Minería de procesos para la mejora de la seguridad de aplicaciones web

Abstract

La gran mayoría de las aplicaciones web multi-capas son diseñadas e implementadas sin tener en cuenta buenas prácticas de desarrollo seguro de código. Por lo tanto es muy frecuente que el descubrimiento y explotación de vulnerabilidades en este tipo de sistemas se den como resultado de un proceso de ensayo y error proveniente de un atacante. Es así que se vuelven necesarias las técnicas de detección y prevención de ataques. El desarrollo de este tipo de técnicas involucra procedimientos que ayudan a discernir entre el comportamiento de un usuario válido del sistema y un agente malicioso. Al momento de implementar este tipo de técnicas, un problema no menor es la cantidad de aplicaciones ya desplegadas en las organizaciones y que deben de ser protegidas por este tipo de soluciones. Un enfoque no invasivo, es decir, que no requiere modificar la aplicación original, consiste en añadir una capa externa responsable de filtrar los datos que fluyen hacia y desde la aplicación. Concretamente, a nivel de una aplicación web, lo que está siendo extensivamente adoptado es el uso de un WAF (Web Application Firewall). Un WAF tiene la capacidad de registrar y analizar las peticiones HTTP a un sitio web, por lo que se podría llegar a derivar el comportamiento de un usuario a partir de la información que registra y de los eventos que genera. El objetivo general del proyecto es explorar técnicas de Minería de Procesos para la detección de ataques en aplicaciones web, explotando las capacidades que tiene unWAF para el registro de eventos. Una propuesta de interés se basa en la aplicación de técnicas de Minería de Procesos para la detección de ataques, a partir de identificar desviaciones en el comportamiento esperado del sistema web visto como un proceso de negocio, acorde a un modelo de comportamiento de referencia. Para lograr el objetivo se aplicaron técnicas de Minería de Procesos a los efectos de detectar comportamientos maliciosos, previo procesamiento de la información del WAF a través de su filtrado, agrupamiento de eventos y definición de eventos críticos.