Caso de uso de OFX

El reto

OFX es una plataforma de transferencias financieras internacionales con sede en Sídney (Australia) que procesa más de 22 000 millones de dólares al año a través de su aplicación web. Hace poco, completó la migración total de su aplicación web a la nube tras tres años de trabajo. Superada esa transición, OFX quiso potenciar su infraestructura de microservicios, que da prioridad a la nube. ¿Cómo? Incrementado la visibilidad de ataques según OWASP (Open Web Application Security Project) y de usos indebidos de datos de autenticación, así como mejorando las medidas de protección frente a ambos problemas.

Los partners de OFX interactúan con la plataforma de esta empresa a través de API que hablan con los microservicios,
que están ubicados dentro de la red de OFX. Como Head of Digital Security, Richard Lane
se encarga del programa de seguridad de la empresa y encabeza el grupo humano que la gestiona. Uno de sus objetivos prioritarios era garantizar que sus microservicios
no confiaran en otros de manera implícita, por lo que buscaba un producto que aportara
visibilidad en ese aspecto. Quería una solución que fuera intuitiva y que bloqueara con eficacia y de forma automática el tráfico malicioso —incluidos inicios de sesión ilegítimos— sin provocar incidentes que interrumpieran los procesos de producción.

La solución

La solución consistió en desplegar el WAF de última generación de Fastly en el entorno de nivel intermedio de OFX e instalar un agente en sus servidores web. ¿Qué objetivo logró OFX? Lane lo describe así: «Conseguimos acceder a las entrañas de la aplicación. Fastly ha visibilizado aspectos que antes no podíamos ver».

Las ventajas de la ingeniería sin hacer concesiones

El equipo de seguridad y el responsable de la nube implantaron varios complementos del módulo del servidor web del WAF de última generación de Fastly para comunicarse con agentes ligeros. Esta medida les permitió realizar despliegues con facilidad sin sobrecargar al personal de ingeniería, así como obtener una visibilidad detallada
de la aplicación. Apenas pasados unos minutos, una vez instalado el software, el equipo de seguridad se sirvió del WAF de última generación de Fastly (con tecnología de Signal Sciences) para descubrir errores de la aplicación y solventar problemas de raíz con suma eficacia.

Además, el equipo de Control de Calidad ahora es capaz de detectar problemas con rapidez antes de lanzar cualquier función o contenido. ¿Cómo? Incorporando a los protocolos de lanzamiento la funcionalidad de supervisión del WAF de última generación de Fastly y sus sencillos paneles. Al mostrarles patrones anómalos en las respuestas, el WAF de última generación de Fastly permite a los miembros del equipo saber si las API RESTful de las aplicaciones funcionan dentro de los márgenes previstos.

Un escudo para la autenticación: Power Rules

La idea de OFX era obtener visibilidad de la IP del origen y del comportamiento de los inicios de sesión con el fin de detectar usuarios y patrones sospechosos. Para ello, configuró la función Power Rules del WAF de última generación de Fastly de tal manera que detectara cualquier intento de inicio de sesión, válido o no. Se sentaban, así, las bases con las que definir los parámetros de normalidad de su tráfico de autenticación. OFX aplicó Power Rules teniendo en cuenta su perfil técnico: baja tolerancia al riesgo y volumen de tráfico bajo. Por tanto, creó umbrales personalizados que alertaran del tráfico generado por autenticaciones ilegítimas y lo bloqueara sin dudarlo cuando este se apartara de comportamientos normales. Desde entonces, no ha registrado ni un solo falso positivo.

Visibilidad y validación de pruebas de penetración

Obtener visibilidad de la realización de pruebas de penetración fue otro caso de uso de Power Rules, con el objetivo de conocer el alcance de las pruebas y, por ende, validar la eficacia del WAF de última generación de Fastly durante la evaluación inicial. En OFX lograron confirmar si se bloqueaban intentos de ejecución de pruebas de penetración gracias a la IU de la consola del WAF de última generación de Fastly. A través de sencillos botones, esta permite activar o desactivar la detección de determinadas fuentes de pruebas de ese tipo.