWASP protegem contra muitas categorias de ataques comuns, incluindo injeção de SQL, script entre sites e inclusão de arquivos locais. A CIS fornece, mas não seleciona essas regras.
O OWASP é um padrão de mercado que fornece uma boa linha de base de segurança. Para obter mais informações, consulte:
- OWASP no GitHub
- OWASP.org
- Documentação do conjunto de regras principais da OWASP
- Registro de mudanças do conjunto de regras principais da OWASP
Gerenciando o OWASP
Dependendo de sua manipulação do WAF no CIS, você pode estar em uma versão diferente do OWASP. O OWASP v2.x usa limites de sensibilidade e o OWASP v3.x usa níveis de paranóia. As zonas criadas em ou após 8 de maio de 2024 usarão o OWASP v3.x. As zonas criadas antes dessa data usam o OWASP v2.x e serão migradas até 14 de fevereiro de 2025, a menos que você migre manualmente anteriormente.
Entendendo o pacote OWASP
O OWASP ModSecurity Core Ruleset atribui uma pontuação a cada solicitação com base em quantas regras do OWASP são acionadas. O conjunto de regras em CIS é baseado na versão 3.3 do OWASP.
Nível de paranóia
As configurações do nível de paranoia fazem parte do conjunto de regras básicas. O nível de paranoia (PL) ajuda a definir o grau de agressividade do conjunto de regras principal.
| Nível de paranóia | Descrição |
|---|---|
| PL 1 | Fornece um conjunto de regras que raramente acionam um alarme falso, embora os alarmes falsos possam acontecer dependendo da configuração local |
| PL 2 | Fornece regras adicionais que detectam mais ataques, mas as regras adicionais também podem acionar novos alarmes falsos sobre solicitações legítimas do HTTP. |
| PL 3 | Fornece mais regras para determinados ataques especializados O risco de alarmes falsos aumenta. |
| PL 4 | Fornece regras tão agressivas que detectam quase todos os ataques possíveis. Esse nível de paranóia sinaliza muito tráfego legítimo como malicioso. |
Limite de sensibilidade
Uma solicitação pode acionar um conjunto de regras do OWASP que têm uma pontuação de severidade alta para baixa associada a eles. A pontuação final é calculada com base em todas as regras acionadas. Depois de calcular a pontuação final, o site CIS a compara com o limite de sensibilidade selecionado no início e, em seguida, bloqueia, desafia ou registra a solicitação com base na opção selecionada.
É recomendado que você configure a sensibilidade do OWASP como low inicialmente, em seguida, revise em busca de falsos positivos antes de aumentar a sensibilidade. Se você o definir como high, verifique os registros
em CIS e ajuste o conjunto de regras da OWASP para que funcione em seu aplicativo.
Lembre-se de que você só pode ativar ou desativar as regras da OWASP, ao contrário das regras dos conjuntos de regras do site CIS, que podem ser definidas como Desativar, Simular, Desafiar ou Bloquear.
A pontuação de sensibilidade necessária para acionar o WAF para uma Sensibilidade específica é a seguinte:
| Pontuação de sensibilidade | Limite do acionador |
|---|---|
| Baixo | 60 e superior |
| Médio | 40 e superior |
| Alta | 25 e mais alto |
Com uma alta sensibilidade, os uploads de arquivos grandes acionam o WAF. ( 2.x apenas)
Para solicitações Ajax, as pontuações a seguir são aplicadas como alternativa:
| Pontuação de sensibilidade | Limite do acionador |
|---|---|
| Baixo | 120 e superior |
| Médio | 80 e superior |
| Alta | 65 e superior |
Revise o registro de eventos (de segurança) para ver a pontuação final, bem como as regras individuais acionadas.
Gerenciando pacotes OWASP
O conjunto de regras principais do OWASP ModSecurity contém várias regras do projeto OWASP. O site CIS não escreve nem faz a curadoria das regras do OWASP. Clique em um nome de conjunto de regras em Grupo para exibir as descrições das regras. Ao contrário do conjunto de regras gerenciado pelo CIS, as regras específicas do OWASP são ativadas ou desativadas.
Para gerenciar os limites da OWASP, defina o nível de paranoia na seção Package: OWASP ModSecurity Core Ruleset. Definir o nível de paranoia como P1 desativa todo o pacote OWASP, inclusive todas as suas regras.
A determinação do nível de paranoia adequado depende do setor e das operações de sua empresa. Por exemplo, a configuração P1 é adequada para uploads de arquivos grandes.
A ID de regra 981176 é exibida quando uma solicitação é bloqueada pelo OWASP. Além disso, algumas regras da OWASP listadas no registro de atividades não aparecem na lista de regras em Package: OWASP ModSecurity Core Ruleset porque a desativação dessas regras não é recomendada.
Nos registros e eventos de segurança da amostragem, a regra associada às solicitações atenuadas pelo conjunto de regras principais do OWASP da Cloudflare é a última regra desse conjunto de regras gerenciado: 949110: Inbound Anomaly Score Exceeded.
No painel CIS, os usuários podem ver as pontuações de regras individuais que contribuem para a pontuação final da ameaça de solicitação expandindo a subseção Contribuições de pontuação OWASP. De forma semelhante, uma lista
de IDs de regras pode ser vista no campo score_rules da resposta da API GraphQL.