Estimador de envenenamento do aprendizado automático do AWAF
Quantas requisições um atacante precisa para abrir um buraco na sua política do BIG-IP Advanced WAF quando o Policy Builder fica em aprendizado automático sobre tráfego não confiável? Informe seus limites de Loosen e os recursos do atacante; a ferramenta calcula o mínimo de fontes, requisições e tempo para forçar um afrouxamento automático, e barra os casos que o tornam impossível. Roda inteiramente no seu navegador.
Segurança e WAFSua configuração de Loosen do Policy Builder
O atacante
Calculado no seu navegador. Nada é enviado.
Um modelo determinístico do comportamento documentado do Policy Builder do F5, não uma sondagem. Nunca contata um BIG-IP. Leia os limites reais de Loosen da sua política em Security > Application Security > Policy Building > Learning and Blocking Settings.
Vulnerável: esta configuração pode ser afrouxada automaticamente. Esforço mínimo do atacante:
O que a documentação diz
- No modo Automatic, uma sugestão que atinge learning score de 100% é aceita e aplicada sem humano no processo — inclusive sugestões que desabilitam uma violação ou ampliam uma entidade.
- No rating 3, o F5 desacelera o aprendizado e exige mais fontes e sessões distintas antes de afrouxar. Quanto maior o rating, mais caro o envenenamento.
- Clientes confiáveis afrouxam a política com apenas uma sessão; o tráfego não confiável precisa de muito mais fontes distintas ao longo de um período. Essa assimetria é o design anti-envenenamento.
- Esta contagem de requisições é um limite inferior documentado (um acerto distinto por fonte/sessão exigida). Uma campanha real precisa de mais, pois o padrão precisa se repetir para elevar o score.
Como fechar isso
- Defina o Learning Mode como Manual (ou Disabled) para que nenhuma sugestão seja aplicada sem um humano aceitar. Este é o padrão limpo para produção.
- Afrouxe apenas a partir de tráfego confiável onde a opção existe (Track Site Changes), e construa políticas a partir de uma faixa de IPs confiáveis conhecida em vez de tráfego não confiável ao vivo.
- Aumente os limites de Loosen para não confiável (fontes distintas, sessões, período) para que o tráfego não confiável praticamente nunca afrouxe a política durante o período de aprendizado.
- Nunca coloque faixas alcançáveis pela internet ou por atacantes na lista de IPs confiáveis — o tráfego confiável afrouxa a política com uma única sessão.
- Depois que a política estiver construída e estável, desabilite a construção automática de política (ou o Track Site Changes) para que ela pare de aprender com o tráfego ao vivo.
Este cenário afrouxa a partir de tráfego não confiável no modo Automatic — exatamente a configuração a evitar em uma política exposta à internet.
Referências
- F5 K000134503: Overview of Fully Automatic Policy Building learning mode
- F5 BIG-IP ASM Implementations: Refining Security Policies with Learning (learning score; 100% auto-accept/enforce; unlearnable violations)
- F5 BIG-IP ASM Implementations: Changing How a Security Policy is Built (Loosen/Tighten/Track Site Changes; trusted vs untrusted thresholds; trusted default 1 session)
- F5 BIG-IP ASM: Changing How a Security Policy is Built (automatic vs manual learning; the system accepts and enforces at a 100% learning score; tighten rules apply only in automatic learning)