En el enfoque WAAP tradicional, una firma coincidente bloquea inmediatamente la solicitud. Esto parece rápido, pero en despliegues reales eleva el riesgo de falsos positivos. El mismo patrón puede representar un ataque en un contexto y un formato de datos legítimo en otro. Por eso, tratar cada regla con idéntica severidad rara vez es el enfoque correcto.
Un segundo desafío es la complejidad de gestión de conjuntos de reglas grandes. Cuando no está claro qué regla se ejecuta en qué alcance, a qué categoría de ataque pertenece, qué puntuación produce y en qué servicios está activa, los equipos de operaciones terminan ejecutando el WAAP de forma demasiado permisiva o demasiado agresiva.
La superficie de ataque moderna ya no se limita al SQL injection y XSS clásicos. Los endpoints de API, los campos del cuerpo JSON, las consultas GraphQL, la manipulación de JWT, las consultas NoSQL, las vulnerabilidades de motores de plantillas, la deserialización y las nuevas variantes de CVE aparecen todas en el mismo flujo de tráfico. Si el motor WAAP no puede separar esta variedad por alcance y categoría, la visibilidad se deteriora.
El enfoque correcto es ejecutar las firmas a través de un modelo de decisión basado en puntuación. Cada regla debe producir su propio peso, los umbrales del servicio deben evaluar las puntuaciones acumuladas, el estado de la regla debe ser gestionable como monitor o de bloqueo, y las necesidades personalizadas deben poder sobreescribirse a alcance global o de pool.
TR7 Firmas y Puntuación WAAP ofrece este modelo: hace que más de 3.000 reglas de producción, 32 categorías de ataque y 7 alcances de inspección sean gestionables mediante lógica de puntuación, umbral y sobreescritura.
TR7 aplica la decisión WAAP mediante coincidencia multi-patrón, umbrales basados en puntuación, un modelo de sobreescritura de dos niveles y un conjunto de reglas de ataque enriquecido.
TR7 ejecuta conjuntos de reglas amplios de forma eficiente mediante un enfoque de coincidencia multi-regex. Las reglas pueden compilarse en shards de modo que solo las partes modificadas se reconstruyan cuando se actualicen las reglas.
Cada regla puede producir una puntuación — 2, 4, 6 u 8. Esas puntuaciones se combinan con un valor de umbral por servicio, de modo que se evalúa el panorama de riesgo general en lugar de una única señal débil.
Las reglas personalizadas globales y las reglas personalizadas de pool se mantienen en espacios de nombres de ID separados. Esto permite que la política organizacional compartida y las excepciones específicas del cliente o servicio coexistan sin conflictos.
TR7 añade reglas enriquecidas para API, JWT, GraphQL, NoSQL, inyección de prompts, inyección de plantillas y variantes de ataque específicas de CVE más allá de las firmas web clásicas. Esta capa amplía la cobertura en toda la superficie de aplicaciones modernas.
Firmas y Puntuación WAAP hace que un amplio conjunto de reglas de producción sea gestionable mediante controles de puntuación, alcance y estado por servicio.
TR7 incluye más de 3.000 reglas WAAP preparadas para uso en producción. Las familias de ataques principales — SQL injection, XSS, path traversal, SSRF, XXE, deserialización, inyección de plantillas, lectura de archivos, escritura de archivos, ejecución de comandos y divulgación de información — están cubiertas. Las reglas se gestionan no solo como una lista plana de patrones sino junto con metadatos de categoría, puntuación, alcance y objetivo. Esta estructura combina protección amplia con control operacional.
Las reglas están organizadas en 32 categorías de ataque: elusión de control de acceso, elusión de autenticación, abuso de lógica de negocio, envenenamiento de caché, inyección CRLF, inyección de consultas de datos, evasión de codificación, inclusión de archivos, HTTP smuggling, redirección abierta, contaminación de parámetros, inyección de prompts, contaminación de prototipos, manipulación de sesión y más. Esta clasificación permite a los equipos de seguridad entender qué familias de ataques se activan con mayor frecuencia. La gestión de reglas funciona a través de encabezados de riesgo significativos en lugar de miles de entradas sin procesar.
Las reglas de TR7 pueden operar en campos de path, query, header, form, JSON, XML y raw. Cada regla declara exactamente qué alcance inspecciona. Una firma escrita para el cuerpo JSON no se ejecuta innecesariamente en la cabecera, y una regla centrada en el path no se aplica incorrectamente al tráfico del cuerpo. La separación de alcances importa tanto para la precisión como para el rendimiento.
Cada regla produce una puntuación específica que se evalúa frente al umbral del servicio. Las coincidencias de bajo riesgo pueden producir solo una entrada de log, mientras que una puntuación total más alta resulta en una decisión de bloqueo. Este enfoque considera el comportamiento de riesgo general en lugar de tratar una única coincidencia de firma como un veredicto absoluto. El ajuste del umbral por servicio permite proteger diferentes aplicaciones con diferentes sensibilidades.
Cada regla puede ejecutarse en modo enabled, disabled o monitor. En el modo enabled, la regla contribuye a las decisiones de puntuación y bloqueo; en el modo disabled está inactiva; en el modo monitor produce solo salida de registro. Las reglas nuevas o inciertas pueden observarse primero en modo monitor. Esto hace que las transiciones de política en los servicios de producción sean significativamente más seguras.
La sobreescritura global establece la política WAAP en toda la organización, mientras que la sobreescritura de pool define un comportamiento diferente para un servicio o cliente específico. Una regla puede permanecer habilitada globalmente pero colocarse en modo monitor para un pool concreto, o tener su puntuación ajustada allí. Esta estructura equilibra la gestión centralizada con los requisitos reales por servicio. Los espacios de nombres de ID separados reducen los conflictos de reglas personalizadas.
La capa enriquecida de TR7 añade familias de ataques modernas sobre las firmas web clásicas. La manipulación de JWT, el DoS anidado de GraphQL, la inyección de consultas NoSQL, la inyección de prompts, los patrones de cadena de suministro, y los ataques a superficies de contenedores y serverless se abordan como grupos de reglas dedicados. Esta capa tiene como objetivo las arquitecturas de API y plataformas modernas — no solo los formularios web heredados. La protección WAAP se alinea más estrechamente con cómo se construyen las aplicaciones actuales.
TR7 puede incluir firmas de variantes dedicadas para ataques orientados a CVE como Log4Shell, Spring4Shell y Shellshock. Las formas codificadas, ofuscadas o con variaciones sintácticas son capturadas por patrones separados. Cuando se publica un CVE, la adición de reglas personalizadas y el hot reload reducen el tiempo de respuesta. Esta velocidad operacional es crítica como primera línea de defensa tras la divulgación de un zero-day.
Para cada solicitud, TR7 puede transportar los IDs de reglas activadas, la puntuación y la información de la parte relevante dentro del payload WAAP. Estos datos ayudan a los revisores de incidentes a entender qué regla se activó y por qué. El operador ve no solo un resultado de "bloqueado" sino la cadena de puntuación completa que llevó al bloqueo. Esta visibilidad es importante para el análisis de falsos positivos.
Los eventos WAAP pueden registrarse en formatos CEF y JSON. El ID de regla, la categoría de ataque, la puntuación, el alcance y los campos de metadatos están disponibles para el lado SIEM. Los equipos de seguridad pueden conectar los eventos WAAP a sistemas centrales de alertas, correlación e informes. El formato de log soporta los procesos de cumplimiento y respuesta a incidentes.
Las reglas pueden cruzarse con estándares de seguridad y taxonomías de ataques. Los enlaces a CWE, CAPEC, MITRE ATT&CK y OWASP Web/API Top 10 conectan un evento WAAP técnico con el lenguaje de auditoría y riesgo. Esto permite que los equipos de SOC, seguridad de aplicaciones y cumplimiento debatan el mismo evento dentro de un marco común. Los informes no se limitan a un ID de firma sin procesar.
TR7 puede recargar solo las partes modificadas del motor WAAP en lugar de reiniciar toda la pila en una actualización de reglas. Esto hace que añadir nuevas firmas o actualizar reglas personalizadas sea más rápido y menos disruptivo. Los conjuntos de reglas actualizados pueden ponerse en vigor sin un reinicio del contenedor. Esta velocidad operacional es decisiva durante la respuesta de emergencia ante CVEs.
El motor de firmas WAAP se opera junto con los modos de compilación, la distribución de puntuaciones, la densidad de alcances, los espacios de nombres de ID de reglas personalizadas, las estadísticas RRD y el comportamiento de hot reload.
La compilación de reglas puede ejecutarse en modos de shard all, poly o mono. En el enfoque mono por shard, las reglas se dividen en particiones que pueden compilarse en paralelo. Este modelo ayuda a reducir el tiempo de compilación y el impacto de las actualizaciones para conjuntos de reglas grandes.
La fábrica de reglas WAAP de TR7 opera con un modelo que apunta a una capacidad máxima de 10.000 reglas. Este techo proporciona margen de expansión para las reglas de producción, la capa enriquecida y las reglas personalizadas del cliente. Los operadores deben monitorear el equilibrio entre rendimiento y cobertura a medida que crece el conjunto de reglas.
Las reglas producen diferentes puntuaciones según su peso. Las puntuaciones de 2 y 4 representan hallazgos de señal más baja; 6 y 8 llevan señales de riesgo más fuertes. Las reglas críticas seleccionadas pueden tratarse con mayor urgencia. La decisión de umbral está determinada por el efecto combinado de estas puntuaciones acumuladas.
Las reglas operan con diferentes densidades en los campos path, query, header, form, JSON, XML y raw. Los campos query y form tienen mayor concentración para las superficies de ataque clásicas, mientras que los campos JSON y raw ganan importancia para el tráfico de API moderno. La distribución de alcances ayuda a los equipos a entender qué superficies de tráfico generan más señal de protección.
Las reglas personalizadas globales y las reglas personalizadas de pool se generan en rangos de ID separados. El espacio de nombres global lleva las reglas compartidas de toda la organización; el espacio de nombres de pool lleva las reglas específicas del servicio o cliente. Esta separación reduce los conflictos de reglas y hace que el comportamiento de sobreescritura sea más fácil de auditar.
Los recuentos de activación de reglas pueden agregarse por categoría y mostrarse en gráficos. Esto permite ver qué familias de ataques aparecen con mayor frecuencia, qué servicios producen más señal de riesgo y cómo los cambios de política afectan a la distribución a lo largo del tiempo. Las estadísticas convierten el WAAP de un bloqueador puro en un sensor de seguridad del que se puede aprender.
Los equipos de API financiera pueden ampliar la cobertura clásica alineada con OWASP con reglas de ataques JWT, GraphQL, NoSQL y de API modernas. La capa enriquecida de TR7 proporciona un alcance de firmas mejor adaptado a la superficie de API actual.
Los equipos bancarios pueden observar reglas específicas en modo monitor primero y luego ajustar los valores de umbral de servicio por pool. Esto les permite establecer un equilibrio más controlado entre la aplicación de seguridad agresiva y el tráfico de usuarios legítimos.
Los portales gubernamentales pueden añadir reglas regex personalizadas con alcance en campos de formulario y JSON. Cuando aparecen patrones de datos sensibles o entradas inesperadas, una puntuación y una entrada de log activan un flujo de investigación.
Los equipos SaaS pueden aplicar reglas base globales a todos los tenants mientras definen sobreescrituras personalizadas para clientes o pools específicos. Los espacios de nombres de ID separados garantizan que las reglas específicas del cliente nunca entren en conflicto con el conjunto de reglas compartido.
Más de 3.000 reglas de producción, 32 categorías de ataque y un modelo de decisión basado en puntuación. Recorramos juntos cómo funciona en su propio entorno.