Il giorno 23 maggio 2024 alle ore 17:30 Davide Ariu di Pluribus One presenterà un incontro di approfondimento sul tema sicurezza applicativa.
I Web application firewall (WAF), soluzioni pensate per proteggere applicazioni Web e API da un’ampia gamma di attacchi, sono ancora tuttoggi ampiamente basati su meccanismi di rilevazione a firme. Questo in parte anche grazie al contributo al successo di questo tipo di soluzioni da parte di due progetti di rilievo come ModSecurity e il Core Rule Set. Entrambi vivono come progetti open-source supportati dalla OWASP community e le regole del Core Rule Set sono anche alla base di molte fra le soluzioni WAF commerciali più usate.
Nel corso di questo intervento presenteremo i risultati di uno studio originale che mostra come tramite una strategia automatica e mirata, sia agevolmente possibile creare payload di attacco in grado di evadere le regole del Core Rule Set.
Oltre che nella struttura intrinseca delle regole, il limite risiede nel processo di fine-tuning delle regole del Rule Set, che è frutto di un processo manuale di trial & error, in cui le regole che possono interferire con applicazioni e servizi vengono progressivamente disattivate, riducendo inesorabilmente e ad un valore non precisamente quantificato, le capacità di detection.
Per capire meglio come chi attacca possa sfruttare le debolezze del CRS e più genericamente dei WAF, forniremo una panoramica su come ModSecurity e Core Rule Set vengono utilizzati insieme e come bloccano i payload dannosi, approfondendone le caratteristiche interne.
Concluderemo proponendo possibili strategie per migliorare il trade-off tra falsi allarmi e rate di detection, aumentando al contempo la robustezza contro gli attacchi adversarial attraverso modelli di machine learning robusti contro attacchi di questo tipo
Come sempre, la durata prevista è di circa un’ora. Il seminario sarà registrato e la registrazione sarà disponibile per i soci, insieme alla presentazione.
Per partecipare (*) occorre collegarsi a questo link: la sessione verrà attivata 15 minuti prima dell’orario di inizio dell’incontro, e si potrà accedere direttamente senza necessità di preventiva registrazione (**). Lo strumento utilizzato è Microsoft Teams, che può essere fruito anche tramite una web application scaricabile dal browser.
La partecipazione alla sessione permette di ottenere 1 CPE. La sottomissione dei crediti ottenuti tramite (ISC)2 Italy Chapter è effettuata dalla segreteria per i soci che hanno comunicato il proprio ID ISC2 al momento dell’iscrizione e non è necessario ricorrere alla sottomissione tramite il sito ISC2.org: verrà inviata una mail a tutti i soci partecipanti con la conferma dell’invio delle CPE.
(*) La fruizione audio/video dell’evento è prevista esclusivamente attraverso computer (no telefono); si raccomanda quindi ai partecipanti di dotarsi di cuffie o di assistere al webinar in un ambiente confortevole alla fruizione.
(**) I dati inseriti sul sistema saranno visibili ai partecipanti, verranno utilizzati esclusivamente per la gestione degli eventi ed in nessun caso saranno ceduti a terzi da parte di (ISC)2 Italy Chapter.