modsecurity es un Web Application Firewall (WAF) que permite disponer de reglas para proteger a las aplicaciones web de cierto tipo de ataques, dicho módulo esta disponible para diferentes web servers: Apache, Nginx, etc.
Hasta hace poco Trustwave se hacía cargo de la evolución de este software:
https://www.modsecurity.org
Como reza en dicha página ha dejado de dar soporte y da por cerrada su participación en este proyecto dejándolo en manos de la Comunidad.
Trustwave is announcing the End-of-Life (EOL) of our support for ModSecurity effective July 1, 2024. We will then hand over the maintenance of ModSecurity code back to the open-source community.
Trustwave is also announcing the End-of-Sale (EOS) of Trustwave support for ModSecurity effective August 1, 2021. No new contracts will be accepted after the EOS date.
Any renewed ModSecurity contracts must contain an expiration date on or before July 1, 2024. Contracts with an expiration date after July 1, 2024, will not be accepted.
For further details have a look at: End of Sale and Trustwave Support for ModSecurity Web Application Firewall
The GitHub project page is available here: https://www.github.com/SpiderLabs/ModSecurity
La buena noticia es que OWASP se va a hacer cargo como ha anunciado este pasado 15 de Enero de 2024 con un mensaje como este: “Welcome to newest addition to the OWASP Family: Modsecurity!
The Open Worldwide Application Security Project (OWASP) es una fundación sin ánimo de lucro que trabaja para mejorar la seguridad del software, para ello reúne a un grupo de expertos y se dedica a la concienciación y divulgación de buenas prácticas de seguridad. Entre sus trabajos esta la publicación del Top 10 OWASP que se va actualizando, donde se publican las 10 principales vulnerabilidades en aplicaciones web, además de otros proyectos como OWASP ZAP herramienta para utilizar en auditorías de aplicaciones web, por destacar algunas de sus actividades más conocidas.
Ahora tal como han anunciado se harán cargo de administrar el desarrollo de este WAF que permite disponer de reglas para proteger de forma genérica nuestras aplicaciones web. El software modsecurity se distribuirá bajo “Apache License” con lo cual se podrá utilizar, distribuir y modificar, incluyendo su uso para fines comerciales.
La nueva web del Proyecto Modsecurity es esta:
OWASP ModSecurity Core Rule Set – The 1st Line of Defense Against Web Application Attacks
Donde se puede encontrar como instarlo, como crear reglas, probarlas, incluso una Sandbox para hacer test.
Es un software que ya lleva circulando bastante tiempo, aunque se tiene que complementar con el uso de otras herramientas por ej. si tienes muchos servicios web, dado que no sería práctico administrar fichero a fichero de configuración, lo lógico sería hacerlo de forma centralizada o pudiendo generar grupos de servidores.
También habría que tener en cuenta que un WAF con reglas estáticas hoy en día se quedaría corto para decir que es una buena medida de defensa, más teniendo en cuenta el auge de la IA en lo que a mejorar las técnicas, automatización y evasión de WAF, la única ventaja que actualmente tiene este tipo de software es su uso gratuito y por tanto no requiere del uso de costosas soluciones comerciales para cumplir unos mínimos de seguridad, aunque estas siempre deberían ir de la mano de mejoras en el propio código de las aplicaciones a proteger y esto ser una capa más de protección.
Un WAF actual debería utilizar tecnología IA para poder responder de una forma más dinámica a las diferentes amenazas que circulan ya sean internas o externas y retroalimentarse de dicha información para mejorar sus propias defensas y evitar falsos positivos, algo relativamente sencillo que ocurra con un software de este tipo y que por tanto bloquee peticiones legitimas a la aplicación, cosa que no debería suceder nunca dado que estaríamos faltando a una de las tres componentes de la triada de la seguridad, la disponibilidad.