Realizar Filtrado en la Capa de Aplicación
Descripción
Realizar filtrado en la capa de aplicación. Los ejemplos de implementación incluyen un proxy de filtrado, firewall de capa de aplicación o gateway.
Lista de Verificación de Implementación
Herramientas Recomendadas
Gateway web seguro nativo en la nube con inspección en línea, filtrado de URL, sandboxing y DLP para tráfico web
Zscaler · Suscripción por usuario
Plataforma DLP y CASB nativa en la nube que proporciona protección de datos en línea para SaaS, IaaS, web y endpoint
Netskope · Suscripción por usuario
Plataforma de firewall de próxima generación con políticas conscientes de aplicaciones, prevención de amenazas, filtrado de URL y SD-WAN
Palo Alto Networks · Dispositivo + suscripción
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Ataque de Capa de Aplicación que Evade Reglas de Firewall Basadas en Puertos
IntegridadUn atacante entrega un exploit de aplicación web sobre el puerto 443 que un firewall tradicional de filtrado de paquetes permite, porque ningún filtrado de capa de aplicación inspecciona el contenido de solicitudes HTTP en busca de cargas maliciosas.
Exfiltración de Datos Tunelizada a través de Protocolos de Aplicación Permitidos
ConfidencialidadUn atacante tuneliza la exfiltración de datos a través de consultas DNS o tráfico HTTPS que los firewalls basados en puertos permiten, teniendo éxito porque ninguna inspección de capa de aplicación identifica el canal encubierto.
Carga de Archivo Malicioso mediante Tráfico Web Permitido
IntegridadUn atacante carga un web shell a un servidor a través de una solicitud HTTP POST legítima que pasa a través de firewalls de red, porque ningún filtrado de Capa 7 ni WAF inspecciona el contenido del tráfico permitido.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Inspección Profunda de Paquetes en Capa de Aplicación
Sin filtrado de capa de aplicación, los controles de seguridad de red solo evalúan el tráfico en la capa de transporte, permitiendo todas las formas de ataques a nivel de aplicación que usan puertos y protocolos permitidos.
Incapacidad para Detectar Abuso de Protocolos y Tunelización
La ausencia de inspección de Capa 7 significa que los atacantes pueden abusar de protocolos legítimos para comunicación de comando y control, exfiltración de datos y canales encubiertos sin detección.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Técnico | Exportación del conjunto de reglas de firewall y documentación de revisión | Revisado trimestralmente |
| Registro | Registros de solicitudes de cambio y aprobación de firewall | Por cambio |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |