Корпоративный WAF: от каких угроз спасет и какие классы есть на примере решения PT AF

Здравствуйте, дорогие читатели! Presale-инженер Cloud Networks Ананьев Антон на связи.

Сегодня попробуем разобраться с таким продуктом как WAF. Что это вообще такое, в чем его отличие от других классов решений в сфере сетевой безопасности, а также почему стоит выбрать PT AF от Positive Technologies?

WAF против NGFW и UTM-решений

Итак, WAF (Web Application Firewall) – межсетевой экран уровня приложения. Он работает на L7 уровне общепринятой модели открытых систем OSI.

Чем же он отличается от других межсетевых экранов?

Классические межсетевые экраны, будь это настроенные access-листы на уровне промышленного маршрутизатора, UTM-решение или NGFW, фильтруют трафик на более низких уровнях модели OSI. Они принимают пакет и на основе правил решают – пропустить его или отбросить.

Проверка идет по следующим критериям:

• IP-адрес источника и назначения;
• номер порта;
• наименование протокола, по которому инициируется подключение;
• в современных NGFW и UTM с функцией DPI (Deep Packets Inspection) есть возможность проверять содержимое пакетов и блокировать работу конкретных сетевых приложений.

Также NGFW и UTM-решения умеют:

1. Блокировать доступ к web-страницам на основе URL-адресов и контентной фильтрации трафика.
2. Осуществлять журналирование посещенных сотрудниками сайтов.
3. Часто имеется функционал proxy-сервера, IDS/IPS, защиты почты, потокового антивируса уровня шлюза, возможность построения защищенных VPN-соединений до удаленных офисов и удаленных сотрудников, а также прочие полезные функции.

WAF, несмотря на схожее название, совершенно никак не связан с данными функциями. Но чем ж он так важен и актуален в наши дни?

Особенности WAF

WAF призван защитить именно само web-приложение заказчика. Это может быть:

• web-сайт компании,
• сайт визитка,
• личный кабинет клиента,
• какие-либо удаленные сервисы.

Все это будет являться web-приложением с точки зрения сетевых технологий.

К основным же функциям WAF относят:

1. Инспектирование передаваемых данных по HTTP-протоколу (корректность запроса, длина запроса, попытка передачи исполняемого скрипта).
2. Защита от атак типа SQL-инъекций, XSS, Open-redirect.
3. Защита от XML-обращений к внешним файлам.
4. Защита от разглашения сервером приложения конкретных данных (по регулярным выражениям).
5. Защита от прочих атак из списка OWASP-10.
6. Защита от DDOS-атак (на прикладном уровне L7).
7. Защита API.
8. Журналирование событий.

Как видно из функционала, WAF призван защищать ресурсы компании именно на уровне логики работы web-приложения. По статистике большинство атак совершается именно на этом уровне.

Как работает WAF?

Возьмем для примера сайт интернет-магазина.

Строка поиска на сайте предназначена для ввода названия интересующей покупателя категории, например, «зеленая рубашка со стразами». Но если ввести в эту строку специальную команду на машинном языке, то при отсутствии продуманной разработчиком системы безопасности, сайт в ответ может предоставить информацию, к которой посетитель не должен иметь доступ.

В данной атаке злоумышленнику не надо было совершать никаких сетевых атак, взламывать информационный периметр компании. Он просто проэксплуатировал уязвимость в логике работы самого web-приложения. И таких примеров можно подобрать очень много.

Отмечу, что разработчики далеко не всегда уделяют должное внимание вопросу безопасности своих web-приложений при разработке. Это происходит по той причине, что час работы программиста стоит достаточно дорого, и компаниям не всегда рентабельно прорабатывать такие вопросы.

И WAF как раз тот продукт, который дает возможность компаниям, использующим web-сервисы, самостоятельно позаботиться о своей безопасности.

Почему стоит приобрести PT AF?

Компания Cloud Networks рекомендует WAF от своего партнера Positive Technologies – PT AF (Positive Technologies Application Firewall).

Основные преимущества PT AF:

1. Возможность эксплуатации уязвимого приложения под защитой PT AF.
2. Возможность реализации AGILE подхода при разработке WEB-приложений.
3. Самообучающиеся механизмы, способные отражать ещё неизвестные атаки.
4. Машинное обучение на «сером» трафике.
5. Работа на копии трафика для упрощения внедрения.
6. Отечественное решение.
7. Сертифицированное решение.
8. PT AF – визионер

PT AF имеет на борту весьма актуальные возможности по защите. Рассмотрим основные функции, которые выделяют его на фоне конкурентов.

• Внедрение токенов в код:

PT AF способен компенсировать недочеты разработчиков, внедряя в код отображаемой пользователю страницы специальные токены для каждой формы ввода данных. Это позволяет защищаться от атак на пользователя. Когда, например, от его имени в неотображаемом окне вредонос отправляет заполненное распоряжение на перевод денежных средств.

• Виртуальные патчи:

У PT AF есть интеграция с системами анализа исходного кода, которые позволяют автоматически формировать на AF виртуальные патчи, что позволяет защитить приложение до исправления небезопасного кода.

• HMM:

PT AF использует в своей работе механизмы искусственного интеллекта, который способен противостоять неизвестным ранее угрозам. Используется модуль машинного обучения HMM (скрытые модели Маркова). И обучается он на «сером» трафике. То есть для обучения трафик не нужно отделять от атак и демонстрировать штатное поведение пользователя.

Вывод

PT AF поставляется в виртуальном исполнении и в виде программно-аппаратного комплекса. Два узла возможно объединять в отказоустойчивый кластер по схеме актив-пассив. Лицензирование осуществляется на основе метрики RPS.

PT AF может интегрироваться с большим количеством решений и сможет стать важным элементом в вашем комплексе по защите информации.

Cloud Networks предоставляет решение PT AF и внедряет его в крупные компании во всех сферах бизнеса. Оставьте свою заявку и получите консультацию и расчет стоимости работ: