Resumen

Datadog Application Security ofrece una capacidad de observación de los ataques a la aplicación que tienen como objetivo explotar las vulnerabilidades del código o abusar de la lógica de negocio de tu aplicación, y de cualquier actor malintencionado que tenga como objetivo tus sistemas. Proporciona:

• Observabilidad de los ataques: brinda información sobre los ataques a la aplicación dirigidos a las vulnerabilidades del código o a la lógica empresarial.
• Monitorización basada en trazas: utiliza las mismas bibliotecas de rastreo que Datadog APM para monitorar el tráfico y detectar amenazas a la seguridad.
• Señales de seguridad: genera automáticamente señales de seguridad cuando se detectan ataques o abusos de la lógica empresarial, centrándose en amenazas significativas en lugar de en intentos individuales.
• Opciones de notificación: ofrece notificaciones a través de Slack, correo electrónico o PagerDuty en función de la configuración de las señales de seguridad.
• Seguridad integrada: integrada dentro de la aplicación, proporciona una mejor identificación y clasificación de amenazas mediante el acceso a los datos de rastreo.
• Funcionalidad WAF mejorada: funciones como un cortafuegos de aplicaciones web (WAF), pero con contexto de aplicación adicional, lo que mejora la precisión y reduce los falsos positivos.

Identificación de servicios expuestos a ataques de aplicaciones.

Threat Management de Datadog Application Security utiliza la información que APM ya está recopilando para marcar trazas (traces) que contienen intentos de ataque. Aunque APM recopila una muestra del tráfico de tus aplicaciones, es necesario habilitar Application Security en la biblioteca de rastreo para monitorizar y proteger eficazmente tus servicios.

Los servicios expuestos a ataques de aplicaciones se resaltan directamente en las vistas de seguridad integradas en el (Catálogo de servicios de APM, la Página de servicios y Trazas).

Datadog Threat Monitoring and Detection identifica a los atacantes recopilando las direcciones IP de los clientes, la información de la cuenta de inicio de sesión (por ejemplo, cuenta de usuario/ID) y las etiquetas (tags) de usuario añadidas manualmente en todas las solicitudes.

Compatibilidad

Para que Datadog Application Security sea compatible con tu configuración de Datadog, debes tener APM habilitado y enviando trazas (traces) a Datadog. Application Security utiliza las mismas bibliotecas que APM, por lo que no necesitas desplegar ni mantener otra biblioteca.

Los pasos para habilitar Datadog Application Security son específicos de cada lenguaje de tiempo de ejecución. Consulta si tu lenguaje es compatible con los requisitos previos de Application Security de cada producto.

Monitorización serverless

Datadog Application Security para AWS Lambda proporciona una amplia visibilidad de los atacantes que tienen como objetivo tus funciones. Gracias al rastreo distribuido, que te proporciona una descripción del ataque rica en contexto, puedes evaluar el impacto y corregir la amenaza de forma eficaz.

Consulta Habilitar Application Security para Serverless para obtener más información sobre cómo configurarlo.

Rendimiento

Datadog Application Security utiliza procesos ya contenidos en el Agent y en APM, por lo que las implicaciones de rendimiento al utilizarlo son insignificantes.

Cuando APM está habilitado, la biblioteca de Datadog genera trazas distribuidas. Datadog Application Security señala las actividades de seguridad mediante trazas, utilizando patrones de ataque conocidos. La correlación entre los patrones de ataque y el contexto de ejecución proporcionado por las trazas distribuidas activa señales de seguridad basadas en reglas de detección.

Muestreo y conservación de datos

En la biblioteca de rastreo, Datadog Application Security recopila todas las trazas que incluyen datos de seguridad. Un filtro de conservación predeterminado garantiza la conservación de todas las trazas relacionadas con la seguridad en la plataforma Datadog.

Los datos de las trazas de seguridad se conservan durante 90 días. Los datos de rastreo subyacentes se conservan durante 15 días.

Privacidad de los datos

De forma predeterminada, Application Security recopila información de las trazas de seguridad para ayudarte a comprender por qué la solicitud se ha marcado como sospechosa. Antes de enviar los datos, Application Security los analiza en busca de patrones y palabras clave que indiquen que los datos son confidenciales. Si los datos se consideran confidenciales, se sustituyen por una marca <redacted>. Esto indica que la solicitud era sospechosa, pero que los datos de la solicitud no pudieron ser recopilados por motivos de seguridad de los datos.

Los siguientes son algunos ejemplos de datos que se marcan como confidenciales de forma predeterminada:

• pwd, password, ipassword, pass_phrase
• secret
• key, api_key, private_key, public_key
• token
• consumer_id, consumer_key, consumer_secret
• sign, signed, signature
• bearer
• authorization
• BEGIN PRIVATE KEY
• ssh-rsa

Para configurar la información que Application Security oculta, consulta la configuración de la seguridad de datos

Métodos de detección de amenazas

Datadog utiliza varias fuentes de patrones, incluido el Conjunto de reglas básicas de OWASP ModSecurity para detectar amenazas y vulnerabilidades conocidas en solicitudes HTTP. Cuando una solicitud HTTP coincide con una de las reglas de detección predefinidas, se genera una señal de seguridad en Datadog.

Actualizaciones automáticas de patrones de amenazas: Si tu servicio se ejecuta con un Agent con la configuración remota habilitada y una versión de biblioteca de rastreo compatible, los patrones de amenazas que se utilizan para monitorizar tu servicio se actualizan automáticamente cada vez que Datadog publica actualizaciones.

Las señales de seguridad se crean automáticamente cuando Datadog detecta ataques significativos dirigidos a tus servicios de producción. Te proporcionan una visibilidad de los atacantes y de los servicios comprometidos. Puedes establecer reglas de detección personalizadas con umbrales para determinar de qué ataques quieres recibir notificaciones.

Protección integrada

If your service is running an Agent with Remote Configuration enabled and a tracing library version that supports it, you can block attacks and attackers from the Datadog UI without additional configuration of the Agent or tracing libraries.

ASM Protect goes beyond Threat Detection and enables you to take blocking action to slow down attacks and attackers. Unlike perimeter WAFs that apply a broad range of rules to inspect traffic, ASM uses the full context of your application—its databases, frameworks, and programming language—to narrowly apply the most efficient set of inspection rules.

ASM leverages the same tracing libraries as Application Performance Monitoring (APM) to protect your applications against:

• Attacks: ASM’s In-App WAF inspects all incoming traffic and uses pattern-matching to detect and block malicious traffic (security traces).
• Attackers: IP addresses and authenticated users that are launching attacks against your applications are detected from the insights collected by the libraries and flagged in Security Signals.

Security traces are blocked in real time by the Datadog tracing libraries. Blocks are saved in Datadog, automatically and securely fetched by the Datadog Agent, deployed in your infrastructure, and applied to your services. For details, read How Remote Configuration Works.

To start leveraging Protection capabilities—In-App WAF, IP blocking, User blocking and more—read Protection.

Clasificación del intento de ataque

Mediante la utilización de la información del rastreo distribuido, los intentos de ataque se clasifican como seguros, desconocidos o dañinos.

• Los intentos de ataque clasificados como seguros no pueden vulnerar tu aplicación, por ejemplo, cuando un ataque de inyección PHP se dirige a un servicio escrito en Java.
• La clasificación de desconocido se asigna cuando no hay suficiente información para emitir un juicio definitivo sobre la probabilidad de éxito del ataque.
• Se muestra una clasificación de dañino cuando hay pruebas de que el atacante ha encontrado alguna vulnerabilidad a nivel del código.

Cobertura de la monitorización de amenazas

Datadog Application Security incluye más de 100 firmas de ataque que te ayudan a protegerte contra muchos tipos diferentes de ataques, incluidas, entre otras, las siguientes categorías:

• Inyecciones SQL
• Inyecciones de código
• Inyecciones de shell
• Inyecciones NoSQL
• Cross-Site Scripting (XSS)
• Falsificación de solicitudes del lado del servidor (SSRF)

Seguridad de la API

Datadog Application Security proporciona visibilidad de las amenazas dirigidas a tus API. Utiliza la lista de endpoints en el Catálogo de servicios para monitorizar el estado de la API y las métricas de rendimiento, donde puedes ver los ataques dirigidos a tus API. Esta vista incluye la IP del atacante y la información de autenticación, así como los encabezados de solicitud que muestran detalles sobre cómo se formó el ataque. Utilizando tanto Application Security como la gestión de API, puedes mantener una visión completa de la superficie de ataque de tu API y responder para mitigar las amenazas.

Cómo protege Datadog Application Security contra Log4Shell

Datadog Application Security identifica las cargas útiles de ataque Log4j Log4Shell y proporciona una visibilidad de las aplicaciones vulnerables que intentan cargar un código malicioso de forma remota. Cuando se combina con el resto de Cloud SIEM de Datadog, puedes investigar para identificar la actividad frecuente posterior a la explotación y corregir en forma proactiva los servicios web Java potencialmente vulnerables que actúan como vectores del ataque.

Referencias adicionales

Más enlaces, artículos y documentación útiles:

Presentación de Datadog Application SecurityBLOG