Prevención de vulnerabilidades

Información general

Utiliza Prevención de vulnerabilidades de ASM para proteger tus aplicaciones y API críticas contra vulnerabilidades desde el primer día sin necesidad de ajustes ni reconfiguraciones.

Gracias a las funciones de ASM que tienen en cuenta el contexto, podrás conocer en profundidad la lógica, el flujo de datos y el estado de las aplicaciones.

Combina la telemetría del rastreador Datadog con la heurística predefinida para detectar y bloquear vulnerabilidades con mayor precisión, lo cual garantiza que el tráfico legítimo no se vea afectado.

Cómo funciona la prevención de vulnerabilidades

  1. Con la biblioteca de rastreo Datadog ASM instrumentada en tus aplicaciones, se capturan detalles sobre cada interacción en la aplicación, incluidas solicitudes, ejecución de códigos y flujos de datos.
  2. Cuando una carga útil de ataque llega a la aplicación, ASM evalúa si la carga útil activa rutas de código vinculadas a vulnerabilidades conocidas.
  3. Si se detecta una posible vulnerabilidad:
    1. ASM bloquea la solicitud en tiempo real antes de que cause daños.
    2. ASM emite señales de seguridad para que se investiguen más a fondo.
  4. Las detecciones de prevención de vulnerabilidades van acompañadas de stack traces que proporcionan una visibilidad completa de la ubicación del código de la vulnerabilidad, que proporciona un camino libre hacia la corrección.

Ejemplo 1: Falsificación de solicitudes del lado del servidor

Un atacante engaña al servidor para que realice solicitudes no autorizadas a sistemas internos o servidores externos, lo que puede suponer una fuga de información o una vulnerabilidad posterior.

ASM Exploit Prevention checks si un atacante ha manipulado la URL de una solicitud interna o externa, controlada parcial o totalmente por un parámetro de usuario, para alterar el objetivo original de la solicitud.

Ejemplo 2: Inclusión de archivos locales

Un atacante vulnera un parámetro vulnerable para incluir archivos locales del servidor, lo cual posiblemente exponga datos confidenciales como archivos de configuración o posiblemente permita la ejecución remota del código.

ASM Exploit Prevention inspecciona todos los intentos de acceso a archivos para determinar si se ha insertado la ruta y si se accede a un archivo restringido.

Ejemplo 3: Inserción de SQL

Un atacante inserta un código malicioso de SQL en una consulta, con lo que puede obtener acceso no autorizado a la base de datos, manipular datos o ejecutar operaciones administrativas.

ASM Exploit Prevention intercepta todas las consultas de SQL para determinar si se ha insertado un parámetro de usuario y si la inserción altera el fin y la estructura originales de la consulta de SQL.

Requisitos previos

Compatibilidad de bibliotecas

Tipo de vulnerabilidad.NETPythonGoJavaNode.jsPHPRuby
Falsificación de solicitudes del lado del servidor (SSRF)v3.3.0v2.15.0v1.70.1v1.42.0v5.20.0, v4.44.0Disponible en Q1 ‘25Disponible en Q1 ‘25
Inclusión de archivos locales (LFI)v3.5.0v2.15.0orchestrion v1.0.0v1.42.0v5.24.0, v4.48.0Disponible en Q1 ‘25Disponible en Q1 ‘25
Inserción de SQL (SQLi)v3.4.0v2.16.0v1.70.1v1.42.0v5.25.0, v4.49.0Disponible en Q1 ‘25Disponible en Q4 ‘24
Inserción de comandosv3.4.0v2.15.0Disponible en Q4 ‘24v1.45.0v5.25.0, v4.49.0Disponible en Q1 ‘25Disponible en Q1 ‘25

Activación de la prevención de vulnerabilidades

  1. Ve a In-App WAF (Seguridad > Seguridad de aplicaciones > Protección > In-App WAF).

  2. Si has aplicado una política administrada por Datadog a tus servicios, sigue estos pasos: a. Clona la política. Por ejemplo, puedes utilizar la política de Herramientas de bloqueo de ataque - Administrado.

    Clona la política
    b. Añade un nombre y una descripción de la política.

    Clona la política
    c. Haz clic en la política que has creado y selecciona el conjunto de reglas Inclusión de archivo local. Habilita el bloqueo para la regla Vulnerabilidad de inclusión de archivo local.

    Inclusión de archivo local
    d. Del mismo modo, selecciona el conjunto de reglas Falsificación de solicitudes del lado del servidor y habilita el bloqueo para la regla de vulnerabilidades Falsificación de solicitudes del lado del servidor.

    Vulnerabilidad de la falsificación de solicitudes del lado del servidor

  3. Si has aplicado una política personalizada para tus servicios, puedes omitir los pasos 2.a y 2.b para clonar una política y establecer directamente las reglas de Prevención de vulnerabilidades en el modo bloqueo (pasos 2.c y 2.d).

Revisión de los intentos de vulnerabilidades en ASM

Una vez activada la Prevención de vulnerabilidades, si ASM detecta un intento de vulnerabilidad, procede a bloquear esa solicitud. Las detecciones de Prevención de vulnerabilidades siempre van acompañadas de stack traces, que proporcionan una visibilidad completa del lugar donde está la vulnerabilidad en tu código, lo cual asegura un camino libre a la corrección.

Detección de prevención de vulnerabilidades

Además, ASM también genera una señal que correlaciona todas las trazas (traces) bloqueadas y aísla las direcciones IP atacantes que están apuntando a tu servicio o servicios. Puedes tomar medidas mediante el bloqueo de todas las IP atacantes.

Descripción de tu mensaje

Referencias adicionales

Más enlaces, artículos y documentación útiles:

Protégete contra las amenazas con Datadog Application Security ManagementDOCUMENTACIÓN more more Otras consideraciones de configuración y opciones de configuraciónDOCUMENTACIÓN more more Protege tus aplicaciones de los ataques desde el primer día con Datadog Exploit PreventionBLOG more more Comprender tu WAF: cómo solucionar las lagunas más comunes en la seguridad de las aplicaciones webBLOG more more