Главное Авторские колонки Вакансии Образование
Выбор редакции:
2 952 0 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Web Application Firewall — специализированная защита веб-приложений

Бизнес сегодня активно использует веб-приложения для повышения продуктивности работы сотрудников и формирования положительного опыта у клиентов. Однако в этом тренде есть и свой минус — с увеличением количества приложений идет в гору и количество киберугроз.
Мнение автора может не совпадать с мнением редакции

В недавнем отчете, посвященном глобальным угрозам интернет-безопасности, компания Symantec указала, что злоумышленники при атаках на веб-сайты используют уязвимости серверных веб-приложений, либо уязвимости самой операционной системы, на которой работают такие приложения.

Основной целью киберпреступников обычно являются различные финансовые организации: банки, страховые компании, онлайн-площадки e-commerce. При этом главной точкой «входа» для хакера нередко становится именно веб-приложение, притом сам веб-ресурс может быть любой направленности. Попытаться взломать систему защиты сегодня может даже пользователь, не особо осведомленный в этой области — ведь описание технологии хакинга и все нужные для этого средства доступны в интернете, а значит их можно найти с помощью обычных поисковиков.

Почему именно WAF?

В подавляющем большинстве атак на веб-сайты злоумышленники эксплуатируют уязвимости не сетевой инфраструктуры, а приложений. Притом даже если в компании установлены антивирус и брандмауэр, эти средства не очень результативны в предотвращении подобных угроз.

Для качественной защиты лучше прибегнуть к иному методу, предусматривающему глубинный анализ контента пакетных данных и учет особенностей структуры веб-приложений, и таким средством является Web Application Firewall (WAF) — специализированный файрвол, предназначенный для анализа данных, передаваемых по протоколам HTTP и HTTPS.


Схематический принцип работы фаервола веб-приложений

WAF с двухуровневой технологией машинного обучения

Чтобы детектировать кибератаку, межсетевой экран для веб-приложений использует два ключевых подхода: сигнатурный и поведенческий. Именно работа этих двух технологий в комплексе способна обеспечить высокий уровень защиты, ведь в атаках на веб-сайты хакеры могут задействовать так называемые уязвимости нулевого дня (zero-day), которые делают совершенно неэффективным сигнатурный подход. Вместе с тем, поведенческий метод постоянно анализирует, как работает приложение, путем детального анализа сетевого трафика и системных журналов. Если наблюдаются существенные отклонения — срабатывает система предупреждения и защиты.

Кстати, гигантский объем ложных реакций на различные подозрительные события относят к одному из минусов обычного файрвола. Ведь из-за этого очень непросто понять реальную степень угрозы — во множестве уведомлений приходится «копаться»" вручную. В то же время Web Application Firewall в автоматическом режиме анализирует десятки и даже сотни событий, после чего выводит данные о развитии атаки — от начала и до конца.

Следует отметить, что многие Web Application Firewall поддерживают контроль шифрованного трафика SSL, передаваемого по протоколам HTTP и HTTPS.

Критерии выбора продукта

Сегодня системы защиты веб-приложений пользуются спросом в компаниях различного размера, поэтому большинство именитых мировых производителей уже вывели на рынок свои версии продуктов. Среди наиболее известных игроков на рынке — Barracuda Networks Citrix, F5, Fortinet и Imperva. Ниже представлен обзор популярных на рынке решений. Более подробную информацию о них можно получить в сравнительной таблице, где можно сравнить все продукты по каждой отдельной характеристике.


А в нашем обзоре мы попробуем осветить их основные свойства и преимущества.

Barracuda Web Application Firewall

Barracuda Web Application Firewall — эффективная комплексная система, предназначенная для обеспечения безопасности веб-приложений и сайтов. Продукт дает мощный отпор злоумышленникам, эксплуатирующим слабые места в протоколах или приложениях для хищения данных, нарушения работы сервисов или дефейса веб-сайтов. Примечательно, что решение от Barracuda WAF имеет не только английский, но и русский интерфейс.

Продукт от Barracuda способен обеспечить защиту от таких атак, как внедрение SQL кода, межсайтовый скриптинг (XSS), взлом сессий и переполнение буфера. Кроме того, Barracuda WAF предотвращает хищение информации за счет мониторинга всех исходящих данных на наличие утечек каких-либо секретных сведений: номеров счетов в банках, личной пользовательской информации, паролей и прочего.

Системный администратор сможет вовремя детектировать DoS- и DDoS атаки благодаря специальной функции, контролирующей скорость передачи данных. Мощный встроенный антивирус позволяет проверить любые импортируемые в систему данные и файлы на предмет различного вредоносного кода.

Barracuda Web Application Firewall полностью совместим с большинством распространенных систем для идентификации (Active Directory, eDirectory), которые поддерживают LDAP RADIUS. Кроме того, здесь есть функция двухфакторной идентификации: система поддерживает пользовательские аутентификаторы и токены (RSASecureID), чтобы гарантировать надежную защиту аутентификации клиентов.

Citrix NetScaler Application Firewall

NetScaler Web App Firewall от компании Citrix, входящий в состав комплексного решения Citrix NetScaler, является одним из лучших в своей категории файрволом веб-приложений (WAF), защищающим как сайты, так и приложения от различных атак, включая угрозы на прикладном уровне и уязвимости нулевого дня.

Продукт предназначен для государственного сегмента, крупного и среднего бизнеса. NetScaler Web App Firewall поставляется как в виде виртуальной машины, так и аппаратного комплекса, а также в виде облачного сервиса.

NetScaler Application Firewall от Citrix защищает от атак типа SQL инъекция, XSS, от изменения скрытых параметров формы (read-only(hidden) parameters) и других атак. Имеется функция предотвращения утечек данных, которая обеспечивает профилактику хищения данных кредитных карт и других конфиденциальных сведений, фильтрует и блокирует при необходимости передаваемую информацию.

Для адаптации NetScaler WAF к изменяемому приложению создается профиль защиты веб-приложений, который по умолчанию отражает все наиболее распространенные и опасные угрозы. Со временем этот профиль постепенно корректируется и наполняется информацией.

Пропускная способность Citrix Web Application Firewall составляет от 500 Мбит/с до 44 Гбит/с. Citrix WAF предлагается как отдельное решение или же интегрируется с платформой Citrix ADC. По данным NSS Labs, именно Citrix Web Application Firewall является одним из лидеров по соотношению цена/производительность среди файрволов веб-приложений.

Для компаний, которые намерены перенести свои приложения и данные в облако, хорошую службу сослужит сервис Citrix Web App Firewall Security Service. Этот продукт более прост в конфигурировании, кроме того, при его покупке используется модель «плати по мере роста». Это позволяет тратить ровно столько денег, сколько нужно для актуальных задач, но по мере необходимости масштабировать этот продукт.

F5 Networks Silverline Web Application Firewall

Несколько лет назад F5 Networks вывела на рынок cloud-сервис Silverline Web Application Firewall (WAF), цель которого — отражать атаки на веб-приложения. Этот продукт предлагается по модели подписки.

Silverline WAF предлагает поддержку в режиме 24×7 от экспертов в области безопасности. Подобная поддержка, во-первых, дает возможность компаниям защитить данные и веб-приложения, во-вторых, обеспечить соответствие индустриальным стандартам безопасности, таким как PCI DSS.

Silverline WAF защищает приложения от атак, основанных на внедрении SQL-кода, атак типа zero-day, вложения JSON, OWASP Top Ten и др. Важное преимущество Silverline WAF —функция самообучения в автоматизированном режиме, применяющая технологии iRules и iApps для оперативного переконфигурирования в соответствии со спецификой новых угроз.

Продукт дает возможность снизить операционные затраты за счет применения специальных ресурсов Центра обеспечения безопасности F5 Networks при управлении политиками WAF. Встроенная функция проактивного мониторинга от F5 Networks задействует внешние специализированные решения для защиты приложений от новых атак. Решение генерирует отчеты о доступе через портал заказчика.

Fortinet FortiWeb

Брандмауэр для веб-приложений FortiWeb от компании Fortinet ориентирован на средний и крупный бизнес, а также интернет-сервис-провайдеров. Продукт поставляется в виде аппаратного или виртуального устройства, а также в виде облачного сервиса. Благодаря сопровождению службы безопасности от FortiGuard Labs, FortiWeb обеспечивает защиту от новейших уязвимостей приложений, ботов и подозрительных URL-адресов. Кроме того, за счет двух механизмов обнаружения угроз, построенных на технологии машинного обучения, веб-приложения защищены от таких сложных кибер рисков, как SQL-инъекция, кросс-сайт-скриптинг, переполнение буфера, вредоносное изменение файлов cookie, источники угроз и атак DoS.

Функция нахождения угроз, путем поведенческого анализа, в FortiWeb использует два уровня машинного обучения на основе AI и статистических вероятностей для обнаружения аномалий и отдельных угроз. Благодаря машинному обучению FortiWeb может обеспечить почти 100%-ную точность детектирования угроз для приложений, практически не потребляя ресурсов. За счет искусственного интеллекта FortiWeb представляет собой практически WAF «из коробки», который работает по принципу «установить и забыть», но при этом не в ущерб точности и надежности.

Fortinet перманентно ведет работу по детектированию новых угроз в собственном аналитическом центре FortiGuard Security Center. За счет такого подхода обновления сигнатур, черных списков сайтов и баз репутаций происходит несколько раз в день.

FortiWeb способен обеспечить временный патчинг приложений до тех пор, пока команды разработчиков не развернут перманентные заплаты для уязвимостей. Обычно рекомендуется перманентно исправлять известную уязвимость, однако есть много ситуаций, когда это невозможно или непрактично, например, когда речь идет об унаследованных или старых приложениях, которые будут вскоре удалены.

Полная совместимость всех продуктов Fortinet между собой дает возможность быстро и просто масштабировать систему. Высокая степень автоматизации операций и простота их сопровождения сокращает число ошибок, вызванных человеческим фактором. Кроме того, такая характеристика позволяет сократить число сотрудников отдела ИБ.

Imperva SecureSphere Web Application Firewall

Решения от компании Imperva предназначены для применения в государственном секторе, а также в крупном и среднем бизнесе. Продукты интересны синхронным применением сразу нескольких технологий киберзащиты: контролем протоколов на аномальное поведение, динамическим профилированием, анализом через сигнатуры, отслеживанием сессий. Для всех продуктов Imperva предоставляется качественная поддержка. Кроме того, это семейство продуктов известно несложной процедурой инсталляции и настройки.

Брандмауэр для веб-приложений от компании Imperva состоит из двух основных модулей:

  1. SecureSphere Web Application Firewall — защита веб-приложений от кибератак;
  2. ThreatRadar — репутационная база данных.

Для эффективной защиты применяются механизмы на основе сигнатур бесплатной open-source системы предотвращения вторжений Snort, а также собственных SQL-сигнатур, генерируемых исследовательским центром ADC (Application Defense Center). С точки зрения отказоустойчивости, здесь имеется поддержка кластеризации Active-Active и Active-Passive.

SecureSphere WAF оснащен невстраиваемым снифером, прозрачным прокси-сервером и обратным прокси-сервером, обладает отличной поддержкой SSL. Так продукт обеспечивает пассивную расшифровку SSL, поддержку сессий, установленных на клиентских сертификатах, терминацию и детерминацию (то есть, анализ трафика SSL без терминации). Немаловажно, что разработка содержит аппаратные модули, ускоряющие обработку SSL.

Для формирования эталонной модели безопасности здесь применен метод классификации правил и применения детальных сигнатур (с использованием правил межсетевого экранирования, создания сигнатур и обработки нарушений протоколов). Для адаптации WAF к изменяемому приложению реализована возможность изменения профиля веб-приложений, созданного в режиме машинного обучения. Вместе с тем, есть настройка профиля веб-приложений в ручном режиме.Продукт может поставляться в виде виртуальной машины, аппаратного комплекса, а также в виде облачного сервиса. Максимальная поддерживаемая пропускная способность старшей модели достигает 10 Гбит/с. Помимо HTTP/HTTPS, здесь есть поддержка веб-стандартов WebSockets, XMS и JSON.

Реализованный в SecureSphere WAF генератор отчетов, предоставляет системным администраторам отчеты в соответствии с требованиями стандартов по ИБ. Также здесь есть возможность генерировать собственные кастомизированные отчеты (в том числе, и по расписанию) и экспортировать в различные форматы.

Еще одно немаловажное позитивное качество устройств SecureSphere WAF — наличие сервиса ThreatRadar, обеспечивающего практически мгновенную защиту от атак. ThreatRadar позволяет оперативно блокировать трафик, идущий от подозрительных источников, еще до момента осуществления какого-либо вредного воздействия.


ThreatRadar

Резюме

Все продукты, описанные выше, являются лидерами на рынке и обеспечивают защиту высокого качества. Но, чтобы убедиться в правильности конфигурирования, после окончания процесса построения защитной системы, эксперты рекомендуют провести так называемый Penetration test — испытание на проникновение. С его помощью можно проверить реальную защищенность информационной системы через имитации направленных атак различного типа.

Автор: Олег Пилипенко, для ROI4CIO

0
В избр. Сохранено
Авторизуйтесь
Вход с паролем
Комментарии
Выбрать файл
Блог проекта
Расскажите историю о создании или развитии проекта, поиске команды, проблемах и решениях
Написать
Личный блог
Продвигайте свои услуги или личный бренд через интересные кейсы и статьи
Написать

Spark использует cookie-файлы. С их помощью мы улучшаем работу нашего сайта и ваше взаимодействие с ним.