Información general

Utiliza Exploit Prevention de App and API Protection para proteger tus aplicaciones y APIs críticas frente a vulnerabilidades de día cero sin necesidad de realizar ajustes ni reconfiguraciones.

Gracias a las funciones contextuales de App and API Protection, podrás conocer en profundidad la lógica, el flujo de datos y el estado de las aplicaciones.

Combina la telemetría del rastreador Datadog con la heurística predefinida para detectar y bloquear vulnerabilidades con mayor precisión, lo cual garantiza que el tráfico legítimo no se vea afectado.

Esto es posible gracias a Runtime Application Self Protection (RASP), que permite detectar y prevenir ataques en tiempo real.

Para obtener más información sobre las diferencias entre Exploit Prevention e In-App WAF, consulta Exploit Prevention vs. In-App WAF.

Cómo funciona la prevención de vulnerabilidades

1. Con la biblioteca de rastreo de Datadog App and API Protection instrumentada en tus aplicaciones, se capturan detalles sobre cada interacción dentro de la aplicación, incluyendo solicitudes, ejecución de código y flujos de datos.
2. Cuando una carga útil de ataque llega a la aplicación, App and API Protection evalúa si la carga útil activa rutas de código vinculadas a vulnerabilidades conocidas.
3. Si se detecta una posible vulnerabilidad:
   1. App and API Protection bloquea la solicitud en tiempo real antes de que cause daños.
   2. App and API Protection emite señales de seguridad para su posterior investigación.
4. Las detecciones de prevención de vulnerabilidades van acompañadas de stack traces que proporcionan una visibilidad completa de la ubicación del código de la vulnerabilidad, que proporciona un camino libre hacia la corrección.

Ejemplo 1: Falsificación de solicitudes del lado del servidor

Un atacante engaña al servidor para que realice solicitudes no autorizadas a sistemas internos o servidores externos, lo que puede filtrar información o permitir una explotación posterior.

App and API Protection Exploit Prevention comprueba si la URL de una solicitud interna o externa, controlada parcial o totalmente por un parámetro de usuario, ha sido manipulada por un atacante para alterar el propósito original de la solicitud.

Ejemplo 2: Inclusión de archivos locales

Un atacante vulnera un parámetro vulnerable para incluir archivos locales del servidor, lo cual posiblemente exponga datos confidenciales como archivos de configuración o posiblemente permita la ejecución remota del código.

App and API Protection Exploit Prevention inspecciona todos los intentos de acceso a archivos para determinar si se ha inyectado la ruta y si se accede a un archivo restringido.

Ejemplo 3: Inserción de SQL

Un atacante inserta un código malicioso de SQL en una consulta, con lo que puede obtener acceso no autorizado a la base de datos, manipular datos o ejecutar operaciones administrativas.

Exploit Prevention de App and API Protection intercepta todas las consultas SQL para determinar si se ha inyectado un parámetro de usuario y si la inyección altera el propósito y la estructura originales de la consulta SQL.

Requisitos previos

• Asegúrate de que tus aplicaciones estén instrumentadas con el rastreador de Datadog.
• App and API Protection debe estar activada. Consulta Configuración.
• Asegúrate de que la configuración remota está habilitada para enviar actualizaciones de reglas y políticas de In-App WAF. Consulta Habilitar la configuración remota.

Compatibilidad de bibliotecas

Activación de la prevención de vulnerabilidades

1. Ve a In-App WAF.
2. Si has aplicado una política administrada por Datadog a tus servicios, sigue estos pasos:
   1. Clona la política. Por ejemplo, puedes utilizar la política Managed - Block attack tools (Administrada - Bloquear herramientas de ataque).
   2. Añade un nombre y una descripción de la política.
   3. Haz clic en la política que has creado y selecciona el conjunto de reglas Local File Inclusion (Inclusión de archivos locales). Habilita el bloqueo de la regla Local File Inclusion exploit (Explotación de la Inclusión de archivos locales).
   4. Del mismo modo, selecciona el conjunto de reglas Server-side Request Forgery (Falsificación de solicitudes del lado del servidor) y activa el bloqueo para la regla de explotación de Server-side request forgery (Falsificación del lado del servidor).
3. Si has aplicado una política personalizada para tus servicios, puedes omitir los pasos 2.a y 2.b para clonar una política y establecer directamente las reglas de Prevención de vulnerabilidades en el modo bloqueo (pasos 2.c y 2.d).

Revisión de los intentos de explotación en App and API Protection

Una vez activada Exploit Prevention, si App and API Protection detecta un intento de exploit, procede a bloquear esa solicitud. Las detecciones de Exploit Prevention siempre van acompañadas de stack traces, que proporcionan una visibilidad completa de dónde se encuentra la vulnerabilidad en tu código, asegurando un camino claro para la corrección.

Además, App and API Protection también genera una señal que correlaciona todas las trazas bloqueadas y aísla las direcciones IP atacantes que tienen como objetivo tu(s) servicio(s). Puedes tomar acción bloqueando todas las IP atacantes.

Referencias adicionales

Más enlaces, artículos y documentación útiles:

Protegerse contra las amenazas con Datadog App and API ProtectionDOCUMENTACIÓN Otras consideraciones de configuración y opciones de configuraciónDOCUMENTACIÓN Protege tus aplicaciones de los ataques desde el primer día con Datadog Exploit PreventionBLOG Comprender tu WAF: cómo solucionar las lagunas más comunes en la seguridad de las aplicaciones webBLOG